Wordpressは、世界で最も使われているCMS(コンテンツマネジメントシステム)です。ところが、いくつかのWebサイトは、サイバー攻撃を防ぐ最低限の対策を行っていないケースが見られます。
今回は、 Web サイトをWordpressで構築する際に実施すべきセキュリティ対策を紹介します。
WordPressは、世界で最も利用されているCMSです。
以下のグラフは、2020年2月の時点のCMSのシェアですが、CMSで構築されているサイトの約6割がWordPressで構築されていることがわかります。
つまり、世界で最も普及しているCMSとなります。
WordPressはオープンソースといって、プログラムの中身(ソースコード)を全世界に公開しています。
そのため、悪意のある攻撃者からすれば、攻撃しやすいシステムの1つでもあります。
WordPressの弱点は、いったいどこでしょうか?
例えば、我々が攻撃者となった場合、以下のポイントにアクセスできるかを確認します。
まず、 WebサーバやDBサーバですが、最も分かりやすい攻撃は、レンタルサーバーのアカウントを乗っ取られた場合です。
最近は、WordPressを簡単に構築できるレンタルサーバが増えてきておりますが、同時にWebサーバやDBサーバに簡単にアクセスできる仕組みになってきております。
仮にレンタルサーバの管理画面に第三者がアクセスできてしまうと、WebサーバやDBサーバに簡単にアクセスできます。
従いまして、パスワード管理は特に慎重を期す必要があります。
また、SSHやRDP(リモートデスクトップ)、FTPといった、ファイルベースでWebサーバ等に接続できるプロトコルも要注意です。
少なくとも、 SSHやRDP(リモートデスクトップ)、FTPといったファイルベースで遠隔操作が可能なプロトコルがどこからでも接続できる状態は、非常に危険です。
次に重要なのが、WordPressの管理画面です。
WordPressの管理画面を乗っ取られた場合、記事情報や管理情報をすべて取得されてしまうリスクがあります。
特に最も危険なのは、 WordPress を利用してオンラインサロンを構築している場合です。オンラインサロンに登録しているあらゆる個人情報を不正アクセスされる可能性が高いです。
では、WordPressを不正アクセスから守るにはどうすればよいのでしょうか?
最低でも、以下の対策を推奨いたします。
まず、最初にすべきことは、サーバへのアクセスに対してアクセスできる人や場所を制限することです。例えば、
といった対策を行うことで、第三者が簡単にサーバの管理画面にアクセスすることを防ぐことができます。
次に実施すべきなのは、SSHやRDP、FTPによるサーバへのアクセスを制限することです。SSH、RDPやFTPは、仮に認証を通過してしまうと、サーバーの操作が簡単にできてしまいます。
少なくとも、 SSH、RDPやFTPは、 IP制限を導入して特定の場所以外アクセスできないように制限する必要があります。
最後に実施すべきなのは、Wordpressの管理画面へのアクセスを制限することです。少なくとも、
といった対策が必要になります。場合によっては、特定の場所からのみ接続可能なIP制限を導入しても良いと思います。
上記の様な対策の1つを簡単に実施できるのが、SiteGuardプラグインです。
SiteGuardは、日本のセキュリティ会社であるJP-Secureが開発したプラグインですので、非常に使いやすいプラグインです。
日本語対応もされておりますので、設定も簡単ですし、特に、
等々、多くのセキュリティ対策を1度に実施することが可能です。
WordPressのセキュリティは、管理者が自分で実施する必要があります。
WEB制作会社のなかには、上記の様なセキュリティ対策を合わせて行ってくれるところもありますが、一般的な制作会社はそこまで責任もって管理してくれません。
万一不正アクセスがあっても、リスクを最小限にできるように、今からでもしっかりと対策しておきましょう。