ニャンズとにゃんにゃんしている侍エンジニアブログ編集部のモリシタです。
誰でも簡単に使えるWordPressって、実は悪い人から狙われているんですよね。セキュリティーに関しても、自己責任なので何から初めていいかわかりませんよね。
そんなあなたのために、目的別にセキュリティー強化の方法をお教えします。この記事を読めば、あなたに必要なセキュリティー対策がわかります。
WordPressに潜む危険
誰でも使えるCMS
WordPressは世界中で利用されるCMSサービスです。専門知識がいらず誰でも使えるため、注目度も高いサービスです。
しかし、専門知識がいらないために、必要な対策ができている人が多くありません。そういったスキを狙う悪質な人が多くいます。
誰でも見れるオープンソース
誰でもソースの中身を解析することができるので、脆弱性を発見されやすい構造となります。また、審査もなく一般の人がテーマを配布でき、バグやセキュリティ的に問題のあるテーマも少なくありません。
悪意のあるアタックを受けるとどうなる?
アカウントの乗っ取り
- 管理パスワードを勝手に変更され、自分自身が締め出されたり・・・
- 色々の設定を変更し、せっかく作ったサイトが台無しに・・・
それだけで済めばいいのですが、WordPressのアカウント情報を元にメールなどのアカウントが狙われてしまう場合があります。
メールアドレスやパスワードを使い回ししている人が多く、WordPressで得た情報から他のサービスにアタックされる可能性があります。メールアカウントが乗っ取られ、スパムメールを大量に送信されたり、身に覚えのない請求に繋がる場合があります。
コンテンツやページデータの改ざん
せっかく作ったコンテンツが、全然違うものに置き換えられていたり最悪全てなくなってしまうこともあります。
他にも、怪しい別のショッピングサイトなどへ飛ばされたり、ウィルスを撒き散らすための道具にされたりします。あなたが行った事ではありませんが、被害拡大への一端をになってしまったことにかわりありません。
スパムコメントの量産
勝手に意味のない大量のコメントを投稿されるという被害もあります。他にも、企業や個人などが自らの利益のために文章などを書き込みます。
第三者が自分のブログのアクセスアップを図ったり、金銭獲得のためのサイトなどに誘導することを目的にしています。あなたのサイトを足がかりに、自分の利益を得ようとしているのです。
情報流出
ログイン情報や個人情報などを抜き取られる可能性があります。会員制のサイトの場合、サイトへのログインが必須となります。そのアカウント情報が抜き取られると、会員への被害が発生します。そうなると、あなたのサイトのセキュリティに対し、責任が問われることになります。
WordPressセキュリティ対策の基本
バックアップは必須
何かトラブルがあったときに、元に戻せるようにバックアップは必ず必要です。1日一回は最低でもバックアップを取るように、自動化することをオススメします。バックアップを自動化できるプラグインもあるので、活用して下さい。
テーマやプラグインは常に最新に
CMSの脆弱性はWordPressに限らず、どのCMSでも定期的に発見されます。アップデートすることにより、脆弱性が改善されます。
しかし、脆弱性を放置したままサイトを運用すると、ターゲットにされやすくなります。CMSのアップデートがあった場合、必ず実行し、WordPressのコア、プラグイン、テーマを常に最新に保ってください。
目的別WordPressセキュリティ対策
不正ログイン対策
パスワードを再設定WordPress管理画面へのログインパスワードを、大文字、小文字の半角英数字が入った複雑なものに変更します。目安としては、パスワードの強度が「強」となるようにしましょう。
もし、自分では難しい!という方は、こういったサイトも活用しましょう。これは、設定した条件にしたがって、乱数を取得してくれます。桁数とチェック項目にチェックを入れるだけで、強固なパスワードが作成できるのでオススメです。
また、以下のような推測できるパスワードは絶対にやめましょう。
- ドメイン名の一部
- 辞書に登録されているような単語
- 短い文字列
- 安易に推測できるもの(admin、password、aaaaなど)
- 誕生日
ユーザー名の設定
ユーザー名が分かると、パスワードを手当り次第に当てはめて突破される可能性が上がるため、ユーザー名にも注意しましょう。例えば「admin」は、WordPressのインストール時によく初期設定されています。
そのため、「admin」が攻撃されやすくなっています。「admin」がある場合は、使用しないことと、可能であれば削除しておきましょう。また、ユーザー名は、投稿者アーカイブページのURLから簡単に推察されます。できれば投稿者アーカイブを利用しないこともオススメします。
ユーザー名・パスワード運用の注意点
アカウントのログインなので、注意したいのが以下の点です。
- パスワードはブラウザに保存しない
- 「ログイン状態を保存する」を使用しない
また、画像認証の導入も検討しましょう。
この方法は、ボット避けに有効な手段です。
プラグインがあるので、有効にするだけで手軽に画像認証を使ったログインができます。
ログイン画面へのアクセス制限
ログイン画面(wp-login.php)へのアクセスは、(.htaccess)を書き換える事でできます。以下を追記しましょう。ただし、IPアドレスが固定でない場合は利用できないので、注意してください。
Order deny,allow
Deny from all
Allow from IPアドレス
</Files>
データ漏洩対策
wp-config.phpへのパーミッション設定
(wp-config.php)には、データベースにアクセスするためのIDやパスワードなども記述されているます。そのため、このファイルがターゲットにされやすいのです。
なので、(wp-config.php)をパーミッションを、標準の「644」から「400」に変更することをオススメします。変更は、FTPソフトの機能をご利用ください。
SSL/TLSを用いたhttps暗号化通信
最近は、ホームページ全体を常時SSL化する事が当たり前になっています。SSL/TLSというのは、通信を暗号化することで第三者による盗聴・改ざんを防ぎます。
皆さんもネットでホテルを予約したり、何かを買ったりしますよね。もし、暗号化されていないと、クレジットカードの情報などが抜き取られ、身に覚えのない請求がされたりします。暗号化されているかどうかは、URLでわかります。
プラグインで暗号化ができるので、ぜひ活用してください。
スパムコメント対策
投稿の制限をする
無限にコメントを投稿できないように、設定する事が大切です。コメントを承認制にしたり、ユーザ登録をしないとコメントできないように制限しましょう。
プラグイン「Akismet」の利用
コメントスパム対策のプラグインを利用しましょう。Akismet は、スパムコメントをフィルタリングしてくれるので、スパムコメントかどうかの選別もしやすくなります。
まとめ
いかがでしたか?もし、あなたがなんのセキュリティ対策を行わなかった場合、起こる危険性は以下の通りです。
- アカウントの乗っ取り
- コンテンツやページデータの改ざん
- スパムコメントの量産
- 情報流出
これらの危険からあなたのサイトを守るためにも、ぜひセキュリティー対策を行なってください。