皆さん、こんにちは! 富士通クラウドダイレクトの中の人Sです…。
最近、土日の暇つぶしで見始めた鬼滅の刃のアニメが意外と面白くてついつい最新シーズンまで全部見てしまいましたが、印象に残ったキャラクターは「半天狗」です。
ところで、以前初心者向けのWebサーバー構築の記事を書きましたが、今回は続編としてWordPressのセキュリティ問題についてお話します。
個人事業主や中小企業の人(大企業でも使っていますが…)に絶大な人気を誇るWordPressですが、実はセキュリティ面で要注意のソフトウェアであることは意外と知られていません。プラグインを活用してセキュリティ強化を図る方法があります。
WordPressが狙われやすい3つの理由
利用者が多いので攻撃対象になりやすい
公式サイトに記載されていますが、全世界のWebサイトの43パーセントがWordPressで作られているとのこと。
Webサイトを見たら半分はWordPressと思え!
ということなので、攻撃者にとっては作業がはかどるターゲットなのだと思います。
OSSなので攻撃者が脆弱性を見つけやすい
WordPressは、OSS(Open Source Sofwear)です。
つまり、ソフトウェアのソースコードが公開されているので、悪意のある攻撃者たちが脆弱性を見つけやすい環境が整っていると考えられます。 最近だと通称「Log4Shell」というApache Log4jの脆弱性を利用したサイバー攻撃が問題になったのを記憶している方も多いと思います。
もちろん、OSSの開発側も脆弱性が生じない努力はしているでしょうし、顕在化した脆弱性の対策に努力されていると思いますが、いかんせんOSSは自己責任で利用する側面が強いため、利用者側が旧いバージョンを使い続けると脆弱性の対策が行われないケースが生じます。
そもそもOSSとは何か?
という話については、下記の動画を見てください。 www.youtube.com
管理権限へのアクセス制御が弱い
WordPressは、Webサーバーソフトですが手軽なCMS(コンテンツマネジメントシステム)として利用できるのも人気のポイントです。
管理画面のログインURLとユーザー名とパスワードが漏れてしまうと、誰でも手軽に他人のWebページを書き換えたり、悪意のあるマルウェアを仕込んだりすることが出来てしまいます。
後述しますが、WordPressは標準状態で管理画面のURLが容易に推測できてしまう仕様になっているため特に注意が必要です。
ど、どうすればいいのでしょうか?
単純なユーザー名/パスワードは危険
WordPressに限らないですが、サーバー関連ソフトではユーザー名を何となく「admin_ドメイン名」とかにしてしまいがちだと思います。
特にWordPressでは誰でも推測できそうなユーザー名は避けましょう。
パスワードも8文字以上で英字・数字・記号を織り混ぜたものにするなどのごく一般的な対策は最低限行いましょう。
ログインURLも変更したほうがいい
WordPressのログイン画面のURLは、初期状態でそのサイトのドメイン名の後に「/wp-admin」もしくは「/wp-login.php」をつけたものになります。
理論的には、ブルートフォースアタックでユーザー名/パスワードを見つけてしまえば管理権限を奪取することが可能です。
WordPressの標準機能では、ログインページのURLを変更することができないので、プラグインを使って変更できるようにする手法が一般的です。
※他にも方法はありますが、ソースコードを編集する必要がある難易度が高いものなので今回は紹介しません。
プラグインで対策するのが一般的
こういったプラグインでURLを変更しましょう。 ja.wordpress.org
また、ログインの認証を強化する機能を追加出来るプラグインもあります。 ja.wordpress.org
「WordPress ログイン脆弱性 対策」などの検索キーワードで他にもいくつかのプラグインがでてくるはずです。
※プラグインそのものにも、脆弱性が見つかる可能性もあるので、提供者からの脆弱性情報は見逃さないようにしましょう。
まとめ
ココまでのお話を箇条書きにしてみました。
・WordPressはインストールしっぱなしだと危険
・IDパスワード管理は基本中の基本
・脆弱性が見つかったらアップデートする
・管理画面のアクセス制御が重要
・プラグインで管理画面のURLを変える
・ログイン認証の強化も有効
WrodPressは全世界的にユーザーも多く、活用情報も豊富な反面、攻撃の対象にもなりやすいという事実も理解した上でご利用ください。
セキュリティ対策は、残念ながら「コレをやれば絶対安全」という方法はありません。 「これはやっておくべき」という対策を怠って、「自分だけは大丈夫」などと思っていると足元をすくわれることになります。
SNSなどで最新の情報をキャッチアップしつつ、IPA(独立行政法人情報処理推進機構)などで、重要なセキュリティ情報を確認して必要に応じて迅速に対処しましょう。
最後に宣伝です。
FJCloud-V無料トライアル実施中!
この機会に ぜひ、FJCloud-Vをお試しください。
こちらをクリック↓↓↓↓↓↓↓