WordPressのセキュリティリスクとプラグインなどによる対策
不正ログインなどWordPressのリスクの概要や要因、そしてプラグインやサーバー設定などでできるセキュリティ対策などを紹介します。
WordPressを使うことのセキュリティリスクとは
無料のCMSとして世界中で利用されているWordPressは、セキュリティという面ではリスクともいえる点があります。WordPress自体が必ずしも脆弱性の大きいシステムというわけではないのですが、WordPressでウェブサイトを運用する場合、以下のような点に注意する必要があります。
- 有料CMSと比べるとメーカーサポートはない。
- オープンソースなので誰でもソースコードを見ることができる。
- 利用しているサイトが多いため攻撃対象にされやすい。
- セキュリティホールなどの脆弱性情報が知られやすい。
- テーマやプラグインとの組み合わせなどでもトラブルが起きる。
WordPressの脆弱性を突かれた場合のトラブル例
WordPressで運用しているウェブサイトが悪意ある第三者に攻撃された場合、起き得るトラブルとしては以下のようなものが挙げられます。
- コメントや問い合わせフォームなどにスパム送信される。
- 大量アクセスなどによってコンテンツや管理画面が表示されなくなる。
- ウェブサイトの投稿や固定ページを改ざんされる。
- 登録されているユーザー情報や問い合わせ内容などのデータを盗まれる。
- 管理者アカウントを乗っ取られる。
WordPressのプラグインでセキュリティ対策をする方法
WordPressのセキュリティ対策プラグインでは定番ともいえるのがSiteGuard WP Plugin。
以下はSiteGuardのダッシュボードに表示される各メニューの設定状況です。
特に重要な4項目について、簡単に説明しておきます。
管理ページアクセス制限
WordPressの管理画面用ファイルがあるディレクトリ、/wp-admin/以下へのアクセスを制限する機能。24時間以内にログインしたIPアドレスだけがこのディレクトリにアクセスできます。
ログインページ変更
WordPressのログイン画面のURLを任意に変更することができます。デフォルトのままだと攻撃されやすいので、その回避策のひとつです。
画像認証
ログインページ・コメントページ・パスワード確認ページ・ユーザー登録ページに、それぞれ入力項目だけでなく画像認証を追加できます。「ひらがな」「英数字」「無効」の設定を選択できます。
XMLRPC防御
ピンバックもしくはXMLRPCを無効化することが可能。プラグインの利用状況や更新作業体制などにもよりますが、XMLRPCは攻撃対象となるリスクがあるので、できれば無効化したいところ。
サーバー設定でも可能なWordPressのセキュリティ対策
当サイトではお名前.comレンタルサーバーRSプランを利用しています。
このサーバーにはWordPressのセキュリティ対策機能と、サーバーとしてWAF(Web Application Firewall)が利用できるので、これらも活用しています。
WordPressのログイン・コメント・国外アクセスを制限できる
レンタルサーバーのコントロールパネルで、WordPressのセキュリティ設定ができます。
管理画面ログイン制御は短時間かつ同一IPアドレスから管理画面への多数アクセスを制御するもの。
当サイトはコメントを使っていないのと、日本国内からのアクセスのみを想定しているため、コメントや国外アクセスも制限しています。
攻撃を検知できるWAFでウェブサイトを守る
WAFとはサーバー上で動作するFirewallアプリケーション。これもレンタルサーバーの標準機能として利用できます。
WAFが攻撃と思われるアクセスを自動検知してくれるので、通常人的対応は不要。どのような不正アクセスがあるのか、定期的にチェックするのもいいでしょう。
