こんにちは、CTOの芳崎です。
今回は「WordPressサイトにおいて、最低限行うべきセキュリティ対策」について解説していきます。
「Webサイトのセキュリティが不安だけど、何をしたら良いかわからない」と感じている方も多いのではないでしょうか?
サイバーセキュリティが重要視されている今、自社サイトのセキュリティも他人事ではなくなってきました。
まずは自分でできる対策を、コストをかけずにやってみたいと考えている方も多いでしょう。
本記事を読み、実際に自分のサイトのセキュリティ対策を実行してみてください!
Contents
想定している読者の悩み
・WordPressでサイトを作ったけど、どうやってセキュリティ対策するの?
・セキュリティ対策って難しそうだけど、自分でできることがあればやりたい。
・お客様のサイトを制作したけど、セキュリティが不安。
このようなお悩みを解決します。
本記事の内容
・ログインパスワードの強化
・ログイン画面URLの変更
・プラグインの更新
・プログラムの最新バージョン適用
上記内容について、詳しく解説していきます。
CTO 芳崎の経歴・プロフィール
高校時代にプログラミングを独学し、大学在学中にWebコンサルティング会社を立ち上げる。(売却済み)
その後、都内セキュリティ専門企業でホワイトハッカーとして脆弱性診断(システムに欠陥がないかを診断する業務)を行う。
現在はamplitのCTOとして、エンジニアリング・エンジニア育成を行っている。
上記のような経験を基に、わかりやすい技術情報をお届けします。
それでは本題に入ります。
ログインパスワードの強化
WordPressには管理画面へ入るための、ログイン画面が存在します。
管理画面からはサイトのすべてを操作できてしまうため、悪質なハッカーのログインはなんとしてでも阻止しなければなりません。
ユーザー名は、「http(s)://ドメイン名?author=1」にアクセスすると表示されてしまいます(表示させないプラグインがあるため使用を推奨)。
そのため、ユーザー名を複雑にするよりもパスワードを複雑化しセキュリティ強度を高める方が効果的と言えるでしょう。
また、ユーザー名が悪質なハッカーに入手された場合、ログイン画面にてブルートフォースアタック(総当たり攻撃)を受ける可能性があります。
どんなに複雑なパスワードを設定していても、連続で何回でも試行できる場合にはいつかログインされてしまいます。
上記ケースを防ぐために、アカウントロックを実装しましょう。
プラグインで簡単に設定できますので、ぜひ設定してみてください。
以下に、おすすめパスワード設定を公開します。
・パスワードは12文字以上で設定する
・大文字小文字の英数字と記号を使用する
・ログインに5回連続で失敗したら24時間アカウントを停止する
ログイン画面URLの変更
ログイン画面にたどり着いた後、ログインされにくくする方法は上記で解説しました。
しかし、そもそもログイン画面に到達されること自体に問題があります。
ログイン画面に到達されなければ、ログインされることもありません。
通常、WordPressで作成されたサイトは「http(s)://ドメイン名/wp-admin」もしくは「http(s)://ドメイン名/wp-login.php」でログイン画面へアクセスすることができます。
上記方法でログイン画面へアクセスできるサイトは、ほとんどセキュリティ対策のされていないサイトと言えるでしょう。
そのため、パスワードの強度も弱いことが多く、悪質なハッカーに不正ログインされる可能性が非常に高いです。
ログイン画面へのアクセスURLを変更するには、プラグインを使用するのが最も簡単です。
「SiteGuard WP Plugin」というプラグインを使用することで、自分の決めたURLをログイン画面URLとすることができます。
ここで決めるURLも不規則でランダムな文字列が良いでしょう。
悪質なハッカーが推測できる文字列にしてしまっては、意味がありません。
WordPressのログイン画面URLを変更することで、悪質なハッカーが「http(s)://ドメイン名/wp-admin」にアクセスしても、HTTPステータスコード404がレスポンスとして返され、ログイン画面へアクセスすることができなくなります。
上記方法の他にも、ログイン画面にBasic認証をかけるなどしているサイトもありますが、ログイン画面の存在を隠す方がセキュリティ的には良いため、ログイン画面URLの変更をおすすめします。
プラグインの更新
WordPressサイトを運営していく上で、最も重要なのが「プラグインの更新」です。
サイトのメンテナンスを怠っていると、プラグインが古いままとなり、ハッキングの足掛かりとなってしまう場合があります。
WordPressでは便利なプラグインが豊富に用意されていますが、各プラグインに脆弱性が出ることも少なくありません。
脆弱性が報告されると、プラグインの開発者が更新版を出します。
しかしこれに気づかずサイトを運営していると、脆弱性のあるバージョンを使用していることになり、悪質なハッカーがハッキングを試みるようになります。
また、脆弱性が報告されるとその攻撃方法も基本的には公開されるため、スキルの高くない悪者でもハッキングが可能となってしまいます。
更新が来ていると、「あー、また更新か、めんどくさいからいいや。」と思ってしまうかもしれませんが、その更新がセキュリティに関する更新である場合には必ず行いましょう。
使用しているプラグインを表示するツールもあるため、使用されているプラグインをサイトの外部から断定することも可能です。
悪質なハッカーはプラグインバージョン情報等を収集し、ハッキングを試みます。
情報収集の段階で、ハッキングは難しそうと思わせるためにも、各プラグイン最新バージョンの使用をおすすめします。
また、使用していないプラグインがある場合には、必ず削除しておきましょう。
プログラムの最新バージョン適用
プラグインの最新バージョン適用が済んだら、最新バージョンのプログラムを適用しているかの確認をしましょう。
WordPressはPHPというプログラミング言語で動いています。
想像しにくいかもしれませんが、プログラミング言語自体に脆弱性が現れるというのも、珍しくありません。
PHPという言語で構成されたWordPressというCMS(Contents Management System)をインストールしているため、PHPのバージョンとWordPressのバージョンの両方に気をつけなければなりません。
PHPにおける脆弱性として、直近ではSSRF(サーバーサイドリクエストフォージェリ)という脆弱性が検出され、新バージョンを発表・アップデートの推奨をしています(CVE-2021-21705)。
これらを知らずに、放置したままではセキュリティ欠陥が放置されたままとなり、悪質なハッカーは容易にハッキングをできてしまいます。
自社のサイトを守るためにも、定期的な情報収集は欠かさずに行うことをおすすめします。
まとめ
WordPressのセキュリティ対策について、4つ解説をしてみました。
貴社のサイトでは、しっかりと対策ができていますでしょうか?
解説した4つ以外にも、まだまだ多くのやるべき対策があります。
サイトを運営するってなかなか大変ですよね。
セキュリティに気をつけながら、更新頻度を上げて、デザインはきれいに…。
それでもWebからのお客さんは、これからの時代欠かせません。
これら全てをプロに任せてみるのも一つの手かもしれませんね!
株式会社amplitでは、お客様のWeb売上を伸ばすお手伝いをしています!
神奈川県厚木市にオフィスを構え、「Webに強い厚木市」を目指して数多くの企業様のWeb戦略担当をしております。(厚木市以外も対応可能です。)
ホームページ制作、LP(ランディングページ)制作、Web広告出稿をベースに、SEO対策やロゴ制作等、様々なご要望に対応することができます。
上記のように、制作からWeb集客・販促まで1社で完結できるため、お客様の費用負担を軽減することが可能となります。
弊社の社員は、大手企業コンサルタント出身者や国内最大手広告代理店の出身者、国立芸術大学で講師勤務実績のあるデザイナー、脆弱性診断士を経験してきたセキュリティのスペシャリストなどで構成されているため、高いクオリティでサービスをご提供することができます。
貴社のIT担当としてぜひamplitをご活用ください。