- WordPressってインストールしたらあとはそのまま使ってて大丈夫?
- WordPressはセキュリティ面が弱いって聞いたけどなんで?
- WordPressのセキュリティ対策ってどうしたらいいの?
この記事で解説するWordPressが抱えるセキュリティリスクについて理解すれば、どんなことに気をつけながら対策を行っていけばいいのか、どんなことに気をつけながらブログ運用をしていけばいいのかが理解できるようになります!
長い時間をかけてせっかく良い記事をたくさん書いてGoogleからも評価の高いブログを作ったのに、乗っ取られたりぐちゃぐちゃにされたら嫌ですよね?
嫌ってもんじゃないですね・・・
ブログは財産!しっかりと守っていきましょう!
WordPressにセキュリティ対策は必須!
WordPressは初心者でも誰でも簡単にWebサイトが作れる便利なCMSですが、だからこそセキュリティ面が弱いという大きなデメリットがあります。
現在、世界中のインターネット上でアクセスできるWebサイトのうち、実に40%以上のWebサイトがWordPressで作られていると言われています。
それほど圧倒的なシェアを獲得できたのは、WordPressが初心者でも簡単にWebサイトを構築できる上、プラグインを使って誰でも簡単に自分好みに柔軟なカスタマイズをすることができるという点にありますね。
また、多少のプログラミングスキルさえあれば、プラグインを使わずともオリジナルの機能を組み込むことができるカスタマイズ性も備えています。
これらの説明は大きなメリットのように聞こえますよね?
確かに大きなメリットであることは間違いありませんが、逆に考えてみましょう。
世界的に使われているからこその脆弱性
これだけ世界的に広く使われてカスタマイズ性も高いということは、世界的に広くWordPressの仕組みが知れ渡っているということ。
仕組みがわかれば攻撃の仕方もわかってしまうことから、仕組みが知れ渡れば知れ渡るほどにそれだけ悪質なエンジニア(ハッカー)の攻撃対象となることは容易に想像ができますね。
そもそも、WordPressはオープンソースのCMSであることからも内部構成は誰でも確認することが可能であり、セキュリティホールが発見された場合も筒抜けなんです。
また、初心者でも簡単に使えるということは、逆を言えば『ITの知識がない人たちもたくさん使っている』ということなので、ハッカーにとっては格好の獲物!
ソースコードや内部データを全て公開し、誰でも無料で使用できるだけでなく改変や再配布も可能とする仕組みのことです。
一般公開するため多くのエンジニアに使われることで、セキュリティの脆弱性が見つかりやすくなり早急に対応できる反面、ハッカーによる攻撃の対象にもなりやすくなります。
コンテンツマネージメントシステムの略で、Web制作の知識がない人でも簡単にサイトを構築することができるシステムを指します。
WordPressは世界的なシェアを誇るCMSですが、他にも無料版から有料版まで数多くのCMSが存在します。
システム内のプログラミングミスや構成上のミスによるシステム的な欠陥を指します。
ハッカーはこれらのセキュリティーホールを攻撃してきます。
筒抜けの脆弱性
WordPressは新たなセキュリティーホールが見つかっては修復されての繰り返しですが、世界的なシェアを誇る今では基本構造だけはなかなか変えることができません。
根本的な構造を変えてしまうと、既に利用しているブログで表示崩れや意図しないエラーが発生する可能性もありますし、既に多くのエンジニアに理解されている仕組みを今から変えると利用者離れがおきてしまいます。
そのため、以下の3つについては明らかなリスクがわかっていても、各自でセキュリティ対策を施すしかありません。
- ログイン画面
- ユーザー名とニックネーム
- データベースデータ
ログイン画面
例えばログイン画面。
WordPressの利便性上仕方がないことではありますが、インストール時点ではログイン画面へのURLはみんな統一されて同じです。
つまり、【https://[ドメイン名]/wp-login.php】とアクセスしてみれば、知らない人が運営するブログのログイン画面に簡単にたどり着けちゃうんです!
これがどれだけリスクのあることかおわかりでしょうか。
例えばセキュリティ攻撃には【ブルートフォースアタック攻撃】という攻撃手法があります。
これは別名【総当たり攻撃】と呼ばれ、考えられる限りのログインIDとパスワードの組み合わせを全て試すことで不正ログインを試みる攻撃のこと。
実際にはプログラムを使って機械的に高速で行われるため、ログイン画面へのURLが筒抜けのWordPressではパスワードの強度によっては突破されるのも時間の問題なんです。
そのため、ログインURLを変更することが重要です。
ユーザー名とニックネーム
WordPressインストール時点でユーザー名を設定しますが、このユーザー名のまま運用を続けるのは危険です。
なぜなら、テーマにもよりますが記事上に作成者名としてユーザー名が表示される場合があるため、不正ログインのヒントを与えてしまうことになります。
これはニックネームを設定しておくことで対策できます。
ニックネームとは、ユーザー名とは別に表向きに表示する作成者の名称で、ニックネームを設定しておけば記事上の作成者名にはユーザー名ではなくニックネームが優先して表示されるようになるため、ログインIDの漏洩を防ぐことができます。
データベースデータ
WordPressの基本的な仕組みとして、以下の構成情報が揃って動作しています。
- HTML・CSS等のデザインを構築する静的データ
- JavascriptやPHPなど、Webページに特定の動作をさせる動的データ(プログラミング)
- MySQL等で構築される、記事データやログイン情報などの重要データを保管するデータベースデータ
この中で最も重要なデータが、データベースデータです。
財産でもある記事データを含むだけでなく、ログイン情報等の様々な内部情報を保管しているため、なんとしても守らなければなりません。
しかし、データベースは基本的に別途パスワードで保護されていますが、【wp-config.php】というファイルの中にログインID&パスワードが記述されています。
【wp-config.php】ファイルの設置場所はWordPressで共通となっており、WordPressの構造はオープンなのでしっかり守らなければ簡単に流出してしまいます。
しっかりとアクセス制限をかけて外部からは見れないようにすることが大切です。
初心者でもできるセキュリティ対策
セキュリティはITの分野の中でもかなりレベルが高く、IT初心者には正直言って簡単に対策できるレベルではありません。
しかし、WordPressには誰でも簡単にカスタマイズができる特性、つまりプラグインがありますね!
この特長を利用すれば、基本的なセキュリティ対策についてもプラグインを使ってある程度簡単に実装することができます。
具体的には以下のようなプラグインを利用します。
- 定期バックアッププラグイン
- セキュリティプラグイン
定期バックアップ
セキュリティ攻撃の目的は様々ですが、脆弱性をついてサイトの様々なデータを改変し、乗っ取りや不正行為の踏み台に利用したりします。
このようにサイト内の多くのデータを改変されてしまうと、不正利用者を追い出すことができたとしてもデータの修復にめちゃくちゃな時間がかかる、もしくは修復不可レベルでサイトを0から構築し直さないといけない、ということも有りえます。
こんな時、事前にバックアップを取得しておけば、バックアップデータで上書きすれば一瞬で元通り!
トラブル対策のためのバックアップですが、セキュリティ攻撃を受けたあとの復旧作業にも大きな役割を果たすため、必ず備えておきましょう。
バックアップについては以下の記事で詳細に解説しています。
セキュリティプラグイン
先程のログインURLの変更方法やデータベースデータの保護など、プラグインを使ってデフォルトの設定から変更することで外部から隠すことができ、知ってる人でないとアクセスできないようにすることなどが可能になります。
また、ブルートフォースアタック対策として、例えば3回以上ログインに失敗したアクセス者をブロックすることもできるようになります。
このように、本来はある程度のセキュリティの知識やプログラミング技術がないと対策できないことまでプラグインを使えば簡単に対策できるようになります。
僕はWordPressをインストールしたあとは、真っ先にセキュリティプラグインから実装してますよ!
セキュリティプラグインについては以下の記事で詳細に解説しています。
※ただいま準備中です
まとめ
最後に、ご紹介した内容をおさらいしておきましょう。
- 世界的に有名なオープンソースのCMSなので、システム構成が広く知れ渡っており、攻撃を受けやすい
- ログイン画面、ユーザー名、データベース保護に気をつける
- WordPressをインストールしたら真っ先にプラグインを使ってセキュリティ対策をする
ご紹介した内容を実践したなら、今よりも安心してWordPressを使うことができるようになったはずです。
セキュリティ対策に必要なのはこれだけではありませんが、とりあえず基礎的な部分を知っておくだけでも今後のブログ運営に大きく役に立つため、必ず対策しておきましょう!
以下の記事ではエックスサーバーを利用している人なら簡単にできるサーバーパネル上でのセキュリティ対策を解説しているので、ぜひご覧ください。
▼ コメント ▼