WordPressの脆弱性って?Webサイトのセキュリティ対策について

カテゴリ
Web制作  Web運用ノウハウ 
タグ
Web制作のポイント  CMS  セキュリティ 
B!

最近、情報漏洩やWebサイトの改ざんなど、セキュリティに関するニュースをよく耳にします。その中でも、Web制作の際に耳にする機会が増えたのが、WordPressの脆弱性についてです。ただ、なんとなく危ないと聞いていても、何をどこまですれば安全なのかはわからない、といった相談も増えています。

本日は、WordPressの脆弱性の話から、一般的なWeb運用のセキュリティ対策についてお話ししたいと思います。


wordpress

WordPressとは?

WordPressは、今日ではホームページの約33%で利用されていると言われる、世界で最も利用者の多いオープンソースのCMSです。無料から使える上に、プラグインやモジュール追加など、高いカスタマイズ性を誇り、世界中から人気を集めています。2003年に開発が始まり、企業ブログからコーポレートサイトなど、幅広いジャンルのWebサイト構築に用いられています。

また、CMSの特徴でもある更新性も備えており、CMSといえばWordPressと言っても過言ではないほど、圧倒的なシェアを誇っています。

CMSについてもっと詳しく知りたい方はこちらから↓
CMSとは?種類やメリットデメリットを徹底解説

WordPressで懸念される脆弱性について

圧倒的なシェアを誇るWordPressですが、近年ではセキュリティの脆弱性について心配の声が上がっています。WordPressの導入数が増加する一方で、オープンソースという弱点を狙うサイバー犯罪者も増えています。せっかく狙うのであれば、利用者の多いCMSをという理由で、不正アクセスやWeb改ざんのプログラムが相次いで現れています。

つい最近でも、nited States Computer Emergency Readiness Team (US-CERT)は3月14日(米国時間)、「WordPress Releases Security Update|US-CERT」において、WordPress 5.1およびこれよりも前のバージョンに脆弱性が存在すると伝えられています。


ただし、WordPressに限らずとも、年々サイバー攻撃の件数も増えており、その事実も人々を不安にさせている要素の1つです。

増加するサイバー攻撃

画像引用元:サイバー攻撃の件数など統計情報

例えば、WordPress以外にもDrupalというCMSで、脆弱性が確認されています。

United States Computer Emergency Readiness Team (US-CERT)は1月16日(米国時間)、「Drupal Releases Security Updates|US-CERT」において、CMS (Content Management System)であるDrupalに複数の脆弱性が存在すると伝えた。

引用元:https://www.excite.co.jp/news/article/Cobs_1865183/

このように、WordPressだけではなく業界全体として、セキュリティに関しての重要度が上がっています。その中でも特に狙われやすいCMSがWordPressとなっているだけであって、WordPress以外のCMSでもリスクはあり、責任者を立てて管理をする必要があります。

WordPressの脆弱性を対策するには?

WordPressの脆弱性を対策する方法には、専門知識がなくても今すぐできることがいくつかあります。これをやるだけでサイバー攻撃のリスクを低減できますので、ご利用の方は以下の方法を試してみましょう。

最新版へのバージョンアップ

基本的な対策として、常に最新の状態にアップデートすることでセキュリティを高められます。アップデートの情報はWordPressの管理画面(ダッシュボード)で通知されますので、定期的にチェックしながら最新の状態を保つよう心がけましょう。

なお、バージョンアップをする前にバックアップを忘れずに。WordPressには「BackuWPup」「UpdraftPlus」などバックアップ用のプラグインも用意されていますので、これらを活用すると作業漏れを防げます。

ユーザーIDとパスワードの強化

管理画面へアクセスする際に用いるユーザーIDとパスワードは、他者に推測されないような文字列に変更します。ユーザーIDは「admin」のままでニックネームと同一だったり、パスワードは簡易的な数字の羅列だったりすると、攻撃者は容易に推測し、サイバー攻撃の対象になります。ユーザーIDとニックネームは違うものを使用し、またパスワードもできるだけ複雑な文字列にして強化しましょう。

また、ユーザーIDとパスワードを定期的に変更するのもセキュリティを高められます。できれば、3カ月に1回を目安に変更するよう心がけましょう。

ディレクトリ構造は非表示に

最新バージョンのWordPressでは、ディレクトリ構造が非表示設定になっていますが、ディレクトリ構造が見える旧バージョンをお使いの場合は、非表示に設定します。

WordPressのディレクトリ構造は容易なため、プラグインやテンプレートの情報なども攻撃者が閲覧しやすい環境ともいえます。外から見られないよう設定を見直しましょう。最新バージョンへのアップデートもお忘れなく。

未使用のプラグインは削除する

使用していないプラグインやテーマは、できるだけ削除するようおすすめします。特に、全ユーザーの利用率の低いマイナーなものは、バージョンアップされないこともあり、脆弱性が発見されたときには手遅れになるリスクもあります。

実績がありバージョンアップも高頻度で実施されているようなプラグインやテーマを選ぶことで、攻撃リスクを低減できます。

Web運用で最低限抑えたいセキュリティ対策

このほかにも、CMSでWeb制作を行う場合に最低限抑えたいセキュリティ対策について紹介します。100%穴をなくすことはできないのですが、ここまでやっておけばひとまず合格ライン、といった内容です。制作会社様も、発注者様も参考にしていただければと思います。

ネットワークでの対策

D-Dos対策

D-Dos対策とは、インターネット上のトラフィックを増大させ、通信を処理しているネットワーク回線やサーバの機能を占有する帯域飽和型のサイバー攻撃です。WAFやIPSにより対策が可能です。

IPS

お客さまのネットワークを最新の状態に保ち、不正アクセスや攻撃などの兆候や深刻な脅威を検知・防御するサービスです。

FW(ファイアウォール)

内部ネットワークと外部インターネットの間に設置することで両者間の通信を制御し、内部ネットワークの安全を保護します。

Webサーバでの対策

WAF(ウェブアプリケーションファイアウォール)

外部のネットワークからの不正アクセスを防ぐためのファイアウォールの一種で、特に、Webアプリからの不正アクセスを防ぐものを差します。

パッチマネジメント

ソフトウェアに穴やほころび(バグ)が発生した際につくられる修正用のパッチファイルを適用したり、適用状況を把握し管理する運用方法です。 

24時間監視

CPU使用率、メモリ使用率、ディスク使用率などサーバのロードバランスを常に監視し、問題の予兆を確認した際は、有人監視に切換えて対応を行います。

アプリケーションでの対策

IPアクセス制限

CMS管理画面に対して関係者以外アクセスが出来ないようにIPアドレス制限を設定することができます。

ホームページの脆弱性対応(サニタイジング)

クロスサイトスクリプティングやSQLインジェクションに対応するため、特別な意味を持つ文字(記号など)を無効化して意図したアクションをさせないようにする処理です。

災害復旧(DR)対策

マネージドGSLB(広域サーバージ負荷分散)サービス

データセンター拠点やクラウドサービス間で、負荷分散やバックアップサイトへの自動切り替えを行い、ダウンタイムを最小限に抑えることができます。

バックアップ

バックアップサーバにて差分取得を10世代分保存しております。※ただし、あくまで有事の際に利用するデータなため基本的にはアプリ側で取得するバックアップをご利用いただきます。

以上のように、単一の対策だけではなく、レイヤーごとの多層防を行っていくことで、安心してWebの運用を行うことが可能になります。

サイバー攻撃への多層防御

 

ただし、すべてのセキュリティ対策を行うには業務範囲が膨大になってしまうので、信頼できるパートナーを見つけることも重要です。





WordPressで特に抑えたいセキュリティ対策

CMSの一般的なセキュリティ対策について見てきましたが、特にセキュリティを意識すべきWordPressについて簡単に触れたいと思います。WordPressにはさまざまなプラグインやテーマがあり、そのなかに脆弱性が潜んでいることがあります。

例えば、2017年にはサイト訪問者の動向を確認できるアクセス解析データをわかりやすく表示する無料のプラグイン「WP Statistics」にクロスサイトスクリプティングの脆弱性が見つかりました。ホームページ管理者の同意なく、第三者によって任意のスクリプトを実行されてしまうリスクがあります。

カスタマイズが自由自在で、機能追加も容易にできる分、当初はなかった穴を作ってしまうリスクもあるのがWordPressの特徴です。先に紹介したセキュリティと合わせて、WordPressは特に注意していくとよいでしょう。

 

まとめ

WordPressの概要から、セキュリティ対策について解説しました。
話題になりやすいWordPressの脆弱性だけではなく、Web運用にはやるべきセキュリティ対策がたくさんあります。世の中的にもセキュリティに関する関心が高まっている今だからこそ、改めて自社の運用の見直しを行ってみてはいかがでしょうか。

また、弊社も自社CMS(BlueMonkey)のパートナーを募集しております。WordPress以外に提案できるCMSを持ちたいWeb制作会社様は、下記ページよりお気軽にお問い合わせください。

BlueMonkey パートナープランはこちら

【関連記事】

Web制作業界におけるカスタマーサクセスについて

 

合わせて読みたい

ホームページ制作の相場は?項目別の相場一覧

【保存版】ホームページ制作会社の業者選定で抑えるべきポイントまとめ

業者選びは見積金額だけじゃない!格安Web制作会社を選ぶ注意点とは

CMSの概要と種類を1から解説!無料から有料までおすすめCMSをピックアップ。

 

関連記事

不動産・住宅に関連したおしゃれなホームページ事例7選!

【事例付き】飲料・食品業界のホームページに必要なコンテンツとは?

【BtoB企業のWebサイト向け】更新コンテンツの見つけ方

Web制作会社が取り組むセキュリティ対策について

Web制作会社が持つべきマインドセットと体制づくりについて

Web制作会社のよくある悩み〜なぜ毎月納品に追い込まれるのか〜