こんにちは、ロリポップCRチームエンジニアのmochikoです。今回は、今すぐチェックしてほしいWordPressのセキュリティ対策についてまとめていきます。
セキュリティ対策を怠って攻撃を受けると、あなたのサイトが被害を受けるだけではありません。
そのサイトが悪用されてまったく無関係な人への攻撃に使われてしまったり、個人情報などを管理している場合は、個人情報が抜き取られてしまったりと、被害を拡大させるリスクもあります。
セキュリティ対策で「絶対安心な方法」というものは、残念ながら存在しません。攻撃手法も日々進化しています。だからこそ、いろいろな対策を組み合わせることで、少しでもリスクを減らしていただきたいと思います。
対策だけ知りたい方は、最後にこれだけは確認してほしい!という対策をまとめていますので、ぜひそちらをご覧ください。
WordPressが狙われている
WordPressは世界中でもっとも多く利用されているCMS(Contents Management System、コンテンツ・マネジメント・システム)です。W3Techsの調査によると、インターネット上のすべてのサイトの41.8%がWordPressで作られています。
これは悪意のある攻撃者から見れば格好の標的です。WordPressを使っているサイトに対して、ある1つの攻撃手法が確立できれば、インターネット上の40%超のサイトに対して同じような攻撃を仕掛けることができる可能性があるからです。
WordPressを使ってサイトを運営している方には、ぜひこのことを意識して運営していただきたいと思います。
WordPressの改ざんってなに?
改ざんとは?
「改ざん」という言葉は本来、故意や悪意のあるケースも過失のケースも含む言葉です。文書や記録などに本来なされるべきでない変更が加わることを意味します。
今回の記事で「改ざん」という言葉を使うときには、悪意のある第三者(=攻撃者)から変更が加えられることを意味します。
たとえば、攻撃者によって下記のようなことが引き起こされる可能性があります。
- WordPressのプログラムの中身を書き換える
- 攻撃を行うような不正なファイルをサーバー上に追加する
では、攻撃者はどのようにして改ざんしているのでしょうか。攻撃の方法はさまざまですが、共通しているのは、なんらかの脆弱性をついて、そこを足がかりにしているということです。
脆弱性とは?
脆弱性とは、プログラムの不具合や設計上の不備などによって生じる情報セキュリティ上の欠陥のことです。攻撃者はそこを狙ってきます。攻撃者は専用のプログラムを作ったりして、日々いろいろな手法で脆弱性をつく方法を考えています。あなたのサイトも狙われているかもしれません。
改ざんされたファイルや不正に設置されたファイルのプログラムは、あなたのサイトから情報を抜き取ろうとしたり、更なる攻撃の起点になったりします。
もちろんせっかく作って運営していたサイトが壊されてしまうのは大変辛いことですが、それだけではなく他の人への攻撃のために自分のサイトが悪用されてしまう可能性があるのです。
では、実際になにが起こるのか、具体的な事例を見ていきましょう。
事例1. WordPress管理画面への不正アクセス
どんなことが起こるの?
ドメイン名/wp-admin.phpやドメイン名/wp-login.phpというURLに対して直接アクセスして大量のIDとパスワードの組み合わせを試してログインできるものがないかが試みられるようなケースです。
たとえば、使っているパソコンがウイルスに感染していたり、複数のサービスでパスワードを使いまわしていたり、予測されやすいパスワードを使ったりしている場合に、この手法で不正ログインされてしまい、被害に遭うことがあります。
攻撃による影響は?
WordPressの管理画面にログインできるということは、サイト管理者と同じことができるということを意味します。
具体的には、サイトのデータを改ざんされたり、データベースからデータを抜き取られたりするということです。データベースに個人情報を含む場合は、このような不正ログインによって個人情報流出が起こります。
改ざんされたサイトはどうなるの?
見た目はまったく正常でも、裏で不正なプログラムが動作していることもあるので、どのような状態であるかは一概にいえません。しかし、見た目上でもエラーが出て正常に閲覧できなくなったり、ファイルの更新がうまくいかなかったりなど、なんらかの不具合が発生しているケースが多いようです。
事例2. WordPress本体やプラグインの脆弱性をついた攻撃
どんなことが起こるの?
WordPress本体やプラグインのプログラムの脆弱性をついた攻撃では、その手法はさまざまです。攻撃者は脆弱性をつくことで管理画面にログインしたり、データベースへアクセスしたりということが可能になります。
しかし多くの場合、プログラムの脆弱性はWordPressやプラグインの配布元で速やかに修正されて公開されています。つまり、プログラムをしっかりアップデートしておくことで、脆弱性をついた攻撃にある程度対処できることになります。
WordPressやプラグインのアップデートを怠っていると、このような脆弱性に対処するための修正が適用されないまま、サイトを公開していることになります。これは大変危険なことです。
攻撃による影響は?
脆弱性をついて不正アクセスをすることで、攻撃者は管理画面のIDとパスワードを手に入れることができます。そうなると、サイトの改ざんやデータベースの情報を盗まれたりすることにつながるのは、事例1で紹介したとおりです。
事例3. コンタクトフォームの悪用
どんなことが起こるの?
これまでの事例とは少し違って、これはコンタクトフォームの正常な動作を悪用した事例です。
フォームの利用者あてに確認メールを送るための自動返信機能を悪用します。攻撃者は他人のメールアドレスを使ってフォームを入力することで、そのアドレスにスパムメールを送り付けます。
自動返信機能を使わない設定にするか、不正投稿を防止するreCAPTCHAなどを使うことで防ぐことができます。
攻撃による影響は?
フォームを悪用されるということは、サイト運営者がスパムメールの送信元になってしまうということです。これは、サイトを運営している会社やあなた自身の信頼性に関わることです。
繰り返しになりますが、これはフォーム自体の正常な動作を悪用されているものなので、プログラムの脆弱性についての話ではありません。対策をするにはサイトの運営者による設定の変更や見直しが必要です。
WordPressのセキュリティ向上のための最低限の対策
3つの事例を通して、どのようなことが起こるのかを見てきました。
セキュリティ向上のための対策は多岐にわたります。WordPressの提供元のサイトでは設定ファイルの権限などについて、詳しく紹介されています。一度目を通してみて、できそうだなと思う項目はぜひ対応しましょう。
とはいえ、コンピュータやネットワークに詳しくない人にとっては、難しくてハードルが高いと感じることも多いと思います。最低限の対策として、いくつか簡単にできるものを下記にまとめました。
管理画面について
- wp-admin配下にBASIC認証を設定してアクセスを制限する(ロリポップではユーザー専用ページから手軽に設定できる方法を提供しています)
- セキュリティ系のプラグインを導入して管理画面のログインURLを変更する
ログインユーザーの管理
- adminなどの予測されやすいユーザーIDを使わない
- アクセスが不要になったユーザーIDを削除する
パスワードについて
- ドメインやユーザーIDを含む予測されやすいものにしない
- 少ない文字数や繰り返しの文字列にしない
- パスワードを複数のサービスで使い回さない
WordPressとプラグインの管理
- WordPress本体とプラグインのアップデートを適用する
- プラグインを新しく導入する際は信頼できるものか確認する
- 不要になったプラグインは削除する
コンタクトフォームの対策
- 不正投稿をブロックするような仕組み(reCAPTCHAなど)を導入する
- 自動返信機能を使わない
レンタルサーバーを利用している場合は、サービス側から提供されている機能を活用するのも効果的です。たとえばロリポップでは、以下のような機能を提供しています。ご利用中のサービスでも確認してみると良いでしょう。
最後に、もっとも基本的なことですが大切なこととして、定期的にサイトをチェックすることをおすすめします。
- サイトにアクセスしてみて正常に表示されるかどうかを確認する
- FTPソフトなどを使ってサーバー上に不審なファイルが置かれていないかを確認する
被害にすぐに気づけるかどうかは、サイトのデータを復旧できるかどうかの分かれ目になることもあるので、できるだけこまめに確認をするようにしましょう。
もし改ざん被害にあったら
セキュリティの対策をしていても、残念ながら被害にあってしまうことはあります。もしも被害に気付いたら、自分のサイトが攻撃者に悪用されないようにするためにも迅速な対応が必要です。
- 使用しているパソコンのウイルスチェックを行う
- 管理画面にログインできる場合はただちにパスワードとログインIDを変更する
- 管理画面にログインできない場合はFTPソフトなどからWordPressの設定を変更する
- FTPやSSHのログインパスワードを変更する
- バックアップデータでサイトのデータを改ざん前の状態に戻せる場合は戻す
もしもの時に備える意味でも、サイトのデータは定期的にバックアップを取っておきましょう。ロリポップではバックアップオプションも提供しています。
まとめ
いつ自分が攻撃者から狙われてもおかしくないということを認識して、普段からセキュリティに対する意識を高めて対策を行いましょう。対策は1つではなく、複数組み合わせて行うのがポイントです。
また、いざというときのためにバックアップで備えておくことと、できるだけ被害を迅速に把握することが大切です。自分のサイトを定期的にメンテナンスするように心がけましょう。
