WordPressの脆弱性|対策ポイントや攻撃事例などを解説

 

WordPressを自社ホームページで使用されている、あるいは近々採用予定である、という会社さんは非常に多いことと思います。

そんなWordPressが、常に新しい脆弱性が発見され、悪意ある攻撃対象となるリスクから逃れられない事実を認識されていますでしょうか?

と言うと、
「ウチみたいな小さい会社のホームページを攻撃する者もいないだろう」
などと考えてしまう方もおられるかも知れません。

ですが、2017年に発生した脆弱性への攻撃では、大小150万ものサイトが改ざん被害にあいました。
ハッカーの中には、ただ攻撃することだけが目的という愉快犯も数多く存在するのです。

企業の顔であるホームページの担当者としては、大切な「顔」を汚されるような事態を、無策で受け入れるような真似だけは許されません。
顧客の個人情報をホームページで取り扱うのなら、なおさらです。

この記事は、脆弱性を放置した場合に想定される被害内容や、攻撃事例、対策などについて分かりやすくまとめたものです。
企業ホームページご担当者様は、ぜひ最後までお付き合い下さいませ。

WordPressの脆弱性とは

もしかするとWordPressが他のソフトウェアと比較して出来が悪く、それゆえに攻撃されることが多いのか、と誤解されている方もいらっしゃるかも知れませんね。
もちろん、そんなことはありません。

WordPressの脆弱性が常に問題となるのには、いくつかの理由があります。

  1. オープンソースソフトウェア(OSS)であること
  2. CMSであること
  3. 圧倒的なユーザー数を誇ること

通常のソフトウェアであれば非公開となるプログラム本文(ソースコード)を、一般に公開してしまっているのが、オープンソースソフトウェア。
世界中の有志が自由に開発に参加できるようにするため、ソースコードが公開されているのです。

反面、ソースコードが公開されることで脆弱性がより発見されやすくなるのも困った事実。

CMS(コンテンツマネジメントシステム)とは、webサイトを構築・管理するためのソフトウェア。
常にネットに公開されているソフトウェアへの攻撃のしやすさは、ローカルPCにインストールされたプログラムの比ではありません。

最後のポイントが、圧倒的ユーザー数。
最新のデータによれば、全世界の4割以上のサイトがWordPressで構築されているそうです。
攻撃するスキさえ見つけられれば、世界中にいくらでも対象が存在するのです。
WordPressは、ハッカーには絶対に見逃すことは出来ないアプリケーションと言えるでしょう。

WordPressが、利用者に高度なセキュリティ意識と対策を要求するソフトウェアであることがご理解頂けたでしょう。
次の項目から、さらに脆弱性問題を深堀りしていきます。

WordPressの脆弱性を放置すると起こりうる被害

世界シェア4割を誇るほどのCMSソフトウェアです。
なかにはセキュリティ対策など一切せず、脆弱性を放置し続けるサイトだって、いくらでもあるはず。
そんな不用心なサイトに起こりうる被害にはどんなものが想定されるでしょうか?

代表的な3つの被害についてお話します。

サイトの改ざんや削除

御社のホームページのコンテンツが、ある日悪意を持って書き換えられてしまう。
または、サイト自体を削除されてしまう。
一つ目の想定される被害は、改ざんと削除。

実際にあった事例では、全ページにいかがわしいサイトへのリンクが貼られてしまったというケースもあります。
また、御社が別サイトに貼ったリンクが悪意あるフィッシングサイトなどに書き換えられてしまったら、被害は訪問者さんにも拡大してしまうでしょう。

管理画面へログインができない

管理者権限を持つアカウントのユーザー名とパスワードを悪意あるハッカーに知られた時点で、御社のホームページの乗っ取りは完了です。
ハッカーは即座にログイン情報を変更するでしょうし、あなたをホームページから締め出すことは簡単なことです。

こうなってしまっても、対処方法が全く無いワケでもありません。
ただ、よほどアクシデントへの準備をされている方でなければ、思考停止してしまうことでしょう。

対応は迅速に行わなければなりません。
乗っ取った御社のホームページからスパムメールを大量送信し始めるのは、多くのハッカーの常套手段です。

WordPressの脆弱性対策における5つのポイント

脆弱性を放置することで受けかねない被害についてみてまいりました。
いずれも企業ホームページとしては致命的となりかねない内容でしたね。

WordPressを使用する以上、こういったリスクをゼロにすることは出来ません。
が、正しい対策により大幅に減らすことは可能です。

ここからは、脆弱性対策の5つのポイントについてお話してまいります。

WordPressコア(本体)とテーマ・プラグインを最新の状態に保つ

ハッカーが狙う脆弱性は、WordPressコア(本体)とテーマ・プラグインの中に潜んでいます。
それらのバージョンを古いまま置いておくということは、玄関の鍵が壊れたまま放置するのと同じ。

最新版へのアップデート自体が、不具合の原因となってしまう懸念はありますが、悪意あるハッカーの攻撃よりはマシです。
きちんとバックアップを取ったうえで、常に最新版を使用する習慣をつけましょう。

どうしても不安な場合は、ローカル環境でのテストを行ってみるのも一つの解決策となります。

必要のないテーマやプラグインは削除する

WordPressを日常的に使用していると、ついついやってしまいがちなのが、この失敗です。
当面使用する予定のないテーマやプラグインは積極的に削除しましょう。
言うまでもなく、未知の脆弱性をはらんでいる可能性がゼロではないからです。

もしかしたら将来的に使うかもしれない・・・などというプラグインは、使う日なんてまず来ないでしょう。
万が一使いたくなった場合は、再度ダウンロードすれば良いのだけなのです。

さらにもう一歩進んだ意見を述べるなら、プラグインを使う必要が生じたとしても、本当に無いと困るのか?よく吟味してから導入するようにするべきです。

12桁以上のパスワードを設定し、定期的に変更する

パスワードに自分の覚えやすい文字列を採用したくなる気持ちは理解出来ます。
が、セキュリティ上は決してオススメできることではありません。

WordPress本体が生成する強力なパスワードを定期的に変更する管理方法を採用するようにしましょう。

管理画面>ユーザー>プロフィールに入り、画面を少し下のほうにスクロールし、『新しいパスワード』を設定クリック。

自動的に強力なパスワードが生成されます。

こうして生成した強力なパスワードを定期的に変更することで、よりセキュリティを向上させましょう。

ログインページと管理画面にIP制限を設ける

WordPressのログインページは、デフォルトから変更していなければ全て同一のものが指定されます。

https://ドメイン/wp-admin
https://ドメイン/wp-login.php

サイトのアドレスに、『wp-admin』『wp-login.php』をつけるだけでログインページのアドレスになってしまう簡単な仕組みなのです。
つまりハッカーがWordPressサイトへの不正ログインを考えた際、少なくともログインページには簡単に辿り着けてしまうということ。

もちろんパスワードを知らなければ門前払いではありますが、ログインページに入らせない方が安全なのは言うまでもありません。

ログインページと管理画面にIP制限を設け、自社の回線以外はシャットアウトしてしまいましょう。

プラグインを使用しないのであれば、『.htaccessファイル』に以下のとおりIP制限の記述を。

<Files "wp-login.php">
order deny,allow
deny from all
allow from 自社のIPアドレス
</Files>

自社IPを調べて、『自社のIPアドレス』の部分に入力して下さい。

プラグインを用いる方法は次項を参照下さい。

セキュリティプラグインを導入する

プラグインを利用するのも一長一短ありますが、WordPressのファイルに変更を加えるのも可能な限り控えた方が無難です。
セキュリティは非常に重要な問題でありますし、信頼できるプラグインを一つ使用するのもアリかと思います。

弊社でもオススメしている『SiteGuard WP Plugin』ですと、

  • 管理ページアクセス制限
  • ログインページ変更
  • ログイン時画像認証追加
  • ログイン詳細エラーメッセージの無効化
  • ログイン複数回失敗時のロック機能
  • ログインのメール通知
  • フェールワンス
  • その他

など非常に高機能で、これだけでセキュリティは飛躍的に向上するはず。

SiteGuard WP Plugin

セキュリティプラグインについては別記事にまとめておりますので、詳細はそちらでご確認下さい。

WordPressのセキュリティ対策|おすすめプラグイン3選

New Standardではテクニカルサポートも充実(30日間無料)

WordPressの脆弱性について考えてまいりましたが、いかがでしたでしょうか?
ホームページがハッキング被害にあってしまうことは、そのまま御社へのユーザーの信頼感を大きく損ねることに直結します。
さらにホームページ内で顧客情報を扱うような場合、個人情報の漏えいなど発生させてしまえば、もはやイメージダウンどころの騒ぎではありません。

セキュリティに関しては可能な限り、打てる手を全て打っていくようにしたいものです。
もちろんWordPressテーマ自体も、セキュリティについて熟考すべき。

手前味噌ではありますが、弊社の?New Standard も自信をもってオススメ出来る安全安心なテーマの一つ。
おかげさまで、これまで200社様以上の企業ホームページにご採用頂いております。

さらに、 New Standard ではテクニカルサポートも充実しているのもおすすめポイント。
WordPressの操作や設定などでお困りの際に、簡単に相談できる環境をご用意しました。
このテクニカルサポートを、購入後30日間は無料でご利用頂けます。

使い方

これからWordPressを始めるというユーザー様には、大変ご好評頂いております。

その他、導入にあたってご不安なことなどありましたら無料のオンライン相談窓口もご用意しております。
下記記事をご参照のうえ、どうぞお気軽にご利用下さい。

1 to 1 コンシェルジュ

有料テーマを試して選ぶ新常識

最後にご紹介です。事業用WordPressテーマ「New Standard」では、14日間の無料お試し体験を設けています。

お申し込み後、専用サンプルサイトをお一人ずつお届け。製品版と変わらないすべての機能をお手元で体験いただけます。テーマ選びにお悩みの方は、この機会を逃さずお試しください。

無料で使ってみる