WordPressは世界で最も利用されているCMSです。また利用者数も多いためサイバー攻撃のターゲットにもなりやすいと言えます。実際に様々な脆弱性を狙った攻撃が発生しています。
今回はWordPressが抱えるリスク、実際の被害事例を踏まえて、安全に運用するための必要な対策などご案内いたします。
目次
WordPressが抱えるセキュリティリスク
WordPressは世界で最も多く利用されているCMSでシェアは65%を超えています。その圧倒的なシェアが一方でハッカーに狙われやすい理由にもなっています。実際にWordPressを導入したWebサイトを狙う攻撃は後を絶ちません。一般的に知られるWordPressのセキュリティリスクは下記の通りです。
不正アクセス
何かしらの脆弱性を突き、サイト攻撃者はWordPressの管理画面やデータベースへ不正アクセスします。不正アクセスされることで、情報の改ざん、機密情報の窃盗など様々な被害を受けるリスクがあります。
WEBサイト改ざん
Webサイトの情報を不正に改ざんされてしまうことにより、来訪ユーザーを偽のページへ誘導したり、マルウェアをダウンロードするよう仕向けたりといったことがおこなわれます。
意図しない犯罪への加担
Webサイト改ざんによってユーザーをマルウェア感染などのリスクに巻き込むだけではなく、他コンピュータへの攻撃の踏み台にされるケースもあり、知らない間にサイバー攻撃に利用されてしまうリスクがあります。
情報漏えい
サーバーに個人情報や機密情報が存在する場合は、それらが漏洩するリスクもあります。仮に情報が漏洩してしまうと、企業の信用を失うだけでなく、損害賠償などの訴訟に発展する恐れもあります。
WordPressに起因する被害事例
それではWordPressに起因する被害はどのように生じるのか実際の被害事例の紹介です。
企業のWebサイトが脆弱性を突かれて改ざん
ある企業のWebサイトがWordPressの脆弱性を突かれて改ざんされました。当該サイトにアクセスすると悪意のある外部サイトへ誘導される状態になっていました。
原因はWordPressのアップデートがされずに脆弱性が長期に渡り放置されていたことでした。同Webサイトのデータを保存しているレンタルサーバー側で最新のWordPressが動作するPHPのバージョンに対応していないためWordPressのバージョンアップがされていなかったことが主な要因でした。サーバー内に機密情報、個人情報などは格納されておらず、情報漏えいは発生しなかったとされます。
同社ではWordPressを最新バージョンで運用することと、WAFを導入するという運用方針を示しました。
女性向けファッション事業を手掛ける企業のWebサイトがスパム攻撃の踏み台にされた
女性向けファッション事業を手掛ける企業のWebサイトが不正アクセスを受けました。原因はWebサイト制作のテスト環境にインストールしたWordPressとそのプラグインの脆弱性を突かれたことでした。テスト環境内のWordPressとプラグインをアップデートせずに放置していたとされます。
改ざんによりメール送信機能を悪用され、大量のスパムメール送信の踏み台にされました。
官公庁の実証事業のWebサイトが改ざんされ外部サイトへ誘導
国内官公庁が管轄するWebサイトが改ざんされ、悪意のある外部サイトに誘導されるようになっていました。Webサイトにはフィッシングサイトなど、他の正規のWebサイトから盗用したと思われる偽ページが複数掲載されていました。原因は放置されたWordPressの古いプラグインの脆弱性にあったと推測されます。
上記の事例のようにWordPressのセキュリティリスクはWordPress本体だけではなく、プラグインの脆弱性に起因するものも多くあります。WordPressに限らず、本来ソフトウェアのバージョンは適切に管理し、常に最新の状態へアップデートするべきであります。
しかしWordPressやプラグインは費用がかからず導入が容易にできてしまうため、導入後に放置されたままの状態のサイトがとても多いというのが実情です。
WordPressを安全に運用するために
WordPressは、コストをかけずに導入でき、サイト運営を効率化できるCMSであることは間違いございません。その利便性を享受するためにも十分な対策をとることが重要になります。
WordPress本体、プラグイン、テーマも含めたバージョン管理
先述の通り、WordPress、プラグインなど適切なバージョン管理をおこなうことは基本的かつ重要な対策になります。Webサイトによって使用しているテーマ、プラグインは異なります。まずは現状を把握すること、そしてアップデート情報を常にチェックし、更新プログラムが配布されたらなるべく早急にバージョンアップすることがセキュリティ的にも重要になってきます。
定期的なバックアップの取得
Webサイト制作、運用の基本ではありますが、バックアップは必ず定期的に取得します。バックアップさえあれば、仮に不具合が生じたときにでも最悪バックアップ取得時点の状態に復元することが可能になります。バックアップを取得するときにはWebファイルだけでなく、MySQLのデータベースもバックアップ取ることが大事です。データベースのデータがないとブログの記事など復元できないので注意が必要です。
バックアップ取得の頻度はデータベースは毎日1回、他Webサイトファイルは月に1~2回取得しておけば大丈夫でしょう。
アカウント情報の適切な管理
管理画面へのログイン情報が漏えいしないよう、パスワードマネージャーの利用やWebブラウザのパスワード管理機能を利用しましょう。WordPressでは画像認証や二段階認証を導入できるプラグインもあるので利用するのもおすすめです。
あとマスターパスワードは厳重に管理することも徹底しましょう。複数のユーザーで同一アカウントを使い回すなどは情報漏えいのリスクが高まりますので、そういった運用はなるべく控えましょう。
セキュリティプラグインの導入
WordPressにはSiteGuardなど多くのセキュリティ用のプラグインがあります。管理画面のURLの変更、アクセス制限、画像認証なども可能なため導入することで安全性を高めることができます。
WAFの導入
WAFとはWeb Application Firewallの略でWebアプリケーションの脆弱性を狙う攻撃を防ぐ役割を担います。WAFの導入することにより、脆弱性を突いた攻撃やSQインジェクションなどの代表的なサイバー攻撃のリスクを軽減できます。
WordPress関連の情報収集
WordPressやプラグインの脆弱性に関する情報収集も欠かさないことが重要です。IT系のWebメディアなどで報道されることが多いですが、セキュリティ専門機関や経済産業省より発表される情報を適時チェックしましょう。
まとめ
WordPressは上記のように対策をするだけで安全に運用することができます。
ここまで読んでいただいた方は「WordPressは安全ではないのか?」と思われる方もいらっしゃると思います。
しかしどのシステム、ソフトを使おうともきちんと管理、運用しなければセキュリティ的にリスクがあがるのは同じことです。一番大事なことは「何を使うか」ではなく「どのように使うか」ですね。
アイジスでは安全にWordPressのサイトを安全に運用できるWordPressサポートを初期費用0円、月額30,000円でご提供しております。
運用で不安やお悩み事がございましたらお気軽にご相談ください。
TEL:06-4805-7879
受付:平日10時~18時
コメント