WordPressに改ざん検知機能を実装する方法

avatar

 2018.01.25  Japanブログ編集部

WordPressは世界で最も有名なCMS(コンテンツ管理システム)です。オープンソースソフトウェア(OSS)なので無償で利用できる上に、多数のプラグイン(拡張機能)が公開されているので使い勝手にも優れています。

ただし、OSSであるがゆえにセキュリティに問題があることが多く、サイバー攻撃の被害に遭いやすいソフトウェアでもあります。

今回は、そんなWordPressのセキュリティ対策ポイントについてご紹介します。

WordPressでよくあるWEBサイト改ざんのケース

テーマやプラグインがWordPress公式のものではない

非常に多くのWEBサイトテーマやプラグインが公開されているWordPress。使い勝手に優れている反面、改ざん目的で不正プログラムが組み込まれたテーマやプラグインも多く存在します。

WEBサイト改ざんの被害に遭ったケースの中には、調べてみると公式ではないテーマやプラグインが導入されていることが少なくありません。

プラグインが最新状態ではない

WordPress公式のプラグインでも、定期的に配信されるアップデートに対応していないと脆弱性(セキュリティ上の弱点)が残ってしまうため、WEBサイト改ざんの被害に遭う可能性があります。

WordPress自体が最新状態ではない

プラグインだけでなく、WordPress自体も定期的にアップデートされています。中には重要なセキュリティ更新プログラムが含まれていることも多いので、その都度対応し常に最新の状態を保っていないと、脆弱性が残っている可能性があります。

2017年2月にはWordPressで重大な脆弱性が見つかり、実に150万以上のWEBサイトが改ざんの被害に遭いました。

参考:ITmedia「WordPressサイトの改ざん被害は150万件超に 『最悪級の脆弱性』

パスワードが推測可能なものになっている

WordPressの管理者アカウントにアクセスするためのパスワードが簡単なものや使いまわしているものだと、不正ログインによるWEBサイト改ざんの危険があります。たとえばパスワードを6桁で設定していると、不正プログラムを使ってパスワードを解析するのは15秒程度です。そのため、簡単なパスワードは不正ログインに遭う可能性を大いに含んでいます。

さらに、他のWEBサイト等と同じパスワードを使いまわしていると、パスワードリスト攻撃によって不正ログインが発生するかもしれません。

SQLインジェクションなどへの対策が無い

SQLインジェクションとは、WEBサイトにある入力フォームに不正な文字列を入力することで、データベースを直接操作されてしまうという恐ろしいサイバー攻撃です。他にもOSコマンドインジェクションやクロスサイトスクリプティングなど、WEBサイトの入力フォームを利用したサイバー攻撃はいくつかあります。

これらへの対策が無いと、WEBサイト改ざんはもちろん重要情報を抜き取られてしまったり、甚大な被害が発生する可能性があります。

SSL通信が設定されていない

SSL通信とはWEBサイトとユーザー間でやり取りされる通信を暗号化するものです。SSL通信が設定されていないと、通信内容を第三者によって傍受される可能性があり、不正ログインを引き起こしてしまいます。

WordPressのセキュリティ対策ポイント

ポイント1.テーマやプラグインはWordPress公式のものをインストールする

WordPressはそもそもOSSなので、公式のテーマやプラグインが100%安全とは言い切れません。ただし非公式のテーマやプラグインをインストールするよりははるかに安全なため、テーマやプラグインの利用はWordPress公式のものに限定しましょう。

ポイント2.プラグインを常に最新状態に保つ

WordPress公式のプラグインであれば、脆弱性やバグが発見された際にアップデートが行われます。従ってアップデートに都度対応し、プラグインを最新状態に保つことは重要なセキュリティ対策です。

アップデートは後回しにするのではなく、迅速な対応を心がけましょう。

ポイント3.WordPressを最新状態に保つ

プラグインだけでなくWordPress自体も常に最新状態を保つことが大切です。特に重大な脆弱性はソフトウェアに発生する可能性が高いため、プラグイン以上に過敏になってアップデートに対応しましょう。

たまに「バージョン情報が分からないようにして対応している」という管理者がいます。サイバー攻撃者に対してバージョン情報を完璧に隠すことは不可能なので、必ずアップデートに対応することでセキュリティ対策を強化してください。

ポイント4.パスワードを特殊文字を含む英数字10桁以上で設定する

パスワードは桁数が多くなったり、特殊文字や英数字を組み合わせて設定することで簡単に強化できます。特殊文字を含む英数字10桁以上のパスワードなら、解析時間にかかる天文学的数字になるため効果的です。加えて、管理者アカウントのパスワードは必ず使いまわしではなく、オリジナルのもので設定しましょう。

ポイント5.サニタイジング(無害化)を行う

サニタイジングとはSQLインジェクションなど入力フォームを使ったサイバー攻撃に対し、入力された文字列を無害化するための対策です。それらのサイバー攻撃はデータベースやOSの実行コマンドを入力したり、スクリプト(簡易プログラム)を埋め込んだりするものなので、サニタイジングで効果的に防げます。

ポイント6.SSL通信を設定する

WordPressでのSSL通信設定には多少の手間がかかるものの、通信内容が第三者に筒抜けになってしまわぬよう必ず設定しましょう。

WordPressのセキュリティ対策に改ざん検知を

今回、WordPressでよくあるWebサイト改ざんのケースとセキュリティ対策ポイントを紹介しました。いずれもサイバー攻撃に有効な対策ばかりです。しかし、尚もセキュリティは不十分だと言えます。

そもそも、2017年2月に発生したようなWordPressの脆弱性が発見されてから対策が取れるまでの間を狙った「ゼロデイ攻撃」を受ければひとたまりもありません。あっという間にWEBサイトが改ざんされ、ウイルスばらまきに利用されたり重要情報を搾取されてしまいます。

そこでセキュリティ対策をより強化するために改ざん検知の導入がおすすめです。改ざん検知のTripwireはWEBサイトを構築するためのWEBサーバやWEBアプリケーションを含め、社内のあらゆるシステムのファイルを監視し、改ざんを検知します。

WEBサイト改ざんやその他のサイバー攻撃とは、最終的にファイルの改ざんに至るため、このポイントに監視システムを置くことはサイバー攻撃に対して非常に有効です。Tripwireなら改ざんを検知した上で、自動的にファイルを修正するプログラムを実行できるため、検知能力だけでなく修復能力にも優れています。

現在WordPressにてWEBサイトを運営していて、有効なセキュリティ対策が取れていないという企業は、信頼と資産を守るためにもぜひご検討ください。

 

まるわかりガイドCTA

RECOMMEND関連記事


RECENT POST「改ざん検知」の最新記事


この記事が気に入ったらいいねしよう!