Contents - 目次
WordPressのセキュリティ問題と脆弱性。
WordPressのセキュリティ強化とシェア率。
WordPressのセキュリティ対策とシェア率の高さ。
現在は世界中のWebサイトの約40%が、WordPressでできて言われている。WordPressのシェア率の高さはかなり以前から言われており、徐々にシェア率を伸ばしてきた。
そのため、ターゲットとして狙われやすいとも言われ続けている。
しかし実際の被害のほとんどは、いわゆる「いたちごっこ」というよりも、基本的なセキュリティの強化・対策がされていないことが原因となってしまっている。
高いセキュリティが求められるホワイトハウスやNASAのサイトはWordPressで構築されている。
ちなみにアメリカのホワイトハウスのサイトも、2017年からWordPressで構築されている。
WordPressのセキュリティや脆弱性に狙われやすい課題があるのなら、ホワイトハウスのような大規模かつ機密性が求められるサイトには採用されないだろう。
ホワイトハウスだけでなく、NASAもWordPressを採用している。
参照:NASA
また、ハーバード大学やUCバークレーなどの大学のサイト、TIMEやThe Timesなどの新聞社のサイト、ラファエル・ナダル選手やウサイン・ボルト元選手などのスポーツ選手のサイトもWordPressでできている。
つまり、WordPressの脆弱性という理由だけではウィルス被害の説明はできない。
WordPressのセキュリティ。脆弱性とマルウェア感染例。
WordPressの脆弱性やマルウェア感染の例。
WordPressのセキュリティ設定の問題。
例えば近年のWordPressウイルス感染またはマルウェア感染の具体的な事例としては、以下のものがあった。
WordPressサイトの、ランサムウェア感染。
2016年の事例。
WordPressサイトを閲覧しただけで、ランサムウェアに感染。
WordPressで作られたサイトを「見ただけでマルウェアに感染する」というケースが報告されている。
ユーザーがWordPressサイトを訪問したところ、改ざんされたWebサイトのJavaScriptが自動的に実行され、「エクスプロイトキットサーバー」という別のサーバーへリダイレクトされ、結果的に金銭を要求されたとのこと。
また、古いバージョンのAdobe Flash Player(現在は無くなっているソフト)、Adobe Reader、Internet Explorer(現在は無くなっているブラウザ)を使っているユーザーが、脆弱性をつかれてランサムウェアに感染したとのこと。
この事例の解決策。
正直なところ、上記のような説明があっても、ユーザー側としては専門的な言葉が多くて理解が難しい。
ただし解決策は、難しくない。
古いソフトや古いバージョンのものは、なにかしらセキュリティの警告が出ているはず。なのでそのような古いものは使用しない、もしくは可能な限りバージョンアップすると予防できる。
なにもしないで使い続けるということは、例えるなら、車検を受けずに自動車に乗り続けているようなもの。
参照:事例から考えられるCMSの脆弱性を狙ったサイバー攻撃のシナリオ SiteLock(サイトロック)|GMOクラウドのSaaS
WordPressの、REST APIの脆弱性による大規模改ざん。
2017年の事例。
WordPress4.7.0と4.7.1のREST APIに存在した脆弱性を利用し、権限のない第三者がWebサイトのコンテンツを改ざんすることが可能だった。
このときは世界中で約150万超のサイトが被害を受けている。
この事例の解決策。
WordPressのバージョンを、修正された「4.7.2」へアップデートすることにより解決。
この場合はユーザー側の対処は事後となってしまうが、WordPress運営者が基本的なセキュリティ対策を行なっていれば予防できた可能性が高い。
WordPressプラグインの、脆弱性を狙った攻撃。
2017年の事例。
「WP Job Manager」は、企業などの求人情報用のWordPressプラグイン。
このプラグインの脆弱性を利用して、攻撃者が管理者権限を取得し、サイトを乗っ取る事例があった。
第三者によりなんからの画像が勝手にアップロードされる可能性があり、実際に悪用した改ざんの情報も複数報告されていた。
この事例の解決策。
WP Job Managerのバージョンを、修正された「1.26.2」へアップデートすることにより解決。
これもWordPress運用者が、基本的なセキュリティ対策をすることでおそらく防げた事例。なのでWordPressのマイナーアップデートだけで解決にいたっている。
WordPressサイトの、偽のランサムウェア感染。
偽のランサムウェア。
2021年の事例。
WordPressの管理者権限を窃取してWebサイトに侵入。そして「Directorist」というプラグインの一部を書き換え、サイトがランサムウェアに感染したように見せかけたとのこと。
データを暗号化せず、暗号化したように見せかける「フェイクのランサムウェア」であり、サイト所有者に対し、ビットコインでの支払いを要求されている。
この事例の解決策。
これもWordPress運用者の基本的なセキュリティ対策をによりおそらく防げた事例。
WordPressの管理者権限を奪われるということは、例えば車の鍵を盗まれるようなこと。
マルウェアに感染しているかをチェックするには?
Sucuri。
サイトがマルウェアに感染してしまっているかどうかは、オンラインの「Sucuri」でひとまず簡単にチェックができる。
参考:WordPressのセキュリティをオンラインチェック、「Sucuri」。
WordPressのセキュリティ問題への対処方法。
セキュリティの認識。脆弱性のないものは存在しない。
脆弱性よりもセキュリティの意識。
まず前提として、「脆弱性のない」サイトなど存在しない。これも例えるなら、「100%安全」な自動車など存在しないと同じようなこと。
Webサイトを見ることは車を運転することよりも安全だが、ある程度は、見る側も作る側も運営する側も、気をつけなければならない。
WordPressセキュリティの基本的な問題。
基本的な問題。
- 簡単なユーザー名とパスワードを使用している。
- WordPressサイトの更新を怠っている。
- 不要なプラグインを放置している。
結果。
- サイトが悪用され、訪問者に被害が及ぶ。
- サイトの修復のため、運用者に時間と費用がかかる。
単純な対策。
- 適切なユーザー名と強力なパスワードを使用する。
- WordPressサイトの定期的な更新をする。
- 不要なプラグインは削除する。
セキュリティの具体的な対処方法。
鍵を複雑で新しいものにする。
WordPressのユーザー名とパスワードを複雑に。
これはシンプルに、ユーザー名とパスワードは複雑なものにする。
例えばバイクのチェーンロックは、100円ショップの簡易的なものよりも、バイク購入店の頑丈なものの方が安全。
50万円、100万円レベルで購入したバイクに、100円の鍵は普通はつけない。
もし文字列に迷った場合は、自動的にパスワード生成ができるサイトがある。
また、保存はChromeやSafariなどのブラウザ機能を利用すると便利。
WordPress管理画面へのアクセス制限を。
WordPress管理画面は、デフォルトではわかりやすいものになる。
なので、.htaccessファイルやWordPressプラグインを利用すれば良い。どの方法にするかはWordPress制作者に任せた方が無難。
ファイルパーミッションを適切に。
WordPressのファイル類のパーミッションは、大体決まったものがある。
ただしサーバーごとに若干の違いがあるので、サーバー担当者やサーバー会社のサイトなどで確認し、FTPソフトやサーバーのコントロールパネルから適切なものに設定する。
これはWordPress構築時に行うもので、サイト公開後に触ることは基本的にはないはず。
(※もし触る必要がある場合は、WordPress制作者へ相談。)
WordPress本体を最新バージョンに。
現在のWordPressは自動アップデート機能があるので、自動にしておけば良い。
(※自動アップデートができない理由がある場合は、WordPress制作者へ相談。)
WordPressプラグインを最新バージョンに。
同じく現在のプラグインにも、自動アップデート機能がある。
(※自動アップデートができない理由がある場合は、WordPress制作者へ相談。)
セキュリティプラグインの利用。
WordPressには信頼度の高いセキュリティプラグインがある。それを利用するか、もしくは専門業者へ依頼する。
定期的なバックアップ。
バックアップは予防にはならないが、事後で必要となる。これもサーバーやプラグインで、自動的に行える。
WordPressのセキュリティは、自動設定で対策できる。
WordPressサイトを制作する際には上記のような設定が必要だが、出来上がったWordPressサイトを運用する際は、自動設定で多くの事態へ対処できる。
WordPressは制作費が高いと言われることもある。
が、その中には目に見えない、セキュリティ対策とSEO対策の知識や作業時間が含まれている。
以上、参考になれば幸いです。
※Webデザインは実務数年、職業訓練校講師数年、フリーランス数年、計15年以上のキャリアがありますが、一気にがぁっと書いているので「です・ます調」ではありません。(元々はメモ書きでした。) ※事実や経験、調査や検証を基にしていますが、万一なにかしら不備・不足などがありましたらすみません。お知らせいただければ訂正いたします。 ※写真は主にUnsplashやPixabayのフリー素材を利用させていただいております。その他の写真や動画もフリー素材やパブリックドメイン、もしくは自前のものを使用しております。
井川 宜久 / Norihisa Igawa
WordPress 関連メモ。
- Simple Image XML Sitemapの使い方の例。画像サイトマップをGoogleへ。
- WordPressのリビジョン。正しく表示されないときの復元の例。
- PerplexityとWordPressの名前と意味合い。著作権と知的財産。
- WordPressのセキュリティ対策。脆弱性の疑問と強化設定。
- WordPressのテーマ。有料と無料の違いと、ウェブサイトの例。
- Googleアナリティクスでの自分のアクセスを除外。【WordPress】
- WordPressの不要なメディアファイルを削除する方法。Media Cleaner。
- WordPress 画像のキャプション表示を削除したい場合。
- WordPressのログインパスワードを変更する方法。セキュリティ対策にも。
- WordPressのトップページがindex.phpでもfront-page.phpでもhome.phpでも問題はない。
- reCAPTCHAの導入例と、バッジ(マーク)をCSSで非表示に。
- WordPressから届く「モデレートしてください」を止めたい。
- WordPress投稿の目次が消えたら!Table of Contents Plusの表示方法。
- 「データベース接続確立エラー」の対処。wp-configに問題がないとき。
- WordPressの投稿IDを確認したい時は、ここを見るのが簡単。
- WordPressのセキュリティをオンラインチェック、「Sucuri」。
- WordPress pタグを投稿記事から削除する1行のコード。
- アイキャッチ画像(WordPressのサムネイル画像)がない場合、いらない場合は、これで解決。
- さくらインターネットのコンテンツブーストの設定方法。(数ステップで。)
- さくらのサーバーからさくらのサーバーへの引越しで、「DNSゾーンが既に登録されています」のエラーが出たとき。
- WordPressで動画が再生されない!ときの対処。
- WordPressの投稿とカスタム投稿を振り分けたい時はこれで解決。(条件分岐できない時の対処方法。)
- 辿ったリンクは期限が切れています!? WordPressテーマのアップロードエラー対処。
- PHPの配列の括弧の違いは?WordPressでよく見るarray()と[]。
- Contact Form 7に確認画面がない!の対処方法。CSSか固定ページで。
- WordPressの引越しは、ささっとAll-in-One WP Migrationで。
- WordPressの検索ハイライト表示の仕方。(functions.phpに追加するだけ。)
- 引越しなどで、WordPressのメディアが消えた場合の、Moving Media Library。