WordPressのセキュリティ対策その1

2019年3月4日セキュリティ

世界中のWEBサイトの30%以上の圧倒的なシェアを誇っているWordPress。GPLライセンスに基づいた無料で自由に使えるオープンソースソフトウェア。
多様なテーマとプラグインによる自由な拡張性。デザインも機能も知識やスキルに合わせて思いのまま。
CMSとしての機能や拡張性も備えるため、個人ブログだけでなく企業のWEBサイトでも多く使われています。しかし、その自由と引き換えに自己責任で使うという無保証のライセンスでもあります。

これだけシェアが高いということは、もしもWordPressに深刻な脆弱性があれば、不正アクセスを行う攻撃者にとっては、多くのWEBサイトに同じパターンの攻撃で被害を与えられるということ。WordPressは不幸にも、それだけ狙われやすくなってしまっているのです。

2013年8月末のサーバー運営会社のパーミッション設定ミスに起因するロリポップ・サーバーにおける8428件のユーザーサイト改ざん事件。

2017年1月末から2月初め、世界中で150万件以上のWordPress4.7.0と4.7.1の改ざん被害。

個別の事例では2018年に入ってからもSEOハック(フィッシング詐欺サイトやマルウェアをダウンロードされてしまうサイトに自動的にリダイレクトする)やバックドアを仕込まれる等の改ざん被害が数千件以上。被害は枚挙にいとまがありません。

しかもGPLライセンスは無保証。でも、不安になる事はありません。

出来る限りのセキュリティ対策を行い、スキルアップを心掛けて使いこなしていくことが必要です。

2017年12月、アメリカのホワイトハウスがWEBサイトをリニューアル。CMSがそれまでのDrupalからWordPressに変更されています。
正確なデータのない憶測に過ぎませんが、おそらく世界中で最も不正アクセスの攻撃を受けているであろう、トランプ率いるホワイトハウス。
そのWEBサイトがWordPressで作られているのです。

米ホワイトハウスのサーバーはアカマイテクノロジーズ。一般個人には馴染みのない企業ですが、ホワイトハウスだけでなく、アメリカ国防総省、アメリカ空軍、アップル、アドビ等錚々たる顧客の顔ぶれを誇ります。
各大陸にバックアップのミラーサーバーを置き、DDoS攻撃を感知すると、ミラーサーバーに回線を切替え、WEBサイトの機能停止を防御する。チケットのbot買い占めニュースでアカマイの名前を聞いた事もあるのではないでしょうか。

MIT応用数学科の教授でもあるアカマイテクノロジーズCEOトム・レイトンは、自社を「誰も知らないインターネット上最大の会社」とインタビューで答えている。

しかし、個人ではそこまでサーバーに費用を掛けられません。問題のない範囲で低コストでブログを始めたいもの。

そこで、総合的なセキュリティ対策を学び、セキュリティプラグインを導入しましょう。

SiteGuard WP Plugin

初心者向け。

管理ページとログインページの保護を中心とした日本語対応のシンプル・簡単プラグイン。

日本語対応で初めてでも設定が理解しやすい。初めてWordPressを運営する場合でも、すぐに理解できるでしょう。

以下の攻撃に対して防御機能があります。

・不正ログイン
・管理ページ(/wp-admin/)への不正アクセス
・コメントスパム

こ・・・これだけ?

ログイン認証に対策がされていても、SQLインジェクションに対して無防備では、第3者がログインすることも可能になってしまうのですが・・・。ログインURLを変更しても、回避する方法でログイン画面にリダイヤルできてしまうので、管理画面のアクセス制限オンとセットで初めて有効な手段になります。

XSS(クロスサイトスクリプティング)、SQLインジェクション、ディレクトリトラバーサル等に対して防御機能はありません。SiteGuard WP Pluginは、プラグイン単体では防ぎきれない種類の攻撃から防御するWAF(ウェブアプリケーションファイヤーウォール)とセットになって、初めて多種多様な攻撃に対して、総合的な防御機能が得られるセキュリティプラグインです。

初心者にも敷居が低く、高いシェアを誇るレンタルサーバーのヘテムルやロリポップを例にすると、SiteGuard LiteというWAFがプリインストールされていて、サーバーの機能として国外IPアドレスのブロック機能もある。
管理画面から簡単インストールでWordPressをインストールすると、SiteGuard WP Pluginもセットで自動的にインストールされています。

※WordPressプラグインのSiteGuard WP Plugin、WAF(ウェブアプリケーションファイアーウォール)のSiteGuard Liteはどちらも日本国内の会社JP-Secureが制作しています。

ヘテムルやロリポップのレンタルサーバーでは、WAFとSiteGuard WP Pluginがパッケージになっていてわかり易く、簡単な操作で一定レベルのセキュリティ対策を施したWordPressブログを始める事が出来ます。
GMO系列の両レンタルサーバーはユーザー数が非常に多い。ユーザーが多くて今まで不正アクセスの被害が出ていなければ、SiteGuard WP Pluginを褒めている記事が目につきますよね。インストール必須とまで言っている人もいる。

でも、ちょっと待ってください。

WAFの無いサーバーではどうなのよ?

よくある「WordPressセキュリティプラグイン5選」「お勧めWordPressセキュリティプラグインBest10」とか記事があるけれど、サーバーのWAFの有無を無視して、セキュリティプラグインの機能を説明しているだけのブログ記事が非常に多く見受けられます。SiteGuard WP Plugin単体では、僕は評価できません。

セキュリティを強化するなら、WAFがプリインストールされていていないレンタルサーバーの場合では、SiteGuard WP Pluginはお勧めしません。防御機能がこのプラグイン単体では不足しています。繰り返しますが、WAFとセットになって初めて総合的なセキュリティ対策ができるプラグインです。

WAFがプリインストールされていていないレンタルサーバーでは、XSS(クロスサイトスクリプティング)、SQLインジェクション、ディレクトリトラバーサル、第3者からの悪意のあるファイルのアップロード等、様々な種類の攻撃に対して、総合的な防御能力のあるWAF機能を備えたセキュリティプラグイン、Wordfenceをお勧めします。

不正ログイン対策は充分だけど、SQLインジェクションやSEOハックに無防備では、頭隠して尻隠さずです。

また、WAFやセキュリティプラグインを導入したから安心しきれる万全とはいえません。embed APIやREST API/?author=Nなどなど、ユーザー情報を盗むリクエストに無防備なWordPressサイトも非常に多いです。

ヘテムルでもセキュリティ強化のために、Wordfenceを勧めています。

SiteGuard WP Pluginは「はじめてのWordPress」のセキュリティ対策としてなら、ハードルが低いので取り組みやすいと思います。
しかしセキュリティ対策を学んでスキルアップしたら、他に優れたセキュリティ対策プラグインがあることが理解できるようになるでしょう。

Wordfence

Wordfenceにはその他の機能として

・悪意のあるファイルのアップロード
・ローカルファイルのインクルード
・スパムフィルタ
・テーマ及びプラグインのアップデート及びモディファイ通知(メール及びダッシュボード内)
・Live Traffic monitorによるリアルタイム監視
・特定の悪意あるIPアドレスを個別にブロック
・wp-json/やxmlrpc.php等の第3者に閲覧させたくないサイト情報のリクエストをブロック
・/?author=N’スキャン、embed API及びREST APIによるユーザー名の発見を防止
・その他詳細な項目ごとに設定が可能(ユーザー名adminでのログイン試行をブロックなど)

詳細設定を含めると、ここには書ききれない機能を豊富に備えています。

僕が運営している他のWordPressサイトでWordfenceセキュリティプラグインは、月間2万件以上の不正アクセスを4年間防御し続けています。不正アクセスやサイトの改ざんを許したことは、過去1度も有りません。

セキュリティに「絶対に安全」はありませんが、Wordfenceは世界中の有効インストール200万以上のWEBサイトから、不正アクセスの情報をフィードバックしバージョンアップし続けています。

SiteGuard WP Pluginがプリインストールされていても、WordPressやセキュリティに理解を深めて、より高いセキュリティ対策を行っていく事を強くお勧めします。

多層防御

巧妙化、そして高度化する不正アクセスやサイバー攻撃に対して、複数の防御策を講じて、より強固なセキュリティ対策を構築すること。

一例を挙げると、このサイトではコメントスパムに対してAkismet、Wordfenceのコメントスパムフィルタの2重、コメント投稿機能の利用したSQLインジェクション攻撃に対しては3重の多層防御対策を行っています。

企業のセキュリティ対策では、多層防御によるより強化したリスクの低減されたセキュリティ対策の概念の必要性、重要性が認知されつつあります。独立行政法人情報処理推進機構(IPA)でも多層防御は推奨されています。

広告