こんにちは。新規事業の開発や既存業務の効率化などに使える補助金・助成金の無料診断 / 申請支援を行う『補助金サポート』を提供しているクラウド軍師運営チームです。

WordPressは、人気の高いCMSです。
実際に、自社のWebサイトやブログをWord pressで運用しているという企業は多いのではないでしょうか。

WordPressは専門的な知識がなくても扱える便利なツールなのですが、一方で、その脆弱性には懸念があります。
実際にWordPressを狙う攻撃は多く、安全な運用のためには適切な対策を行わなければなりません。
では、具体的にはどのような対策を行えば良いのでしょうか。

そこで今回は、WordPressの脆弱性とセキュリティ対策について詳しく解説します。

WordPressの脆弱性とは

WordPressに限らず、多くのプログラムにはセキュリティにおける何らかの欠点があるものです。これをプログラムの脆弱性と呼びますが、近年WordPressの脆弱性を狙った攻撃は増加傾向にあります。
脆弱性ゼロのプログラムを提供するのは難しく、それはWordPressも同様です。攻撃者は、プログラムの小さな脆弱性を攻撃の標的にし、不正アクセスやWebサイトの改ざんなどを行い、企業や個人に被害を出しています。

なぜWordPressがターゲットになるのか

WordPressへのサイバー攻撃は、近年かなりのスピードで増加しています。
その理由としては、次の3つが考えられます。

①利用率が高いプログラムだから
②知識がない人も利用できるから
③オープンソースだから

WordPressは、利用率が非常に高いプログラムです。世界中のWebサイトの約40%に利用されているとの調査結果も公表されています。利用者が多いということは、そのプログラムをターゲットとすることで多くの対象を攻撃できるということです。

また、WordPressは専門知識が乏しい人でも利用しやすいため、ユーザーによるセキュリティ対策が甘いことも多いです。
さらにオープンソースであるため、プログラムの内容が公開されています。プログラムの内容が公開されていれば、悪意のある人にとっては攻撃が行いやすくなります。

このような点から、WordPressはターゲットになりやすく、その脆弱性を狙った攻撃が多発しているのです。

WordPressの脆弱性が改善されないことで高まるリスク

WordPressの脆弱性を放置しておくと、悪意のある第三者から攻撃を受けるリスクは高まります。攻撃を受けた企業や個人は、次のような被害を負うことになります。

不正アクセス

まず考えられるのが、脆弱性を狙った攻撃により、攻撃者がWordPressの管理画面へ不正アクセスを行うことです。
これによりログインURLやパスワードを攻撃者に変更されてしまえば、Webサイトの管理者はログインできなくなり、結果としてWebサイトをのっとられてしまう恐れがあります。

Webサイトの改ざん

管理画面に不正にアクセスした攻撃者が、Webサイトを管理者が意図しない内容に改ざんしてしまうことも考えられます。
改ざんによってWebサイトが他人への攻撃や詐欺の踏み台にされる例も多く、被害の拡大に繋がる可能性もあります。

情報漏洩

WordPressへの攻撃により、サーバに保存されている個人情報や機密情報が漏洩してしまう恐れもあります。
重要情報の漏洩は、企業への信頼の低下を引き起こします。

WordPressの被害事例

WordPressの脆弱性を狙った攻撃の被害は多数発生しています。ここでは、実際の被害事例を2つご紹介します。

事例1

2017年4月、ファッション雑貨を扱う企業のWebサイトがサイバー攻撃の被害を受けた。不正アクセス・改ざんによって、サーバ用メール送信ソフトウェアをスパムメール大量送信の踏み台に利用されていた。これにより、関連サイトでページ表示ができないなどの影響も出た。

原因は、テスト環境としてインストールしたWordPressとそのプラグインの脆弱性。一部サーバのアップデートが漏れていたと見られている。

事例2

2018年には、官公庁管轄のWebサイトが、悪意のある第三者による改ざんを受けた。Webサイトは外部の不正サイトに誘導されるようになっていて、フィッシング詐欺に利用されたと見られる。

原因はWordPressの古いプラグインを更新したり削除したりせず、放置していたこと。その脆弱性をついた攻撃だった。

WordPressを狙った4つの攻撃方法

WordPressを狙ったサイバー攻撃は、主に次の4つの方法で行われています。

ブルートフォースアタック・・・パスワードなどを手当たり次第に試してログインを試みる、総当たり攻撃
コンテンツインジェクション・・・Webサイトのコンテンツを改ざんする攻撃
SQLインジェクション・・・データベースを攻撃し、情報を盗んだり置き換えたりする攻撃
クロスサイトスクリプティング・・・不正なコード入力により、ユーザーを不正なサイトへ誘導する仕組みをWebサイトに組み込む攻撃

上記の攻撃は、Webサイトのユーザーにウイルス感染や詐欺のリスクを発生させたり、企業の信頼性を下げたりする恐れがあります。
これらの方法は実際にWordPressへの攻撃で利用されており、サイトの管理者はこれらの脅威に対する対策が求められます。

WordPressの脆弱性に対するセキュリティ対策

ここからは、WordPressの脆弱性を狙った脅威に対抗するための具体的なセキュリティ対策を見ていきましょう。

バージョン管理

Webプログラムについては、発見された脆弱性への対策としてバージョンアップが行われます。そのため、WordPress本体、またプラグインやテーマは、常に最新のバージョンにアップデートしておく必要があります。古いバージョンのまま放置すると、脆弱性も放置されてしまうので気をつけましょう。

バージョンアップには、メジャーアップデートとマイナーアップデートがあります。
メジャーアップデートは、機能追加や管理画面のレイアウトの変更などの大規模なバージョンアップです。アップデートされると管理画面に表示されます。更新ボタンをクリックして、手動でアップデートする必要があります。
一方、マイナーアップデートは、バグ修正やセキュリティ強化などの小規模なアップデートです。リリースされると、自動的にアップデートされます。

パスワード・認証強化

ログインページで入力するパスワードは、セキュリティ強度の高いものに設定しておくことが重要です。人から推測されやすい単語は使わず、文字の種類を混ぜた長めのパスワードを設定しましょう。また、2段階認証や画像認証を用いるなど、認証を強化しておくことも効果的です。

ニックネーム設定

ニックネームを設定しておくと、投稿者名としてそのニックネームが表示されます。この設定をしていないと、表示はユーザー名になってしまい、ログイン情報漏洩の危険性が高くなってしまいます。

ログインURLの変更

WordPressの初期ログインURLには法則があります。そのため、ドメインさえわかれば、第三者から特定されてしまいます。
これを防ぐためには、ログインURLの変更を検討しましょう。この変更は、WordPressではできないので、専用のプラグインを利用する必要があります。

「wp-config.php」の設定変更

「wp-config.php」は、データベースのアクセス情報などが記載されている重要なファイルです。この重要なファイルへのアクセスを制限することで、セキュリティを強化することができます。

具体的に制限には2つの方法があります。

①「wp-config.php」の内容に記述を追加する

管理画面の「テーマのインストール」、「プラグインのインストール」、「テーマ編集」、「プラグイン編集」4つの機能の操作を制限します。

②.htaccessファイルに記述を追加する

各種設定が記載された「wp-config.php」自体へのアクセスを制限することができます。

不要なテーマやプラグインの削除

WordPressでは、使っていない古いテーマやプラグインが攻撃のターゲットとされた事例も存在します。
不要なテーマやプラグインを削除し、必要なものだけを残すようにしましょう。

定期的なバックアップ

バックアップは、何かトラブルが生じた際の復元に役立ちます。改ざんの被害を受けたとしても、バックアップがあれば早期復旧を目指すことができます。
万が一に備え、定期的なバックアップは必ず行うようにしてください。

バックアップを取る必要があるのは、データベースとテーマファイルの2つです。

①データベースのバックアップ

管理画面の「phpMyAdmin」にログインし、「エクスポート」機能を操作することでバックアップができます。

②テーマファイルのバックアップ

FTPやSCPのファイル転送プロトコルを使ってサーバにログインして、ファイルをダウンロードすることでバックアップが取れます。

また、「BackWPup」というバックアップ用のプラグインを使用することで、データベースとファイルの両方をバックアップすることもできます。

常時SSL化設定

SSLとは、通信時のデータを暗号化すること。これにより、通信時のデータを盗まれるリスクを低減されることが可能です。

SSLはWebサイト運営の基本。プラグインなどを用い、必ずSSL化設定を行うようにしましょう。

セキュリティプラグインの導入

これまでご紹介した対策と併せて、セキュリティプラグインを導入すれば、WordPressの安全性は向上します。
ただし、このプラグインは信頼性のあるものを選ぶようにしてください。またアップデートも、し忘れないように気をつけましょう。

WAFの導入

WAFは、プログラムの脆弱性を狙った攻撃に対するセキュリティ対策です。一般公開されているWebサイトなどの対策として有効で、前述したクロスサイトスクリプティングやSQLインジェクションのような攻撃に対応することが可能です。
WAFの導入・実装により、攻撃のリスクは低減されます。

まとめ

WordPressの脆弱性とセキュリティ対策についてご紹介しました。

WordPressは利便性の高いCMSですが、それ故に攻撃者に狙われやすいのも事実です。Webサイトがのっとられたり改ざんされたりすれば、Webサイトを訪問するユーザーにも被害が及ぶ恐れがあります。それにより、企業も信頼性を損ない、多大な損失を被ることになるでしょう。

このような被害を防ぐには、セキュリティ対策を強化することが重要です。今回ご紹介した方法を参考に、複数の対策を併用し、WordPressの安全性向上に努めましょう。