1. トップページ
  2. コラム
  3. 【web担当者必見】知っておかないと危険!WordPressの脆弱性と対策!

【web担当者必見】知っておかないと危険!WordPressの脆弱性と対策!

こんにちは。デザイントランスメディアの野濱です。
みなさーん!
WordPressでWebサイト作ってますかー?!

全世界で汎用的に使用されている
オープンソースブログソフトウェアWordPress。
知識さえあれば低コストで
ブログサイトを構築できるソフトウェアです。

弊社でも、WordPressでのサイト構築の
実績を残させて頂いておりますが、
手軽に低コストで構築できるソフトウェアだからこそ
気をつけなければならないポイントがあります。

今回はWordPressでサイト構築をする上で、
意識しなければならないセキュリティ面のお話をしていこうと思います。

オープンソースソフトウェアとは?

簡単に言えば、内部の構造を公開した上で
誰でも扱えるように無償提供しているソフトウェアです。

内部の構造を公開してる為、カスタマイズが容易な為
WordPressでいうと自身の求めたwebサイトを構築できたりします。

ただ、逆に言うと内部の構造が分かるということは、
弱点も簡単に分かってしまうということです。

セキュリティホール

セキュリティホールとは、直訳すると
「防護の穴」、つまり安全とされている圏内からの穴をついて
セキュリティを突破され、ダメージを受ける懸念を持つ概念ということです。
前述の内部の構造を公開しているという点において、
内部の構造が分かれば、どういう攻撃が有効かというのがハッカーなどに
分かってしまいます。
だからこそ、その対策が必要なのです。

対策

対策としては、中身にアクセスさせないことです。
中身に侵入されたが最後、内部構造が把握出来ているが故に
そのWebサイトが滅茶苦茶にされてしまいます。
だからこそ、侵入を防ぐ仕組みが必要なのです。

プラグイン

弊社では、「WP Cerber Security」というWordPressプラグインを推奨しております。
こちらのプラグインは、不審なIPからのアクセスのブロック不正なログインページへのアクセスログインURLの設定など、
不正なアクセスを防ぐ設定が簡単に行える代物です。
プラグインが絶対とは言えませんが、こちらのプラグインを使用することによって
セキュリティの品質を担保できます。
上記が設定画面になりますが、
特に重要なのが赤枠で囲んでいる設定です。

カスタムログインURL
こちらはは管理画面へのログインURLを任意のものへ変更できます。
wordpressは初期設定として、ログインURLが必ず
/wp-login.php
と決まっております。
ログインURLを知られていると、手当たり次第IDとパスワードを入力される
ブルートフォースアタックという攻撃を受ける可能性が高まってしまいます。
なので、第三者に知られないURL設定が大事になります。

ダッシュボードのリダイレクトを無効化
管理画面URL
/wp-admin.phpへのアクセスの際、ログインしていないユーザーは通常ログイン画面へと遷移されるのですが、
許可していないユーザーはログイン画面に遷移させない設定です。
これも攻撃を防ぐのに有効ですね。

存在しないユーザー
そのままの通り、設定していないユーザー名で
ログインを試みたIPをブロックし、二度とアクセスできないようにします。

wp-login.phpをリクエスト
こちらはデフォルトログインURLへアクセスしようとした時点でそのIPを弾く設定です。

サブネットをブロック
こちらは簡単に説明すると、 一定範囲の攻撃者のIPアドレスをブロックするといったものです。

まとめ

WordPressに限りませんが、
webサイトを運営するにあたって、
セキュリティについて考えることはとても重要なことです。

安全で堅牢なサイト構築をご所望であれば、
是非弊社にお問い合わせください。

それでは。
ホームページ・ECサイト運用に関する情報をメルマガで配信中!
WEB担当者様向けのお役立ち情報を無料でご案内しております。
登録は下記フォームから!

この記事を書いた人

野濱貴彰

Creative & Development Division