みなさーん!
WordPressでWebサイト作ってますかー?!
全世界で汎用的に使用されている
オープンソースブログソフトウェアWordPress。
知識さえあれば低コストで
ブログサイトを構築できるソフトウェアです。
弊社でも、WordPressでのサイト構築の
実績を残させて頂いておりますが、
手軽に低コストで構築できるソフトウェアだからこそ
気をつけなければならないポイントがあります。
今回はWordPressでサイト構築をする上で、
意識しなければならないセキュリティ面のお話をしていこうと思います。
オープンソースソフトウェアとは?
簡単に言えば、内部の構造を公開した上で
誰でも扱えるように無償提供しているソフトウェアです。
内部の構造を公開してる為、カスタマイズが容易な為
WordPressでいうと自身の求めたwebサイトを構築できたりします。
ただ、逆に言うと内部の構造が分かるということは、
弱点も簡単に分かってしまうということです。
セキュリティホール
セキュリティホールとは、直訳すると
「防護の穴」、つまり安全とされている圏内からの穴をついて
セキュリティを突破され、ダメージを受ける懸念を持つ概念ということです。
前述の内部の構造を公開しているという点において、
内部の構造が分かれば、どういう攻撃が有効かというのがハッカーなどに
分かってしまいます。
だからこそ、その対策が必要なのです。
対策
対策としては、中身にアクセスさせないことです。
中身に侵入されたが最後、内部構造が把握出来ているが故に
そのWebサイトが滅茶苦茶にされてしまいます。
だからこそ、侵入を防ぐ仕組みが必要なのです。
プラグイン
弊社では、「WP Cerber
Security」というWordPressプラグインを推奨しております。
こちらのプラグインは、不審なIPからのアクセスのブロック、不正なログインページへのアクセス、ログインURLの設定など、
不正なアクセスを防ぐ設定が簡単に行える代物です。
プラグインが絶対とは言えませんが、こちらのプラグインを使用することによって
セキュリティの品質を担保できます。
上記が設定画面になりますが、
特に重要なのが赤枠で囲んでいる設定です。
カスタムログインURL
こちらはは管理画面へのログインURLを任意のものへ変更できます。
wordpressは初期設定として、ログインURLが必ず
/wp-login.php
と決まっております。
ログインURLを知られていると、手当たり次第IDとパスワードを入力される
ブルートフォースアタックという攻撃を受ける可能性が高まってしまいます。
なので、第三者に知られないURL設定が大事になります。
ダッシュボードのリダイレクトを無効化
管理画面URL
/wp-admin.phpへのアクセスの際、ログインしていないユーザーは通常ログイン画面へと遷移されるのですが、
許可していないユーザーはログイン画面に遷移させない設定です。
これも攻撃を防ぐのに有効ですね。
存在しないユーザー
そのままの通り、設定していないユーザー名で
ログインを試みたIPをブロックし、二度とアクセスできないようにします。
wp-login.phpをリクエスト
こちらはデフォルトログインURLへアクセスしようとした時点でそのIPを弾く設定です。
サブネットをブロック
こちらは簡単に説明すると、
一定範囲の攻撃者のIPアドレスをブロックするといったものです。
reCAPTCHA
wordpressでお問い合わせフォームなどを実装する際、よく使われるプラグインが
・Contact Form 7
・MW WP Form
上記2店になるのですが、フォームというものは特に攻撃を受けやすい的です。
そこで、要になるのがreCAPTCHAです。
reCAPTCHAは、googleが提供するbotによる攻撃を防ぐ為のサービスです。
よくフォーム画面で「私はロボットではありません」と記載されたチェックボックスなど見かけたことがあると思いますが、
あれこそがreCAPTCHAなのです。
reCAPTCHAを実装することによって、フォームから不審なアクセスを防ぎ、安全にユーザーの情報をやり取りしてもらうことができます。
上記のプラグインにも、拡張プラグインや設定などからreCAPTCHAを実装することができます。
是非フォーム実装の際にはreCAPTCHAも併せて設定した方がよいでしょう。
まとめ
WordPressに限りませんが、
webサイトを運営するにあたって、
セキュリティについて考えることはとても重要なことです。
安全で堅牢なサイト構築をご所望であれば、
是非弊社にお問い合わせください。
それでは。
