NEWS&COLUMN

WordPressは危険? WordPressの初期設定について

WordPressは危険? WordPressの初期設定について

「WordPressは頻繁に乗っ取られるって聞くけど大丈夫?」と心配な方へ

Webのことはよくわからないし、インターネットの知識もあまりないから、そもそもWordPressがよくわかっていない。
そんな方から不安の声を聞くことがあります。

この記事では、そんなみなさんにWordPressとは何か、どんな危険性があるのか、どんな対策方法があるのかを説明します。

これを読めばWordPressが何かをを理解できるでしょう。

初心者でもわかるWordPressとその脆弱性。具体的にどのような攻撃をされるのかと、どんな対策ができるのかを見ていきましょう。

1. WordPressとは

WordPressは世界で最も多く使われているCMSのひとつです。
CMSとは、Contents Management System(コンテンツ・マネジメント・システム)の頭文字をとった略称で、ホームページの文章や写真などを更新できる管理画面がついたアプリだと思ってください。

いくつからあるホームページの管理システムの一つがWordPressです。

WordPressは世界でもっとも普及率が高く、その普及率はホームページ全体の70%とも言われています。
利用料金はかからず、大抵のレンタルサーバーにはインストールされているか、もしくは簡単にインストールできるようになっています。
しかし、このWordPressが誰でも簡単に利用することができるため、様々な問題が発生しています。

2. WordPressの問題点

WordPressはその普及率の高さから、悪意を持った人から狙われやすく、常に脆弱性を利用した攻撃にさらされています。

どんなシステムにも言えることですが、プログラムやシステムにはなんらかの脆弱性と呼ばれる不具合が潜んでいます。WordPressも例外なく脆弱性があります。
WordPressは、頻繁にバージョンアップを行って、これらの脆弱性に対処していますが、バージョンアップされないまま放置していると、簡単に乗っ取られてしまいます。

また、初期設定においても、公開前、公開後に行っておくべき設定があり、簡単に導入できる反面、そういった設定に対処せず設置されているケースが多いのが実情です。
大変残念ですが、WordPressを使ったホームページは頻繁に攻撃され、隙あらば乗っ取られるため「WordPressは危険だ」という噂が広まっているのです。

では、具体的にWordPressがどのような攻撃にされ、どのような対処が必要かを紹介します。

3. WordPressのセキュリティ対策

WordPressはインストールしたままだと、見えてはいけないファイルが見えていたり、繰り返しアタックされると簡単にID・パスワードが分かってしまったり、管理者のIDが外部から見えていたりと、様々な問題が潜んでいます。これら一つ一つに正しく対処していくことで、WordPressを使ったホームページでも安全に運用することが可能です。

●ブルートフォースアタック

別名「総当り攻撃」と呼ばれるこの攻撃は、想定されるパスワードを繰り返し入力するプログラムを使って、管理画面へのログインを試みます。
管理画面に入られてしまうと、ホームページが乗っ取られてしまいます。
WordPressのログイン画面のURLが、インストールしたままだとドメイン以下が全て同じです。
そのままにしておくと、簡単にログイン画面が表示され、繰り返しIDとパスワードを入力するプログラムを利用して、早ければ数分程度で乗っ取られてしまいます。

対処方法として、セキュリティ用のプラグインを導入して、IDとパスワードを繰り返し間違った場合、接続元のIPをロックしてしまいます。
また、ログイン画面を簡単にアクセスできないよう、アクセス先を変更しましょう。

●脆弱性を突いた攻撃

残念ながらWordPressにはプログラムや仕様などで脆弱性が常に潜んでいます。インストールしたままの状態で放置していると、脆弱性を突かれてホームページを乗っ取られることがあります。
脆弱性に対しては、バージョンアップを行うことで、対処ができますが、何もせず放置していると直ぐに乗っ取られてしまいます。
また、仕様上の問題については、先程のブルートフォースアタックの時にURLを変更したように、予め設定を変更しておく必要があります。

●ファイルの属性

残念ながらWordPressの初期設定はとても弱い状態です。一つ一つのファイルのファイル属性が正しく設定されておらず、見えてはいけないファイルが簡単に見えてしまっています。
また、外部からアクセスされることで簡単にセキュリティを突破されてしまうファイルもあるため、これらをアクセスできないよう設定する必要があります。
wp-config.phpなどの設定ファイルは、権限の無いユーザーがアクセスできないよう制限をかけましょう。
その他にも、アタックされるファイルがあるので、常に最新の情報を確認して、適切に対処しましょう。

●パスワードを複雑にする

インストール時にはWordPressが複雑なパスワードを進めてきます。
これを簡単なものに書き換える方がいますが、絶対にやめてください。
ログイン時のパスワードは必ず複雑にしましょう。ユーザー名も「admin」は使わず必ず削除しましょう。

●データーベースのプレフィックスを変更

WordPressをインストールすると、データベースのテーブル名が「wp_」になります。
これでは、簡単にDBの名前がバレてしまい、攻撃しやすい状態です。
テーブル名を予測できないものにすることで、データを抽出できないようにします。

●SSLによる暗号化通信

すべての通信をhttpsと言われるユーザーとサーバーの間の通信を暗号化することで、途中でデータを盗まれることを防ぎます。
GoogleがSSL化していないサイトには警告を出すようにしていますので、ホームページの公開においてはSSL化は必須です。

まとめ

WordPressに限らず、どんなシステムにも脆弱性は潜んでいます。
大切なのは、その脆弱性を出来るだけ早く見つけ、早期に対処することです。
その点で言えば、WordPressはとても優秀なオープンソースのソフトウェアです。
WordPressは、世界中の技術者によって頻繁に意見の交換が行われ、脆弱性に対して早期に対処してくれます。
また、充実したプラグインで様々な機能が実現できるWordPressは、適切に対処すればビジネスでも十分利用できるCMSであると言えます。
WordPressは簡単に導入できるCMSだからこそ、正しい知識と継続的なメンテンナンスが欠かせません。

この記事でみなさんの悩みが少しでも解決できれば幸いです。

記事一覧に戻る ホームへ戻る