Resource Centerリソースセンター
WordPressは利用者が世界No.1のCMSである一方で、サイバー攻撃の対象にされやすいともいわれています。
実際、脆弱性を突いた攻撃が多いのも事実です。では、本当にWordPressは他のCMSに比べて攻撃されやすいのか?
WordPressのセキュリティや脆弱性による被害の実例、対策について解説します。
WordPressはセキュリティが弱い?
WordPressはセキュリティが弱いと言われていますが、WordPress自体に欠陥が多いというわけではありません。
ではなぜWordPressのセキュリティは弱いといわれることが多いのかというと、複数の要因が重なっていることにあります。
初心者が多い
WordPressは初心者でも簡単にWebサイトを作成できることが最大のメリットですが、ITの知識が不十分な初心者でも利用できてしまうとも言えます。
セキュリティを意識しない、または正しいセキュリティ対策をしないまま運用し続けているということは、悪意のある第三者からみれば好都合です。
利用者No1のオープンソースCMS
WordPressのソースコードは誰でも中身が見えるので、悪意のある第三者も脆弱性を発見しやすくなります。
また、WordPress本体だけではなく、プラグインにも脆弱性があります。多くのユーザーがプラグインを開発しており、脆弱性のあるプラグインを利用すると攻撃されてしまいます。
さらに、人気があるCMSということは、それだけ利用者が多いということです。悪意のある第三者にとってみれば、脆弱性を1つ発見するだけで効率よく多くのWebサイトを攻撃できるため、それだけでメリットがあると言えます。
管理画面がインターネット上にある
WordPressの管理画面はインターネット上に存在しているため、ログインページのURL、ログインID、パスワードがあれば誰でも簡単にログインできてしまいます。
ログインページのURLは初期設定が決まっているため、何の対策もしなければ簡単にアクセスできてしまいます。
IDとパスワードに関してもメールアドレスや社員名、誕生日など推測しやすいものは危険です。Webサイトと関連性のないものでも、単純な英単語やasdf1234などシンプルな文字列の場合は簡単に突破されてしまう可能性があります。
ID・パスワードの使いまわしも、他から流出した情報をもとに不正アクセスされる可能性があります。
テーマやプラグインのアップデート
基本的にWordPressのテーマやプラグインは継続的に改良が行われ、脆弱性に対するアップデートをリリースしています。しかし、開発者がアップデートをやめてしまうと脆弱性はそのまま残ってしまいます。
また、開発者が脆弱性に対する最新のアップデートをリリースしていても、Webサイトを運営する側がアップデートしなければ古いバージョンのままになってしまいます。
そうなるとプログラムの脆弱性を狙った攻撃に対応できず、被害にあう確率が大幅に上がります。
WordPressの脆弱性による被害事例
実際にWordPressが攻撃されることでどのような被害を受けることになるのか解説していきます。
コンテンツが改ざんされる
脆弱性への対応不足や不正ログインにより、コンテンツの中身を勝手に書き換えられるというものです。
以前はテキストや写真の差し替えといった愉快犯的なものが主流でしたが、現在はウイルスやマルウェアなど悪意のあるプログラムを埋め込むことが主流となっています。
見た目が変わるものであれば発見も容易ですが、スクリプトが書き換えられているなど見た目が変わらないものは発見までに時間がかかってしまいます。
悪質なWebサイトに転送される
自動転送プログラムなどを埋め込まれ、Webサイトに訪れたユーザーが悪意のある外部サイトに転送されるというものです。
転送先では個人情報の抜き取り、他の悪質なWebサイトへの誘導、ウイルス感染などの危険性があります。
最近では404や503ページなどあまり開かないかつ、リダイレクトが行われても違和感のないページに仕掛けられることも多く、気づきづらくなっています。
情報が漏洩する
不正ログインなどによりサーバー内にある個人情報や機密情報を不正に取得するものや、コンテンツ改ざんによってフォームに入力した個人情報を意図しないアドレスに転送するもの、同じくコンテンツ改ざんによってマルウェアを仕込まれパソコンやスマホ内の情報を抜き取るものなどがあります。
その他にも、wp-config.phpに直接アクセスされ、データベースの情報をまるごと抜かれてしまうことがあります。
スパムメールを送信される
メルマガ発行やユーザー登録などを行っている場合、WordPress内に保存されているメールアドレスに対してスパムメールが送られることがあります。
WordPress内にアドレスが保存されていなくても、お問い合わせフォームなどのメール送信機能を悪用してスパムメールの踏み台にされることもあります。
さらに、お問い合わせフォームなどのプラグインを利用していないWebサイトでも、WordPressの標準機能であるコメントフォームに対してメール送信プログラムが埋め込まれることがあるため、全てのWordPressサイトで注意が必要になります。
実例紹介
WordPressのセキュリティ対策が不十分だったことによってどのような攻撃に合うのか、何が原因だったのか実例を交えて紹介します。
サイト改ざん
メーカーのコーポレートサイトで、不正アクセスを受けたことにより、サイトを改ざんされた事例があります。WordPressをインストールしたままの状態で使用しており、容易なパスワードを設定していたことが原因でした。
幸い、個人情報を取り扱うページはセキュリティが高い別のWebサイトに分けており、速い段階で閲覧制限を行ったため、サイト改ざんによるユーザーへの被害は最小限におさえられました。
悪質な外部サイトへリンクが貼られる
官公庁が管轄するWebサイトが改ざんされ、悪意のある外部サイトへリンクが貼られる事例がありました。リンク先はフィッシングサイトなど悪質なWebサイトにつながっており、ユーザーを困惑させる事態になりました。
原因は古いプラグインを放置しており、その脆弱性を突かれたものでした。
スパムメールの踏み台
2017年には、テスト環境として利用していたWordPressが、アップデートをしないまま放置されていたことが原因で乗っ取られました。犯人はメール機能を悪用して不特定多数のユーザーに大量のスパムメールを送りつけました。
そのことで、Webサイトを運営していた企業の信用は著しく低下し、お詫びの対応で業務が混乱したそうです。
このように、公開・非公開問わず、Web上にある全てのサイトで適切な管理・運用を行うことはとても重要です。
被害の多くは、WordPress本体やプラグインの脆弱性を突かれたり、きちんとしたセキュリティ対策ができていないことが原因です。
まずはセキュリティ診断でサイトチェック
セキュリティ対策の第一歩として、運用しているWebサイトのセキュリティがどのような状況かチェックする必要があります。
今は問題がなくても今後問題が出てくる場合もありますので、継続的にチェックしていくことが大事です。
WPSCANS.com
WPSCANSは、診断したいWebサイトのURLを入力するだけで脆弱性診断することができるオンライン診断サービスです。
こちらは簡易診断となるのでもっと詳しく調べたい場合は、以下に紹介するプラグインを利用すると良いでしょう。
wpdoctor Malware scanner Pro
ワードプレスドクターは、WordPressを設置したサーバー上にある全てのファイルをスキャンし、ファイル改ざんを検知、駆除、感染箇所を詳細に調べてくれる日本製のプラグインです。
レポートもわかりやすく、問題のある個所が一目でわかるため、知識があまりない人でも利用しやすいのが特徴です。
また、メニューだけでなく、レポート内容も全て日本語なので英語に自信がない人にもおすすめです。
Wordfence Security
Wordfence securityは、WordPress本体、プラグイン、テーマ、マルウェア、スパムなど総合的に診断することができるプラグインです。
セキュリティ診断だけでなく、WAFやログイン強化、アクセス監視などセキュリティ対策も同時に行えるのでとても便利です。
今すぐ実践できるWordPressのセキュリティ対策
上記のようなセキュリティ診断で問題が検出されてもされなくても、セキュリティ対策は必須です。
そこで、今すぐ実践できるセキュリティ対策についてご紹介します。
運用方法に関するルールを決める
まずは運用にあたって作業者それぞれの権限や役割、作業の進め方など、運用方法に関するルールを決める必要があります。
WordPressのユーザー権限は全部で5段階あり、役割に応じた権限を付与することができます。
特に、外部に依頼する場合や、WordPressの扱いにあまり慣れていない場合は、必要な権限のみを付与することでトラブルを回避することができます。
その際、作業者それぞれにIDやパスワードを割り振ることができますが、
・英数字や大文字小文字を混ぜた長いものにする
・誕生日やユーザー名、英単語など推測されにくいものにしない
・IDやパスワードを使いまわさない
これだけでも不正アクセスを回避できる確率は格段に上がります。
最新の状態を維持する
WordPress本体、テーマ、プラグインは常に最新のバージョンになっていることが理想的です。
アップデートがリリースされた際に自動で更新してくれる機能もありますが、テーマやプラグインがWordPressのバージョンに対応していない場合や、そもそもリリースされたバージョンに不具合がある可能性もあるので、利用する場合はその見極めが必要です。
他にも、使用していないテーマやプラグインは「無効化」ではなく「削除」することが重要です。
セキュリティ強化プラグインを導入する
WordPressでは手軽にセキュリティ対策を行えるセキュリティ強化プラグインも多数用意されています。
SiteGuard WP Plugin
ログインページと管理画面の保護を中心とした日本製のセキュリティ対策プラグインです。不正ログイン、不正アクセス、コメントスパムを防いでくれます。
Google Authenticator
管理画面にログインする際に、二段階認証を実装するプラグインです。手間はかかりますが、不正ログインをより確実に防ぐことができます。
IP Geo Block
管理画面に対して、海外からのアクセスをブロックすることができるプラグインです。WordPressへの攻撃の多くは海外から行われているため、大変有効です。
All In One WP Security & Firewall
WordPressの総合的なセキュリティ対策が行えるプラグインです。ログイン画面の初期URL変更、簡易ファイアウォール、ログインロックなど総合的にWebサイトを守ってくれます。
Akismet
コメントや問い合わせフォームに対して、スパムコメントをフィルタリングしてくれるプラグインです。WordPressに初期搭載されているため、すぐに利用することができます。
※同じ機能のプラグインを複数導入すると、プラグイン同士が競合して動かなくなることがあります。
WAFを利用する
従来のファイアウォールではWebアプリケーションに対する攻撃を防ぐことができないため、Webアプリケーション用のファイアウォール「WAF」を利用する事が有効な手段となります。
WAFは多くのレンタルサーバーで設定することができます。レンタルサーバー側で設定できない場合でもWordPressのプラグインで設定することができます。上述した「Wordfence security」というプラグインでもWAFを設定することができます。
※WAF の誤認知によってWordPressの更新ができなくなる場合があります。
情報収集を行う
WordPress関連の最新情報を定期的にチェックすることも重要です。
過去には、WordPressの最新バージョンや、誰もが使用しているテーマやプラグインで重大な脆弱性が発見されたことがあります。
事前にこのような情報があれば、別のプラグインやテーマに替えたり、セキュリティ強化プラグインを追加導入したりといった対策も可能となります。また、異変を感じた時にも迅速に対応することができるようになります。
運用サポートサービスを利用する
WordPressは簡単に利用できる反面、セキュリティ対策には一定の専門知識が必要です。社内に専門知識を持った人員がいない場合には、外注として運用サポートサービスを利用することもできます。
コストを抑えるために導入したWordPressなのに固定費用が増えてしまうことになりますが、プロによる監視・対策を受けることができるため、安全性が飛躍的に向上します。
まとめ
例えWordPressを使用していなくても、ホームページを公開する以上、何らかの脆弱性が発生し対処する必要が必ず発生しますので、専門知識を持ったプロにサポートを依頼できる状態を作っておくことは、リスク管理の面から考えても必要なことでしょう。
