WordPressのセキュリティリスクとセキュリティ対策を知り、安全にWordPressを使おう!という記事です。
WordPressはセキュリティ対策を取らないとリスクが高いと思っていますが、使いやすくて便利で優れたツールであるとも考えています。
要は「セキュリティ対応しておけばいい」です!
具体的にWordPressにどんなリスクがあるかについて見ていきます。
WordPressのセキュリティに弱いところ
- オープンソースである
- 誰でもソースを確認でき、脆弱性を見つけた悪い人が悪用する可能性がある
- 使っている人が多い
- 使っている人が多いため、狙われやすいです
- 攻撃者もメジャーなものを狙ってくる
- CMSにおいて世界シェアNo.1のユーザー数があるそうです
- インターネット上に数多くの情報があります
- CMSにおいて世界シェアNo.1のユーザー数があるそうです
- 攻撃者もメジャーなものを狙ってくる
- 使っている人が多いため、狙われやすいです
- プラグイン
- 不特定多数の人が作成しているため、セキュリティが不十分なものが多々ある
- 誰でも野良プラグインを作成・公開できる
- 野良プラグイン:WordPressに認証されていないプラグイン
- ユーザは簡単に野良プラグインをインストールできる
- インストールされたプラグインは、DBにアクセス可能な状態となり情報の改ざんや不正入手が可能
- ユーザは簡単に野良プラグインをインストールできる
- 野良プラグイン:WordPressに認証されていないプラグイン
- 野良テーマ
- 野良プラグインと同様のリスク
- 管理画面がインターネット上にある
- 管理画面のログイン画面へは容易にたどり着ける
- ログインIDとパスワードがわかってしまえば、サイトを乗っ取られる
- 管理画面のログイン画面へは容易にたどり着ける
WordPress本体と運用で使うプラグインやテーマにもセキュリティリスクが多く、狙われやすい感じです。標的にされたらと考えると怖いですね。
WordPressのメリットである以下の点と表裏一体な気がします。
- 使い勝手が良い
- 気軽に使い始められる
具体的にどんなリスクがあるか(どんな被害があるか)
- 不正アクセス
- WordPressの管理画面やデータベースへ不正にアクセスする
- 情報の改ざんや情報漏洩のリスク
- WordPressの管理画面にアクセスされたらやりたい放題です
- WordPressの管理画面やデータベースへ不正にアクセスする
- サイト改ざん
- サイトの情報を不正に改ざんされるリスク改ざんされ、訪問者を不正なサイトに転送するといったこともできてしまう
- 意図せぬ犯罪への加担
- DDoS攻撃の踏み台にされるリスク
- 不正メール送信の踏み台サーバにされるリスク
- 情報漏洩
- Webサーバーに個人情報や機密情報などが存在する場合、それらが漏えいするリスク
対応策
対応策として以下の2つが考えられます。
①WordPressを最新の状態に保つなど、地道に頑張る方法
②WordPressコンテンツを静的ページ化して配信するという方法
①WordPressを最新の状態に保つなど、地道に頑張る方法
以下のような対応をすることでセキュリティを高めることができます。
- WordPressを最新の状態に保つ
- WordPress本体・プラグイン・テーマを最新に保つ
- 予測しにくいパスワードとユーザー名を設定する
- 不要なプラグインは削除する
- WAFを導入する
- プラグイン「All In One WP Security & Firewall」を入れる
- バックアップを取る
- 定期的にバックアップを取ることで、ウェブサイトが攻撃を受けた場合でも、ウェブサイトのデータを復元することができます。
②WordPressコンテンツを静的ページ化して配信するという方法
次に紹介するのは、配信したいコンテンツをWordPressのプラグインStaticPressで静的ページとして出力し、静的ページのみを公開し(StaticPress S3でS3に転送して、S3+CloudFrontで公開)、WordPressは隠してしまう方法です。
具体的な構成は以下の記事で記載しています。
WordPressの動いているEC2のセキュリティグループでIP制限をして、自分以外はEC2(WordPress)にアクセスできないようにしておきます。そうすることで例えばWordPressのID・パスワードを知っていてもアクセスできないくらいセキュアになります。
StaticPressで静的ページにすることでサイト表示のレスポンスが向上し、SEO的にも有利といったメリットもあります。
静的サイトじゃないよと言う場合は、動的な部分をJavaScriptでサーバ(API Gateway + Lambda)とやりとりするなどの改修が必要となり、なかなか大変そうですが、、、
静的サイトの場合は、上記構成で十分に安全に運用できると思います。
まとめ
WordPressを安全に快適に使おうの記事でした。
リスクはいっぱいある!
対策は大きく2つ!
①WordPressを最新の状態に保つなど、地道に頑張る方法
②WordPressコンテンツを静的ページ化して配信するという方法