WordPressのセキュリティリスクとセキュリティ対策

WordPressのセキュリティリスクとセキュリティ対策を知り、安全にWordPressを使おう！という記事です。

WordPressはセキュリティ対策を取らないとリスクが高いと思っていますが、使いやすくて便利で優れたツールであるとも考えています。

要は「セキュリティ対応しておけばいい」です！

具体的にWordPressにどんなリスクがあるかについて見ていきます。

WordPressのセキュリティに弱いところ

オープンソースである
- 誰でもソースを確認でき、脆弱性を見つけた悪い人が悪用する可能性がある
使っている人が多い
- 使っている人が多いため、狙われやすいです
  - 攻撃者もメジャーなものを狙ってくる
    - CMSにおいて世界シェアNo.1のユーザー数があるそうです
      - インターネット上に数多くの情報があります
プラグイン
- 不特定多数の人が作成しているため、セキュリティが不十分なものが多々ある
- 誰でも野良プラグインを作成・公開できる
  - 野良プラグイン：WordPressに認証されていないプラグイン
    - ユーザは簡単に野良プラグインをインストールできる
      - インストールされたプラグインは、DBにアクセス可能な状態となり情報の改ざんや不正入手が可能
野良テーマ
- 野良プラグインと同様のリスク
管理画面がインターネット上にある
- 管理画面のログイン画面へは容易にたどり着ける
  - ログインIDとパスワードがわかってしまえば、サイトを乗っ取られる

WordPress本体と運用で使うプラグインやテーマにもセキュリティリスクが多く、狙われやすい感じです。標的にされたらと考えると怖いですね。

WordPressのメリットである以下の点と表裏一体な気がします。

不正アクセス
- WordPressの管理画面やデータベースへ不正にアクセスする
  - 情報の改ざんや情報漏洩のリスク
  - WordPressの管理画面にアクセスされたらやりたい放題です
サイト改ざん
- サイトの情報を不正に改ざんされるリスク改ざんされ、訪問者を不正なサイトに転送するといったこともできてしまう
意図せぬ犯罪への加担
- DDoS攻撃の踏み台にされるリスク
- 不正メール送信の踏み台サーバにされるリスク
情報漏洩
- Webサーバーに個人情報や機密情報などが存在する場合、それらが漏えいするリスク

対応策として以下の2つが考えられます。

対応策

①WordPressを最新の状態に保つなど、地道に頑張る方法
②WordPressコンテンツを静的ページ化して配信するという方法

以下のような対応をすることでセキュリティを高めることができます。

次に紹介するのは、配信したいコンテンツをWordPressのプラグインStaticPressで静的ページとして出力し、静的ページのみを公開し(StaticPress S3でS3に転送して、S3+CloudFrontで公開)、WordPressは隠してしまう方法です。

具体的な構成は以下の記事で記載しています。

WordPressの動いているEC2のセキュリティグループでIP制限をして、自分以外はEC2(WordPress)にアクセスできないようにしておきます。そうすることで例えばWordPressのID・パスワードを知っていてもアクセスできないくらいセキュアになります。

StaticPressで静的ページにすることでサイト表示のレスポンスが向上し、SEO的にも有利といったメリットもあります。

静的サイトじゃないよと言う場合は、動的な部分をJavaScriptでサーバ(API Gateway + Lambda)とやりとりするなどの改修が必要となり、なかなか大変そうですが、、、

静的サイトの場合は、上記構成で十分に安全に運用できると思います。

WordPressを安全に快適に使おうの記事でした。

まとめ

リスクはいっぱいある！

対策は大きく2つ！
①WordPressを最新の状態に保つなど、地道に頑張る方法
②WordPressコンテンツを静的ページ化して配信するという方法