QUICKGUARD ホームページ >

セキュリティ対策【WordPress編】

2021.02.05

こんにちは。クイックガード広報のウエポンです(武器ではありません!)。
ちなみに以前はうえびぃと呼ばれていましたが入社3か月の間であだ名が変わりました。

今まで内部セキュリティ対策外部セキュリティ対策のお話をしてきましたが今回はWordPressのセキュリティ対策についてお話したいと思います。

WordPressとは

WordPressとは、オープンソースのブログ投稿管理システム、CMSです。
つまり誰でも改造できるソースコードのおかげで好きなようにカスタマイズできる上に、そのソースコードをインストールすることで初心者でも簡単にブログやサイトを作れるシステムと考えていただければ問題ないです。

ちなみに現在では全世界の39%を超えるサイトがWordPressで作られており、圧倒的なシェア誇っています。
引用:公式「WordPress.com」より

世界では39%ですが、日本ではなんと82.4%の使用率です。引用:Q-Successより

WordPressのメリット

WordPressのメリットは下記の理由があります。
・記事の追加、更新が簡単にできる。
・無料で使用できる
・HTMLやCSSなどの知識がなくとも記事を作成できる
・画像の投稿、編集ができる
・アクセス数を確認できる
・ユーザ権限を管理できる
・プラグインが豊富

WordPressが危険といわれる理由

まず大前提としてWordPress自体が危険であったり、脆弱性が特に高いということではありません。
上記の通りWordPressはソースコードが公開されているため、悪意を持った人が改悪を行い公開・配布ができてしまうのです。
そうした脅威からサイトを守るためにも下記の確認、設置を行いましょう。

WordPressのセキュリティ対策

最初に
html、CSSの編集はサイト全体に影響を与える可能性があります。サイト構築を外部委託している場合は、編集を制作会社へ依頼してください。
また、新たなプラグインの導入は、現在稼働しているプラグインに影響を与える可能性があるので動作確認をしましょう。

修正を行う際はWordPressのバックアップを取りましょう。
さらに日頃からバックアップを取ることで仮にWordPressを攻撃されデータが壊れても0からの構築を避けられます。

①WordPressとプラグインのバージョンを最新版にする
WordPressやプラグインにて見つかったセキュリティホールに対し、その都度パッチが公開されます。
このパッチには発生したセキュリティホールはもちろん、今後狙われやすい箇所への対応も行っているのでしっかりと更新しましょう。

【WordPressの更新情報】管理画面トップに表示されます。
【プラグイン】メニューからもできますし、ダッシュボードの更新ページにまとめて記載されています。

②使用していないプラグインを削除する
使用していないプラグインのセキュリティホールを攻撃されることもあります。
プラグインの整頓を含め、こまめに削除しましょう。

③WordPressで構築されていることを隠す
WordPressのテーマディレクトリのfunctions.phpへ追記することで不要なタグの出力を停止することができます。

④ユーザのパスワードを複雑にする
企業の情報から推測されやすい単語や数字、一般的に多く使用されているパスワードは避けましょう。
下記は推測されやすいパスワードの一例です。

・企業名:quickguard、qgなど
・電話番号:0312345678、5678(下四桁)など
・会社やHPの設立日:20151225など
・多用されるID、パスワード:admin、administrator、passなど
・ユーザ名:ユーザ名とパスワードが同じ

⑤利用者ごとにアカウントを用意する
WordPressにて編集する人が数人いる場合、人数分のアカウントを用意するといいでしょう。
退職者が出た場合でもログイン情報を変えずアカウントを削除するのみで済みますし、編集者の名前が表示されるのでミスがあっても原因究明のスピードが上がります。
※アカウントごとに権限を変更することができるので知識がない方がデータを変更してしまった、などの予防にも有効です。

⑥ログインページにアクセス制限を設ける
⑥-1ログイン画面へIP制限を設ける
限られたIPアドレスにのみ接続を許可する方法です。
リモートワークなどを実施している企業や、複数の箇所からログインが必要な場合は導入が難しくなりますが、セキュリティが高いのがメリットです。

⑥-2ログインURLにベーシック認証を設定する
ログインURLへアクセスする際もパスワード入力を求めることで、2重のセキュリティとなります。

そのほかに「ログインURLを変更」、「ログイン時に画像認証を追加」、「ログインの失敗回数を制限」などの対策があります。
ログイン画面のアクセス制限は、サイト更新者の人数や環境など自社のサイト運営に合った方法や組み合わせて対応しましょう。

⑦セキュリティ対策のプラグインを追加する
様々なセキュリティ対策用のプラグインが配信されていますがここでは設定のしやすい日本語対応プラグインをご紹介します。

SiteGuard WP Plugin
こちらは国産のセキュリティプラグインです。説明も日本語で記載されているので初心者でも直感的な操作ができます。
基本的なセキュリティ対策はこちらのプラグインで行うことができます。

【機能一覧】
-ログインURLの変更
-ログインページ名の変更
-ログイン時に画像認証を追加
-エラーメッセージの詳細無効化
※IDが違います、パスワードが違います、などのエラーメッセージを非表示にすることで入力ミスの詳細を表示しない設定
-ログイン失敗時のロック機能
-フェールワンス
※ログイン情報が合っていてもダミーでエラーを表示させる機能
-XMLRPC防御
-更新通知
-WAFチューニングサポート

SiteGuard WP Plugin
様々なセキュリティ対策ができ、一部日本語化しています。
より細かい設定を行いたい際におすすめのプラグインです。

【機能一覧】
-セキュリティチェック
-グローバル設定
-更新時のメール通知機能
-悪意あるユーザのブロック
-特定のIPアドレスのブロック
-WordPressの自動バックアップ
-予期しない変更の検出
-ファイルのパーミッション
-ローカルのブルートフォース保護
※ランダムでログイン情報を推測しようとする攻撃からサイトを守ります。
-ネットワーク・ブルートフォース保護
※悪意のあるものの報告と保護を行うネットワークサイト
-SSL構築
-強力なパスワード設定
-シークレットキーを更新
-WordPress の微調整

最後に
自社のサイトがWordPressで構築されている場合は、上記の内容を確認しセキュリティを高めましょう。