世界中で使用されているCMSの代表格とも言えるWordPress。
便利で使いやすい反面、脆弱性が指摘され、セキュリティ面が心配という話もよく聞きます。
近年、サイバー攻撃の対象が国や大手企業から中小企業まで広がっており、ウェブサイトを運用していれば誰でも攻撃対象となりうる状況です。
セキュリティ事故を防ぎ、安心して運用するために、WordPressサイトでできるセキュリティ対策にはどのようなものがあるでしょうか。
先日、WordPressサイトにおけるセキュアな設定についてセミナーを受講して参りましたので、その内容をまとめ、ご紹介していきたいと思います。
管理者画面にIP制限をかける
WordPressの管理画面はインターネットに公開されているため、不特定多数からアクセスが可能になっています。
管理画面を扱う必要がある担当者のIPアドレスのみアクセス可能に設定すれば、不特定多数からのアクセスを防ぐことができます。
- リスク
-
・不特定多数から管理画面にアクセス可能の為、サイバー攻撃を受ける可能性
・アカウントの乗っ取り
- 対 策
-
・サーバーのファイアウォールでアクセス制限
・Webサーバーの設定ファイル.htaccessでIP制限
管理者画面にBasic認証をかける
WordPress構築や運用を外部に委託する場合は、固定IPアドレスを利用できず、IP制限の実装が難しいことがあります。
その場合はBasic認証を追加することでセキュリティを高めることができます。
- リスク
-
・パスワードの総当たり攻撃、辞書攻撃などでパスワードを不正に入手し、アカウントの乗っ取り
- 対 策
-
WebサーバーにBasic認証を設定
WordPressのバージョンを隠す
WordPressのバージョンは管理画面にログインしなくても確認ができるため、バージョンを隠すことにより攻撃の可能性を低くします。
- リスク
-
・バージョンが特定されることで、該当バージョンに対する脆弱性を狙い撃ち攻撃
- 対 策
-
・readme.htmlを削除(旧バージョンのみ)
・functions.phpの設定を変更
phpMyAdminを削除する
WordPress導入時のDB設定のためにphpMyAdminを利用することがありますが、インターネットから直接DBを操作できるため、情報漏洩や改ざんのリスクが高くなります。
- リスク
-
・個人情報漏洩
・DBの改ざん
- 対 策
-
・phpMyAdminを削除する
・運用上必要な場合はIP制限やBasic認証を設定する
WPを最新版に維持する
WordPressにセキュリティ関連の問題が発生すると定期的に更新されます。
WordPress公式では「最新バージョンのWordPressに常に更新すべき」と記載があります。
古いバージョンでは脆弱性を悪用した攻撃を受けやすくなるため、WordPressを常に最新の状態にすることがセキュリティを保つために重要になります。
- リスク
-
・脆弱性を悪用したサイバー攻撃
・セキュリティ対策が不十分と認識され、狙われやすくなる
- 対 策
-
・脆弱性情報に対し、最新のものにバージョンアップ
・サイト崩れのリスクを理解しつつ、WP自動アップデートを有効にする
その他
上記の対策以外にも、WordPressプラグイン「SiteGuard WP Plugin」やWAFの導入など対策は複数あります。必要に応じて対策しましょう。
まとめ
今回はWordPressサイトに対してのセキュリティ設定のみですが、
想定されるリスクからサイトを守るためには、設定を正しくをした上で、よりセキュリティを高めることが大切になります。
セキュリティ事故は起こってからでは遅いです。
実際の運用状況に合わせて設定をしていきましょう!
WordPress運用時のセキュアな設定
- 管理者画面にIP制限をかける
- 管理者画面にBasic認証をかける
- WordPressのバージョンを隠す
- phpMyAdminを削除する
- WPを最新版に維持する
- 必要に応じてプラグインやWAFの導入をする
