WordPressのセキュリティ対策とは ~WAFの導入でセキュアなWebを実現~

 2017.07.25 Secure Enterpriseポータル

世界中で人気の高いオープンソースCMS(コンテンツ・マネジメント・システム)といえば、ご存知WordPress。豊富なテンプレートやプラグインによって、容易に、そして自由にホームページやメディアサイトを構築することができます。

なんと、国内外の4分の1のWebサイトが、WordPressによって構築されているといいます。

参考:国内CMSシェアが82%を超えたWordPressのサーバ環境の比較表を公開 #wordpress
http://web-tan.forum.impressrd.jp/u/2017/05/26/25872 

そんな人気の高いWordPressの弱点を挙げるとすれば、やはりセキュリティでしょう。オープンソースCMS故に脆弱性(セキュリティ上の欠陥)が多く見つかっており、今年2月にはかなり重大な脆弱性に関する報告もあります。

参考WordPress の脆弱性対策について
https://www.ipa.go.jp/security/ciadr/vul/20170206-wordpress.html

Webサイトへのサイバー攻撃が深刻化し、企業としての信頼が脅かされている中、WordPress導入企業にとって最も重要なのはセキュリティではないでしょうかそこで今回は、WoedPressのセキュリティ対策についてお話します。

WordPressで起こり得るセキュリティ事件とは

そもそもオープンソースソフトウェアとは、個人ないしは非営利団体の活動によって提供されるものであり、取得・改修・再配布を自由に行えるものです。運営はもちろん、そこに必要以上のコストはかけません。従って、セキュリティが不十分になるということは、仕方のないことだと言えます。WordPressもそのような例の漏れず、脆弱性が度々発見されています。 

そんなWordPressでよくあるセキュリティ事件が、Webページ改ざんと、悪意のあるスクリプト(簡易プログラムのこと)の埋め込みです。 

Webページ改ざんとは何らかの方法で管理者アカウントにログインし、ページを不正に改ざんすることを指します。嫌がらせや政治目的で行われることが多く、実害としては“サイバー攻撃を受けたWebサイト”というレッテルを貼られる程度です。しかし、過度に発生すると、企業としてそもそもの信頼が低下します。

悪意のあるスクリプトの埋め込みは、もっと深刻です。特定のWebページに悪意のあるスクリプトを埋め込まれると、そのページにユーザーがアクセスすることで、スクリプトが不正に作動します。そうなると、管理者が意図しないページにユーザーが飛ばされてしまったり、それによって情報漏えいが起きたり、ユーザーの端末にウイルスがダウンロードされるなど深刻な被害が発生します。 

こうした被害を食い止めるために、WordPressではどのようなセキュリティ対策を取ればよいのでしょうか

WordPressでセキュリティ対策を強化するための設定

まず、WordPressには豊富なテンプレートとプラグインが公開されています。公式のものもあれば非公式のものもありますが、セキュリティの観点から考えれば、公式のテンプレートやプラグインを導入するのが賢明です。 

公式プラグインの中で、セキュリティ対策強化としておすすめなのが「All In One WP Security & Firewall」です。

  • 「All In One WP Security & Firewall」とは

「All In One WP Security & Firewall」数あるセキュリティ系プラグインの中でも機能が多く、幅広い領域をカバーできるのが特徴です。これ一つでコメント機能を無効化したり、不正アクセスを防ぐといったセキュリティ対策を講じることができます。

そのためには、まずダウンロードページから「All In One WP Security & Firewall」をダウンロードします。

  • プラグインを有効にする

WordPressにてすでにプラグインを利用しているという場合、すでにプラグインが有効になっているので、この作業を行う必要はありません。ただ、プラグインを利用していないという場合は、プラグインが無効になっている状態なので、これを有効にする必要があります。 

そのためにはまず、管理画面(ダッシュボード)にて、左側に並んだメニューの中から「プラグイン」をクリックします。するとプラグインという画面に遷移するので、「All In One WP Security & Firewall」の項目にある「有効化」をクリックします。

ここまで完了すると、管理画面(ダッシュボード)の左側メニュー一覧に「WP Security」という項目が追加されます。

  • スパムコメントを制御する

左側メニューに表示された「WP Security」にカーソルを合わせると、「All In One WP Securit」の各メニューが表示されます。その中にある「SPAM Prevention」をクリックすることで、コメント機能の無効化が行えます。 

「SPAM Prevention」メニュー内にある「Add Captcha to Comments Form」欄にあるチェックを入れると、コメント欄に簡単な足し算を入力するフォームが追加されます。スパムコメントのほとんどはボットと呼ばれる自動プログラムによって行われています。ボットは足し算ができないので、スパムコメントを入力できないという仕組みです。 

さらに、「Block Spambot Coments」という欄にあるチェックも入れると、コメントフォームからの入力しな受け付けないので、より強力にスパムコメントを制御することが可能です。

WAFを導入し、さらに強力なセキュリティ対策を

WordPressでは様々なプラグインが公開され、Webサイト運用を容易にしてくれたり、セキュリティを強化してくれたりします。しかし、それだけでは不十分なのも事実です。「All In One WP Security & Firewall」をすり抜けるような攻撃も、実はたくさんあります。

そこで、導入していただきたいのが“WAF”です。WAFとは「ウェブ・アプリケーション・ファイアウォール」のことで、Webサイトに対する通信内容を精査し、必要に応じて通信を遮断します。つまり、WordPressの脆弱性を突いた攻撃を検知し、自動で遮断してくれます。

そもそも脆弱性というものは、発見されてから即座に対応されるわけではありません。このため、セキュリティ更新プログラムが配信されるまでの間を狙った、“ゼロデイ攻撃”というサイバー攻撃も存在します。

まだセキュリティ対策が取れていない状態を狙われるので、通常ならばサイバー攻撃に対打ちできず、セキュリティ事件へと発展してしまいます。ただし、WAFを導入していれば別です。たとえ脆弱性が残っているとしても、不正通信を検知して遮断するので、結果としてゼロデイ攻撃をも防ぐことができます。

WordPressでWebサイトを運用している企業の皆さんは、基本的なセキュリティ対策を講じることはもちろん、WAFでより強力なセキュリティ対策を講じていただければと思います。