プロが教えるWordPress5つの具体的なセキュリティ対策

プロが教えるWordPress5つの具体的なセキュリティ対策

こんにちわ、家富です。

ここ最近、
何社かのクライアント様から、

「WordPressに
不正アクセスされてしまったのですが・・」

というご相談を頂くことがありました。

WordPressの不正アクセスというと、
3〜4年ほど前から被害が急増していて、
一時期は1ヶ月で5〜6件程のご相談があったほどです。

不正アクセスというと、
個人情報の流出が大きな問題となりますが、

WordPressの場合には、
ウェブサイトの改ざんが主に行われ、

不正なメール送信の中継システムとして、
悪意を持って利用されるケースが多いようです。

表だっての被害は
まだ報告されていませんが、
ファイルの改ざんに加えて、
データベースの中身も流出していると
考えて間違いはないでしょう。

この状態にされてしまうと、
問題が解決するまで期間、
プロバイダーやレンタルサーバー側に
ウェブサイトを凍結されてしまったり、
問題が解決するまで
サイト全体が503エラーになったり、
サイトの運営が困難になる場合が多いです。

アフィリエイトサイトやECサイトなど、
ウェブサイトの運用が収益の大半を占めるような場合、
これは本当に致命的な問題になり得ます。

たとえ1日だとしても、
その損害は大きなものとなるでしょう。

そこで本日は、
そんな不正アクセスに対する
セキュリティ対策について、

弊社が実際に行っている内容を
ご紹介したいと思います。

不正アクセスの方法を知る

まずは第一に、
どうやって不正アクセスが起こっているか?
その方法についてご説明いたします。

不正アクセスで最も多い方法が
「管理画面に無理矢理ログインされる」
という方法です。

これは非常に単純で、
色々なログインIDとパスワードのペアを、
WordPressのログイン画面から入力する方法です。

ブルートフォースアタック(総当たり攻撃)などと言われ、
聞いたことがある方もいらっしゃるかもしれません。

ブルートフォースアタックは
人力で行われるのではなく、
専用のプログラムを使って行われます。

この場合、
IDとパスワードが「admin」などになっている場合、
ものの数秒で不正にログインされてしまうことでしょう。

また、IDやパスワードが「ドメイン名」だったり、
「123…」や「abc…」といった単純なもの、
よく使われるフレーズや英単語だったりすると、
多少時間はかかっても、
簡単にログインされてしまうことが多いようです。

ここで単純に管理画面へ
アクセスされてしまった場合、
割れてしまったアカウントが「管理者」だったり、
「テーマの編集」ができるアカウントであるならば、
WordPressの機能を使って、
ウェブサイトの改ざんが行われてしまったり、
データベースの中身を抜き取られたりします。

WordPressは管理画面から
テーマファイルやプラグインファイルを
書き換える機能が存在しています。

その機能を不正に利用され、
上記で述べたような不正なプログラムを、
WordPressのPHPファイルに埋めこまれてしまうのです。

そうやって外部からの進入口をあらたに作成され、
メール送信の踏み台にされたり、
サーバー内部のデータを抜き取られたりするのが、
WordPressで最も多い不正アクセスの方法です。

その他にも
プラグインのセキュリティホールを利用されたり、
サーバー側のセキュリティホールを利用されて、
サーバーに侵入される場合もあります。

しかし、その場合は対策が非常に難しいため、
今回は最も被害の多い、
ブルートフォースアタックに対して、
対策を確認していきたいと思います。

【対策①】IDとパスワードを強固にする

最もシンプルで
最も簡単にできる方法として、
ログインできるユーザーアカウントの、
IDとパスワードを複雑なものにする方法があります。

上記で述べたように、
ブルートフォースアタックでは
単純なIDとパスワードのペアを
次々に試していく方法が取られます。

そこで、IDとパスワードが推測しにくいものであれば、
何度攻撃されようが、一致する確率は少なくなるのです。

まずドメイン名や「admin」といった単語、
英単語をそのまま使うことを避けるだけでも、
効果があるでしょう。

また、大文字小文字をどちらも利用し、
さらに数字を何個か使うことで、
より強固なID・パスワードにすることができます。

【対策②】海外からのアクセスを遮断する

不正アクセスの大多数が、
海外からのアクセスです。

中国、アメリカ、ロシアといった
国々のサーバーや回線を使い、
そこに設置されたプログラムを利用して、
ウェブサイトに不正アクセスを試みてきます。

そこで最も簡単にできて、
効果の高い対策が、
海外からのアクセスを遮断してしまう方法です。

サイト全体に
その対策をしてしまうと、
海外向けのウェブサイトは
運営できなくなりますし、

海外にお客様がいる
サイトなどでは現実的ではないので、
ここでは「管理画面」にのみ、
その対策を施します。

具体的には htaccess という仕組みを使い、
管理画面にログインするためのファイル wp-login.php と、
管理画面を構成しているファイル群 wp-admin/ ディレクトリ以下を、
海外からのIPアドレスではアクセスできないように、
制限をしてしまうのです。

こうすることで、
そもそも海外からでは、
管理画面にアクセスすることができなくなりますので、
個人情報の流出やファイルの
書換を行うことができなくなります。

ただ、
日本国内のIPアドレスを使って、
不正アクセスをされる
ケースには効果がありません。

もしログインするユーザーが、
自分だけや自分の会社のユーザーだけで、
且つ固定IPアドレスを持っているのであれば、
海外からのIPアドレスを弾くのではなく、
その固定IPアドレスからしか
アクセスできないように設定してしまうのが、
海外からのアクセスを弾くよりも効果的です。

【対策③】ログイン回数を制限する

ブルートフォースアタックは
「総当たり攻撃」という意味ですから、
その名のごとく色々なIDとパスワードのペアで、
何度も何度もログインを試行します。

そこで、
ログインが試行できる回数を
制限してしまうことで、
対策を行うことができます。

昨今では優秀なプラグインがいくつか存在しており、
Login Lockdown といったものが有名です。

こういったプラグインを使うことで、
例えば5〜6回ログインに失敗すると、

その後5分ほど待たないと
ログインができないように、
ログインの仕組みを
制限することができます。

この対策を用いることで、
プログラムを使って連続した
ログイン試行ができなくなるため、
ログインIDが割れてしまうのを
防ぐことができます。

ただ、この方法も
ログインIDとパスワードが簡易なものだと、
余り意味を成しません。

少ない回数でも
突破されてしまったら意味がないからです。

この方法は、
ログインIDとパスワードを強固にした上で、
行うことが最も効果的でしょう。

【対策④】WordPressのログインページを変更する

不正アクセスは
上記で紹介したとおり、
最初にWordPressの管理画面に、
不正にログインされて
しまうことから発生します。

そこで、
WordPressにログインするための
ファイルを差し替えて、

ログインするための
入り口がどこにあるのかを、
分からなくさせてしまう対策があります。

WordPressでは
wp-login.php というファイルを
ログインするための
入り口として利用します。

WordPressは
世界中で利用されているので、
攻撃者もこのファイルが
ログインに利用されるということを知っているため、

最初からこのファイルを指定して、
ログインを試行してきます。

しかし、
このログインするためのファイルが、
そこに存在していなければどうでしょうか?

攻撃者はWordPressの構造を知っているからこそ、
「このURLが入り口だ」と決めつけて、
不正アクセスを試みようとしますので、
その入り口が全くわからないようになっていれば、
そもそもの攻撃を防ぐ事ができます。

これもいくつかプラグインが存在しますが、
Login rebuilder というプラグインが最も有名です。

多少サーバーや
WordPressの知識が必要ですが、
非常に簡単にログインファイルを
差し替えられるため、
是非行って欲しい対策の1つです。

【対策⑤】ファイルパーミッションを適切に保つ

不正アクセスでは
ファイルの書換が行われ、
そのファイルに
新たな進入口が設けられます。

一度入り口ができてしまうと、
攻撃者は自由にサーバー内部に
出入りできるため、

後はやりたい放題データを盗んだり、
サーバー内部のあらゆるデータを
書き換えたりできるようになります。

ただ、
結局これは「PHP」を使って、
ファイルを書き換えているため、
PHPファイルの書換ができなければ、
この問題は起こりえません。

そこで、
PHPファイルのパーミッションを、
PHPからファイルの
書換ができないよう設定することで、
ファイルの書換を防ぐ事ができます。

どうしても書き込みが
必要なディレクトリもあるため、
全てのファイルやディレクトリを
変更することは難しいですが、

この対策をしておくだけでも、
WordPressに不正アクセスされた場合に、
PHPファイルが書き換えられるという
被害を最小限に抑えることができます。

ただ、
一部のサーバーでは
パーミッションにかかわらず、

PHPからファイルが
書き換えられる設定になっているものがあります。

この場合、
本対策は難しくなってしまうため注意が必要です。

また、
不正アクセスそのものを防ぐ効果はないため、
それ以外の対策も忘れずに行って下さい。

さいごに

いかがだったでしょうか?

一度不正アクセスをされてしまうと、
個人情報の流出だけではなく、
色々なファイルが改ざんされて
入り口が作られてしまいます。

そのため、
サーバー内部の総点検などをしないと、
上記の対策も意味を成さなくなってしまいます。

不正アクセスが発生する前に、対策を行う!

是非この機会に、検討してみて下さい。

弊社ではセキュリティパッケージという商品で、

・IPアドレス制限
・ログイン回数制限
・ログインファイルの差し替え

の3つの対策を一括して対応しています。

新規製作の際にも
お申し付けいただければ、
上記の対策を入れ込んで
御見積もりを致しますので、
お気軽にご相談ください。

既に稼働しているサイトでも、
あまりにも古いWordPressを利用していなければ、
上記の対策を行うことができますので、
セキュリティに不安がある方、
是非ご相談いただければ幸いです。

メルマガ登録のご案内

下記よりメルマガにご登録いただければWordPress関連情報やノウハウなどを定期的にお届けいたします。

登録に必要な情報はメールアドレスだけですので、無用な営業電話など一切いたしません
また、メルマガはいつでも解除可能です。



当社では皆様のプライバシーを最大限尊重しておりますと同時に、皆様から頂戴した個人情報につきましては、いかなる組織または会社とも共有致しません。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください

ABOUTこの記事をかいた人

インスパイアデザインの取締役兼、エンジニア。WordPressのテーマ・プラグイン開発を年間100件以上、独自のフレームワークを用いて開発をしています。