森下竜行の〇〇ってなんやねん!

著:森下竜行氏

他人事でないサイバー攻撃! 第02回 18年04月更新

今や各社1つはWebサイトを持っているというのが当たり前の時代です。また、個人でWebサイトを持っているという方も少なくないのではないでしょうか。
しかし、コンサルタントとして様々な方とお話をする中でサイバー攻撃を他人事と考えている方が比較的多いと感じています。
サイバー攻撃の目的は愉快犯から情報等を狙ったものまで様々なので大企業から中小企業まで会社の規模に関わらず被害が続出しています。  
このようなサイバー攻撃は会社の信用やイメージに影響を及ぼします。
そうならならないためにも今回はCMS市場で圧倒的シェアを占めるWordPressのセキュリティ対策についてご説明します。  

今回の流れ!
1.誤解されているWordPressのセキュリティ問題
2.最低限これだけはやっておいたほうがいいセキュリティ対策 
3.これもやっていれば尚安全!
4.事後対策も入念に!
5.最後に  

.誤解されているWordPressのセキュリティ事情

WordPressと聞くと「セキュリティ大丈夫?」と思われる方は結構いるのではないでしょうか。
実際コンサルタントをしていてそのような声を聞くことも珍しくはありません。
「Hacked Website Report」の調査によると、2016年にハッキングされたCMS8000サイトのうちwordpressが74%、Joomla!が17、Magentoが6%でした。
確かに絶対数だけを見れば圧倒的に攻撃を受けたされているウェブサイトのうちWordPressが多いことがこの調査から読み取れます。
ただし、これはWordPressがCMS市場にて約60%という驚異のシェアを誇っているため攻撃の標的にされやすいためであり、決してWordPressだからという理由ではありません。

その証拠に最近注目になったニュースとしてはアメリカのホワイトハウスのサイトhttps://www.whitehouse.gov/)が  DrupalからWordPressにシステム移行した事です。
また、国内でもオリエンタルランドやクックパッドのコーポレートサイト、メディアサイトだとVogueGirlやマイナビウーマンといったサイトに使用されています。
上記からもWordPressだから危険ということではないということがお分り頂けると思います。  

.最低限これだけはやっとかなければならないセキュリティ対策

とはいえWordPressはオープンソースであり、ソースコードは一般公開しているため  セキュリティ対策はしっかりと行わなければなりません。
そこで最低限行うべきセキュリティ対策をご紹介したいと思います。

■WordPressを常に最新バージョンに保つ。  

WordPressを開発しているのは特定の企業ではなく、「WordPressの開発プロジェクト」に参加している世界中のエンジニアです。それゆえ脆弱性が発見された際には世界中のエンジニアが協力して都度適切なセキュリティ対策を施したバージョンを配布してくれています。
それゆえ常にアップデートを施してバージョンを最新に保てば多くの攻撃を防ぐことができます。
これは最も基本であり、また最も重要なセキュリティ対策ですので、しっかりやって頂きたいです。

■wp-config.phpをアクセス不可にする。 

WordPressの「wp-config.php」というファイルは、WordPressを利用する上で最も重要な情報が含まれるファイルです。
それゆえこの外部からアクセスできないようにする必要があります。
具体的施策としてはwp-config.phpファイルを1つ上の非公開ディレクトリの階層に移動する必要があります。
また、移動させてからあなただけがこのファイルを閲覧できるようにパーミッションを400にすればより安全です。

■管理画面のセキュリティ対策をする

ハッキングの主流の手口としてインターネット上で公開されている辞書ツールを使って、考えられるありとあらゆるパターンのパスワードを順番に試すブルートフォースアタックというものがあります。これの対策としては強力なパスワードに設定することはもちろん数回間違えたらしばらくログインさせないようにする「Lockdown」というプラグインを使用すればよりセキュリティを強固にできます。
また、多重の鍵を使ってパスワードを強化したい場合は、プラグインの「Google Authenticator」を使うとワンタイム型の二段階認証が可能です。
他には管理画面に登録されたIPしかアクセスできないようにIP制限をかけるか、IP制限が難しいようであればBasic認証をかける等の対策を行えば更にセキュリティレベルを高めることができます。  

■公式ディレクトリ上のテーマやプラグインを使用する。

WordPressサイトの脆弱性を突かれるケースとしてサードパーティ製のテーマ・プラグインが原因になる場合がございます。
WordPressを常に最新バージョンに保っていたとしてもソースコードに問題があったり、配布者が作りっぱなしでアップデートを行わなければ、そのテーマ・プラグインに脆弱性が残ったままになり、そこから攻撃されるということも考えられます。
公式ディレクトリに掲載されているプラグインやテーマは厳密な審査基準をクリアした品質のものしか登録できません。
また公式ディレクトリに掲載されているテーマやプラグインに万が一脆弱性があったとしても、脆弱性窓口が用意されておりますので比較的早く修正されることが期待できます。
他のメリットとしては公式のものだとテーマやプラグインにアップデートがあれば管理画面に通知が表示されワンクリックでアップデートでき、アップデートをし忘れることを防ぐことができます。
※ただし公式ディレクトリに掲載されているテーマやプラグインでも最終更新が2年以上前であれば、今後も更新されない可能性が高いのでダウンロードを避けることをお薦めします。

.これもやっていれば尚安全

上記ではソースコードを書いたりする必要がない誰でも実施しやすいセキュリティ対策を紹介しましたが、主流の攻撃手法であるデータベースを不正に操作する「SQLインジェクション」、悪意のあるスクリプトを他人のサイトに埋め込む「XSS(クロスサイトスクリプティング)」、ユーザーが意図していないリクエストをサーバに送信させる「CSRF」等を防ぐとなるとソースコードレベルで対策を行わなければなりません。
もしくはWAF(アプリケーションファイアウォール)を導入してアプリケーションに対する特定のシグネチャを除外する等の対策を行う必要があります。
ただしこれらの対策を行うとなると費用やリソースを伴うことになりますので、コストメリットを踏まえた上で検討してみてください。

.事後対策も入念に!

上記の対策を行なって入ればある程度のセキュリティは担保されますが、残念ながらセキュリティ対策をどれだけ行なっていたとしてもシステムである以上脆弱性0%ということはまずあり得ません。
また、サイバー攻撃は日々多様化、巧妙化しており、セキュリティが追いついていないのが現状です。
ですので事前に攻撃を防ぐということも大切ではありますが、万が一攻撃を受けた場合のためにバックアップをこまめにとっておいたり、管理画面でのログをとるプラグインを入れておき、万が一管理画面に不正にログインされたとしても管理画面でどういう操作をされたのか把握できるようにしたりしておく等の事後の対策もした方がいいと思います。

■最後に

今回は誰でも行えるセキュリティ対策をメインに紹介しました。後半は少し知識が入りますが…。
口を酸っぱくして言いますが、セキュリティ対策を他人事と思ってはいけません。
セキュリティ対策は意識改革から始まります。
ちょっとしたセキュリティに対して意識や配慮をすることによりサイバー攻撃を受ける確率は格段に下がりますので是非実施してみてください。  

今回はいかがでしたでしょうか。
今後WordPressを用いて新規サイト構築やサイトリニューアルを考えられている方がいらっしゃいましたら、
是非、国内に大規模なデータセンターを構え、手厚いサービスをしてくれることで定評のある鈴与シンワートの「S-Port」クラウドを導入してみてください。
KUSANAGIを使用することでアプリケーションだけでなくサーバ側のセキュリティも強固になりますので是非こちらも併せて使ってみてはいかがでしょうか。

ご興味がある方は以下をご参照ください。
https://s-port.shinwart.com/service/kusanagi/