対策していますか?WordPressセキュリティ対応の必要性とは


WordPressはオープンソースのCMSとして絶大なシェアを持っています。WordPressはカスタマイズできる幅が広いために、個人はもちろん企業もこぞって利用しています。

それだけWordPressはとても便利ですが、WordPress自体のセキュリティについてしっかり対策がなされていないことも多いようです。WordPressをCMSとして導入している大手企業でも、WordPress自体のセキュリティについては意外に忘れ去られていることが多いようです。

対策が忘れられているものの多くの場合、WordPress導入後コンテンツは更新しているが、WordPressの更新は忘れられ、脆弱性の残る古いバージョンで運用されているという状況となっています。

今回は、WordPressのセキュリティ対策を行っていないとどのような問題が発生するのか、WordPressのセキュリティ対策にはどのような対応があるのか考えてみます。

WordPressのセキュリティ対策を行わないとどうなる?

WordPressのを利用しているサイトで、リスクが一番大きいのは、サイトを乗っ取られることです。
WordPressを乗っ取られると、サイトを自由に更新され、サイトの情報の書き換えが行われます。その結果、あなたのサイトからマルウェア配布されるようになったり、流行のランサムウェアのダウンロードに飛ばされて、サイト訪問者が被害を被るといったことが考えられます。

もちろん、データベースに含まれるデータの情報漏洩のリスクや、サーバ自体が乗っ取られて不正アクセスの踏み台にされたり、SPAMメールの送信元にされてしまうリスクがあります。

WordPressのセキュリティ対策とは

では、WordPressのセキュリティ対策はどのような対応が考えられるのでしょうか。

パスワード対策は基本中の基本

WordPressのセキュリティ対策で一番重要かつ一番簡単な対応は、パスワードの管理です。一番怖いのは管理者のパスワードが流出してしまうことです。
世の中にはWPscanなどのWordPress専用のパスワードハッキングツールが出回っていますので、サイトの乗っ取りを防ぐにはまずはパスワードの質を高めることが重要です。

・パスワードの使い回しをしない
・辞書に含まれる単語を使ったパスワードを設定しない(ランダムで数字や企業が含まれる物が良い)
・文字数は最低でも8文字
・管理者毎にパスワードを設定する(管理者の共有は危険)

更にセキュリティレベルを高めるのであれば、GoogleAuthenticatorプラグインを導入して2段階認証を行うことや、LimitLoginAttmptsなどでログイン試行回数を制限するなどの対応を行う事も可能です。

プラグインに潜んだ脆弱性

WordPressのメリットとして、豊富なプラグインを利用することが可能で、大変便利な物です。しかし、このプラグインの脆弱性を突かれることも多いのが現状です。

最近では「WP Mobile Detector」の脆弱性を利用した攻撃が横行していたことが発覚し、人気の「All in One SEO Pack」にXSS(クロスサイトスクリプティング)の脆弱性が発覚したことも記憶に新しいところです。

これらの脆弱性に対応するために、プラグインの更新は必ず行う、利用していない不明なプラグインは削除するなどの対応が必要です。

もちろんWordPress本体のセキュリティ対策も重要

WordPressは、利用者の多いオープンソースのCMSですので、その分脆弱性を解析され狙われやすいともいえます。

WordPress自体は脆弱性が発覚する毎に対策を行っていますので、WordPressを利用する限りは常に新しいバージョンのWordPressに更新し続けることが必要です。

セキュリティ対策をSaaSで楽にする方法

このように、WordPressを利用したサイトの管理には、常にセキュリティに対する心がけを行う事が必要です。しかし、SaaSでWordPressを提供しているサービスを利用すればそんな悩みも少し楽にできます。

SaaSの標準サービスとしてWordPress本体と標準のプラグインのアップデートや、WAF(Web Application Firewall)の提供が行われる場合があるので、セキュリティアップデートへの追随に自信が無い方には、このようなサービスを利用することをおすすめします。

WPによるサイト構築後も安心せずにセキュリティ対策を忘れずに

いかがでしたでしょうか。WordPressのセキュリティ対策といっても特に特殊なことは必要ありません。以下の対策をきっちり行うことがサイト管理者に求められています。

・パスワード管理をしっかり行う
・怪しいプラグインやテーマは使用しない
・アップデートによるセキュリティ対策はこまめに行う


関連記事一覧

コメント

  • コメント (0)

  • トラックバックは利用できません。

  1. この記事へのコメントはありません。

we love develop
アプリやシステムの開発を通じて、お客様のビジネスを成長させることが私たちのビジネスです。お気軽にお問い合わせください。
 お問い合せ

お電話でのお問い合わせはこちらから
TEL:03-5297-2871

メールマガジンの登録

キャパでは誰かに話したくなるようなIT小ネタを、週に一回メルマガで配信しています。
ぜひ購読してみませんか?
 購読する

ホワイトペーパーの入手

ITブログ月間20万PV達成!自社オウンドメディアの運用ノウハウを無料公開しています。
 ダウンロード

記事カテゴリ記事カテゴリ

月別投稿記事

PAGE TOP