多くのサイトで利用されているWordPressのセキュリティ対策について、不安に思っている人も多いのではないでしょうか。
また、WordPressは無料サービスであるため、Web制作会社に管理を依頼していない場合は、責任を持って管理してくれるところがありません。
不正アクセスや脆弱性などがあったとしても困るのは、お客様だけでなくホームページに訪れる多くの人に被害が及ぶかもしれません。
そのため、サイト管理者でしっかりとセキュリティ対策を実施することが重要になります。
WordPressは、なぜ攻撃されやすいのでしょうか。ここでは、セキュリティに危険が及ぶ理由について説明します。
1.世界シェアNo.1のCMSのためターゲットになりやすい
WordPressは世界シェアNo.1のCMSであり、多くのWebサイトがWordPressを導入しています
WordPressは利用者のコミュニティが存在し、マニュアルを解説したサイトも多く日本語の書籍も豊富に揃っています。
さらに利用者が多いため、機能拡張可能な無料のプラグインやサイトデザインテンプレートも豊富にあり、自分のニーズにあったオリジナルサイトが簡単にできあがります。
ITリテラシーが高くないユーザーはセキュリティへの意識も低く攻撃者にとっては格好のターゲットといえます。
2.オープンソースのため脆弱性を見つけやすい
オープンソースはCMSに限らず、世の中に無料で配布されているものです。
世界中の開発者たちが応用できるようにコードが開示されているため、第三者によって脆弱性が発見されやすいです。
一般に公開されるため、脆弱性を見つけやすいという面があり、脆弱性が見つかれば攻撃は容易にできてしまいます。
脆弱性とは、簡単に言うとWordPressのシステムに何らかの欠陥や不具合があることです。
悪意のある第三者はその脆弱性を突いて、データ改ざんやウイルス感染を狙っています。
データベースのテーブル名の頭につく接頭辞を変更しましょう。
手動でデータベースのテーブル名に任意の接頭辞を付けることができます。
独自のテーブル名をつけることでデータベースを書き換えられる可能性が低くなります。
wp-config.phpファイルはWordPressの重要な設定ファイルであり、IDやパスワードも記載されています。
対策としては、wp-config.phpファイルのパーミッション(権限)を標準の「644」から「400」に変更して所有者以外のアクセスを禁止することができます。
3.外部からアクセス可能な管理画面
WordPressでは管理画面にアクセスする場合に、URLがデフォルトでは固定化されています。
WordPressの知識がある人からすると簡単にログインページへアクセスできてしまいます。
WordPressに限ったことではありませんが、ウェブサイトを運営するうえでSSL化の対応は必須です!
SSLとは「Secure Sockets Layer」のことで、インターネット上の通信を暗号化する仕組みのことです。
サイトを常時SSL化することで端末とサーバー間の盗聴や改ざんを防ぐことができログイン情報などを守ることが可能になります。
変更方法はプラグイン導入またはカスタマイズが可能です。
すべて無料で導入できますが、設定するとデフォルトのURLへアクセスできなくなりますので、忘れないようにブックマークしましょう。
この対策をしないと被害に合う可能性が上がり、最悪の場合、個人情報の流出や損害賠償なども起こるかもしれません。
もちろん、IDとパスワードが分からなければログインできませんが、ログインの入り口となる管理画面へ簡単にアクセスできる点はWordPressが狙われやすい理由の一つとなります。
対策として複雑なユーザー名とパスワードに変更し、ログイン画面にベーシック認証を設定しましょう。
ベーシック認証は簡単な認証方式で、WordPressのログインを二重にすることでセキュリティ強度が高くなります。
