SPIRALマネージドクラウドの記事
ARTICLEWordPressの脆弱性とは?今すぐできるセキュリティ対策
WordPressの脆弱性とは、セキュリティ上の欠陥です。脆弱性を放置しておくと、自サイトに不正アクセスされる危険性があります。この記事では、WordPressの脆弱性が狙われる理由やセキュリティ対策について解説します。
目次
増加するWordPressを狙った攻撃
WordPressが外部から攻撃を受ける事例が増えています。サービス&セキュリティ株式会社の調査によると、2021年2月から5月にかけてWordPressを狙った攻撃回数が2倍以上に増えました。
WordPressのセキュリティプラグインを提供しているDefiant株式会社も攻撃通信が増加したことを公表しています。2021年の12月7日から9日にかけて、160万以上のWordPressサイトが攻撃されました。狙われたのはプラグインの脆弱性です。
WordPressが攻撃されることで、コンテンツの改ざんや乗っ取り、不正な情報取得などさまざまな悪影響が考えられます。
WordPressの脆弱性とは
冒頭でも触れた通り、WordPressの脆弱性とは、セキュリティ上の欠陥を表します。プログラムのエラーやバグが弱点となり、外部から攻撃を受けやすくなるのです。
プログラム開発者は、設計や実装の段階で不具合が起きないよう細心の注意を払っています。しかし、まったくバグがないプログラムを作成するのは不可能です。
あらゆるプログラムは何かしらのバグがあるもの。小さな弱点が脆弱性となり、悪質な攻撃の標的にされます。
WordPressの脆弱性が狙われる理由
WordPressの脆弱性が狙われる理由は主に以下の3つです。
- ユーザー数が多い
- プログラムの内容が公開されている
- 誰でもWebサイトを作れる
専門的な知識がなくてもWebサイトを開設できるのがWordPressの良いところです。一方で誰でも自由に扱える分、悪意のある攻撃を受けやすいことを忘れてはいけません。
上記3つが狙われる理由を詳しく見ていきましょう。
ユーザー数が多い
WordPressのユーザー数は非常に多いのが特徴です。WordPressサービスを提供するkinstaによると、市場シェア率は以下の通りでした。
- 全Webサイト:43%
- 全CMS:65%
WordPressのシェア率は全CMSのうち65%です。他のCMSは数%しかシェアされておらず、世界中でWordPressが最も多く使用されています。
CMSとはコンテンツマネジメントシステムの略称です。HTMLなど専門知識がなくても、Webコンテンツを作成できるシステムを指します。
ユーザー数が多いと、脆弱性が狙われた際に悪影響を受ける人数も増大します。例えば特定のプラグインが標的にされた場合、同じものを使用しているユーザーは全て攻撃対象です。
プログラムの内容が公開されている
WordPressのプログラム内容が公開されています。オープンソースと呼ばれており、プログラミングの知識があれば誰でも編集できるのが特徴です。
一方で、悪意のある攻撃対象になりやすいのがオープンソースのデメリット。コンテンツの改ざんなど、不正利用されやすくなります。
誰でもWebサイトを作れる
WordPressを使えばほとんどの人がWebサイトを開設できます。サイトを開設するだけなら、難しい知識は必要ありません。
勉強しなくてもWebサイトを運営できますが、セキュリティ対策は甘くなりがちです。特にWebサイト初心者は、セキュリティ対策の知識を持ち合わせていないケースが多くあります。
WordPressの脆弱性により想定されるリスク
このように、WordPressはユーザー数が非常に多いこと、オープンソースのソフトウェアであること、セキュリティに詳しくなくてもWebサイトが作れることから、攻撃者の標的となりやすい特徴があります。WordPressの脆弱性の対策を行わない場合に想定されるリスクを2つ紹介します。
個人情報の漏えい
WordPressの脆弱性を突き、サーバーやWebサイトに不正侵入されると、侵入されたコンピュータに保存していたデータの流出リスクが生じます。
法人の場合には、機密情報の他に、取引先情報、顧客情報、従業員情報など重要なデータを多く取り扱っているため、情報が流出した際の被害は甚大な規模となる傾向があります。事例として、2022年に国内の国立大学のサーバーに不正アクセスがあり、公開講座の申込者などの個人情報が流出した可能性が報告されています。
Webサイトの改ざん
WordPressの脆弱性を悪用し、攻撃者が管理画面に不正にアクセスして、Webサイトの情報を勝手に改ざんしたり、全ての情報を削除してしまうことがあります。
特に、オンラインショップや情報の提供を行うWebサイトでは、事業の中断にまで追い込まれるリスクもあります。2023年には、国内の学校法人がサイバー攻撃を受け、公式サイトのファイルが書き換えられたことで、外部サイトに勝手に誘導される被害が発生しています。この場合、意図せずフィッシング詐欺に加担してしまうことにもつながりかねないため、日頃から対策が必要です。
WordPressの脆弱性で危険なポイント
WordPressの脆弱性で危険なポイントは以下の3つです。少しでも欠陥があれば攻撃を受ける可能性が高まります。
- WordPress本体
- WordPressテーマ
- WordPressプラグイン
脆弱性はプログラムが存在する場所に生じるものです。
それぞれの開発者は設計や実装ミスがないよう注意を払っています。しかし、バグを完全になくすことはできません。
脆弱性は狙われやすいことを前提に、しっかりセキュリティ対策を施しておくのが大切です。続いて具体的なセキュリティ対策を解説します。
WordPressの脆弱性に対するセキュリティ対策
WordPressを安心して利用するためには、セキュリティ対策が欠かせません。今すぐ実行すべき対策は以下の7つです。
- WordPress・テーマ・プラグインを最新バージョンにする
- ログインパスワードを複雑に設定
- ニックネームを設定
- セキュリティ系のプラグインを導入
- 使わないプラグインを削除
- ログインページのURLを変更
- レンタルサーバーのセキュリティ機能を活用
WordPress・テーマ・プラグインを最新バージョンにする
WordPressの脆弱性で狙われやすい以下の3つを最新バージョンに更新しましょう。
- WordPress本体
- WordPressテーマ
- WordPressプラグイン
最新バージョンが公開されたら、できるだけ早くアップデートするのがポイントです。バージョンアップには脆弱性への対応が含まれています。
最新バージョンにアップデートしないのは弱点を放置している状態です。いつ攻撃を受けてもおかしくありません。
ただし、アップデートによりテーマやプラグインが使えなくなる可能性もあります。WordPress本体が最新バージョンでも、テーマやプラグインが古く互換性がないケースもあるからです。
WordPress本体より先にテーマとプラグインをアップデートしましょう。不具合が起きたときに備えるため、アップデート前には必ずバックアップを取るのが大切です。
更新が必要なプログラムは、WordPress管理画面で確認できます。画面左側メニューの「更新」に数字が記載されていれば、更新すべきプログラムがあるということ。脆弱性を放置しないよう、定期的にチェックしましょう。
ログインパスワードを複雑に設定
WordPressのログインパスワードを複雑に設定します。以下の要素を盛り込んだパスワードがおすすめです。
- 英数字、小文字、大文字、記号を混ぜる
- 簡単に思い浮かぶパスワードにしない
- できるだけ長くする
パスワードを複雑にするため、さまざまな文字を混ぜましょう。「12345」など規則性のあるパスワードは避け、想定されにくい並びにします。
手当たり次第に入力して不正ログインされないよう、できるだけ長いパスワードにするのも有効な対策です。
パスワードは以下の手順で自動生成されます。
- 画面左側メニューの「ユーザー」をクリック
- 「プロフィール」をクリック
- 「アカウント管理」の「新しいパスワードを設定」を選択
- プロフィールを更新
自動生成された文字列を変更すれば、自分で考えたパスワードを設定することも可能です。
ニックネームを設定
ニックネーム設定を忘れてはいけません。ユーザー名が筒抜けになってしまいます。
WordPressでは記事末尾の投稿者名などに、ニックネームが表示されます。しかし初期設定では、ログイン時に使われる「ユーザー名」が表示される仕組みです。
ユーザー名とは別にニックネームを設定しなければ、ログイン情報が筒抜けになるということ。機密情報を守るため、WordPressインストール後は以下の手順でニックネームを設定しましょう。
- 画面左側メニューの「ユーザー」をクリック
- 「プロフィール」をクリック
- ニックネームを設定
- 「ブログ上の表示名」をニックネームに変更
- プロフィールを更新
セキュリティ系のプラグインを導入
セキュリティ系のプラグインを導入するのもおすすめです。導入するだけで基本的なセキュリティ対策を行えます。
おすすめのプラグインは「SiteGuard WP Plugin」。ログインページのURL変更やログイン時の画像認証追加など、不正アクセスを徹底的にブロックしてくれます。
更新すべきプログラムがあればメールで通知されるため、アップデートを忘れることはありません。
使わないプラグインを削除
現在使っていないプラグインは削除しましょう。プラグインの数だけ攻撃を受ける確率が高まるからです。
使用していないプラグインは2通りあります。
- 有効化しているものの使用していない
- 無効化状態になっている
WordPressプラグインは便利なものばかりですが、セキュリティ対策上増やしすぎるのは良くありません。必要最低限のものだけ厳選して利用しましょう。
ログインページのURLを変更
WordPressのログインページを変更するのも効果的なセキュリティ対策です。初期のログインページは以下の通り法則があるので、ドメイン名がわかれば誰でもアクセスできます。
“https://ドメイン名//wp-login.php”
WordPress本体にはログインページのURLを変更する機能がありません。「SiteGuard WP Plugin」を導入すれば、自動で新しいログインページのURLを生成してくれます。
レンタルサーバーのセキュリティ機能を活用
レンタルサーバーのセキュリティ機能も活用しましょう。WordPress側のセキュリティ対策だけでは不十分なケースがあるからです。
具体的には以下の対策ができます。
| セキュリティ対策 | 内容 |
|---|---|
| ログイン回数制限 | 一定回数ログインに失敗するとロックがかかる |
| SSL化 | 通信を暗号化する |
| WAF・IPS | 攻撃検知、通信遮断 |
レンタルサーバーによって無料・有料が異なるものです。まずはレンタルサーバーにどのような機能が搭載されているか確認してみてください。
WordPressの脆弱性を狙う攻撃手法
WordPressの脆弱性を狙う主な攻撃手法を以下で5つ紹介します。
- SQLインジェクション
- コンテンツインジェクション
- クロスサイトスクリプティング
- DDoS攻撃
- ブルートフォースアタック
SQLインジェクション
SQLインジェクションとはデータベースに侵入されることです。データベースには重要な情報が詰まっています。個人情報を格納したデータベースに侵入された場合、流出は避けられません。
コンテンツインジェクション
コンテンツインジェクションとはコンテンツを改ざんされることです。以下のようなコンテンツの書き換えや不正挿入が該当します。
- 文章
- 画像
- リンク
知らないうちに自サイトから有害サイトへリンクを貼られているケースも。サイトに訪れたユーザーへ不利益を与える可能性があります。
クロスサイトスクリプティング
クロスサイトスクリプティングとは不正なプログラムを組み込まれることです。サイトに訪れたユーザーがリンクを踏み、悪意のあるサイトへ誘導されます。
誘導先のサイトでマルウェアに感染したり個人情報を盗み取られたりします。
DDoS攻撃
DDos攻撃は、攻撃者が狙いを定めたサーバーやWebサイトに対して、乗っ取った複数のコンピュータを利用して短時間で大量のアクセスを行う、あるいは膨大なデータを送りつける攻撃です。
攻撃を受けたサーバーやWebサイトには非常に大きな負荷がかかるため、その結果、サイトの表示が急激に重くなり、最悪の場合にはサーバーがダウンしサービスの提供が行えなくなります。
1台のコンピュータを用いたDos攻撃であれば、検出したIPアドレスを遮断することで対応可能ですが、DDos攻撃の場合、複数のコンピュータが利用されるため、攻撃者のIPアドレスを特定するのが難しく、DDoS攻撃対策ツールを活用して、被害が拡大する前に対処する必要があります。
ブルートフォースアタック
ブルートフォースアタックは、パスワードを不正に取得するために用いられる攻撃で、「総当たり攻撃」とも呼ばれます。
近年、コンピュータの性能進化が著しく、アルファベットのみの4桁のパスワードであれば、全ての組み合わせの総当たりによりほんの数秒で、パスワードが解読されてしまいます。攻撃者によってパスワードが取得された場合には、Webサイトの改ざんやSNSアカウントの乗っ取りなどのリスクがあります。
対策としてアルファベットの大文字・小文字、数字、記号など利用できる文字を複雑に組み合わせて、最低でも10桁以上のパスワードを設定しましょう。これにより、解読の時間が大幅に長時間化するため、パスワードの流出リスクを低減することが可能です。
WordPressの脆弱性を調べる方法
WordPressの脆弱性は無料・有料サービスを使って調査可能です。
無料サービスは、対象のURLを入力するだけで脆弱性を診断できるものが多くあります。一方で有料サービスは、Webサイトに関するセキュリティのプロが診断してくれるのが特徴です。
運営サイトの規模やセキュリティ対策の知識に合わせて、無料・有料を選びましょう。サイト規模が大きかったりセキュリティ対策に自信がなかったりする場合は有料サービスがおすすめです。
手放しで安心安全にサイト運用・管理するなら、SPIRALマネージドクラウド
当社のご提供する 「SPIRALマネージドクラウド」は、最高水準のセキュリティを誇るCMSホスティングサービスと、セキュリティのプロフェッショナルによる脆弱性診断・アップデート対応などの保守運用サービスの両方を提供し、手放し運用を実現するフルマネージドサービスです。
Webサイトの運用に必要な対策をオールインワンでご提供。サーバーの各種設定や、パッチインストール作業、不正アクセス調査など、脆弱性対応から万が一のトラブル解決まで、豊富な経験を持つ専任のエンジニアが運用業務を全て代行します。
ローコード開発プラットフォーム スパイラル®と連携するプラグインを用意。官公庁、金融機関も採用する信頼のデータベースで、機密性の高い情報も安心して管理いただけます。個人情報などデータの登録、変更フォームはスパイラル®でセキュアに簡単導入可能。ログイン認証関連の機能も標準装備しており、サイト構築の工期を大幅に短縮できます。
セキュリティ設定チェックシートの用意や安全なWordPressプラグインの管理表など、豊富な運用実績によるノウハウでハイレベルなセキュリティ要求にも対応します。
また、メガバンクを始め100以上の金融機関に導入されている個人情報運用に最適なセキュリティを備えています。総務省のセキュリティ対策にも準拠。また、第三者機関のセキュリティ診断でも高いセキュリティを評価されています。様々な業界・用途・シーンで延べ11,000以上のご利用実績がございます。
サービスの詳細については「SPIRALマネージドクラウド」のページをご覧いただくか、サービス導入をご検討中の方はこちらからぜひお問い合わせください。
まとめ
脆弱性とはプログラム上の欠陥を表します。プログラムで構成されているWordPress本体やテーマ、プラグインは何かしらの欠陥が生まれやすいもの。バグがないプログラムを作成するのは不可能です。
Webサイトを攻撃から守るため、必ずセキュリティ対策を施しましょう。テーマなどを最新状態に更新したりログインパスワードを複雑に設定したりと、すぐに実行できる対策があります。
WordPressを狙った攻撃は増加傾向です。運営サイトが危険な状態に晒されていないか、定期的に脆弱性をチェックしてください。
脆弱性が見つかったらすぐにセキュリティ対策を実行し、安全にサイトを運営しましょう。
