WordPressのセキュリティー対策のススメ

セキュリティ対策のタイトル画像


WordPressのセキュリティー対策

WordPressはオープンソースでシェアも高いため、セキュリティホールを狙われやすい。面倒だと思っていてもいざのためにセキュリティ対策は急務。いざという時のために最低限のことはぜひやっておこう。

はじめに

※6月30日に書いたものを、改ざん事件発生を受けてアップデートしました。

「WordPressのテーマやプラグインの脆弱性をつかれて、Webサイトを改ざんされる事例が発生しています」

6月末、こんなメールを私が使っているロリポップ様からいただきました。

私が使っているロリポップの対策では以下をあげていました。

ロリポップ!セキュリティの対策

さらりと確認したのですが、ファイルのパーミッションが違ったりとダメダメでした。地味にやってたんですが、まただまだ甘かったようです。

そもそもこんなことが起きてるそうです。

roripoppu00

<ロリポップより>
CMSなどのプログラムに脆弱性がある場合、悪意を持った攻撃者はそのプログラムに攻撃を仕掛けます。
攻撃者はそのCMSを利用し、クラッキングツールを設置します。
クラッキングツールとは、同じサーバー内にあるファイルの「パーミッションの変更」や「改ざんコードの埋め込み」「ファイルの設置」などの改ざんに用いられているものです。
クラッキングツールによってファイルが改ざんされ、スパムメールを大量に送信させられてしまう問題や悪意のあるページへ自動的に遷移させられてしまう問題が発生する場合があります。

怖いですねー。

「へー、そら怖いなー」と、6月ぐらいはのんきで他人事だった。

 しかし、この注意が現実に変わったのです。

8月29日午前2時、ロリポップ顧客に改ざん被害

 ロリポップから衝撃的なニュースが飛び込んできまました。

[2013/08/29 02:20 掲載]
平素はロリポップ!をご利用いただき誠にありがとうございます。
現在、第三者からの大規模攻撃により、ロリポップ!においてWordPressをご利用中のお客様のサイトが改ざんされる被害が発生しております。。

 その後の調査で顧客の4802件が不正アクセスの被害があったと発表されました。(追記さらなる調査で8438件に変更)

 Twitterでは、実際の被害の内容が報告された方もいましたが

全体が文字化けになる。
タイトルが「Hacked by Krad Xin」になる

 と、かなりヤバい状況になっています。

 私は辛くも無事だったのですが、ヒヤヒヤものでした。 6月末にメールから注意を見て、下記のセキュリティ対策をしたからと確実に言えませんが、役に立ったかもしれない。

 ロリポップによる今回の件に関する調査は下記で随時行われいる。

当社サービス「ロリポップ!レンタルサーバー」ユーザーサイトへの第三者による大規模攻撃について

 いやはやドタバタぶりが伝わってくるだけに恐怖です。 

 そこで、

 以前ご紹介した最低限のセキュリティ対策と、対応するプラグインを再度ご紹介します。

WPを常に最新のバージョンアップ版を使用

古いバージョンだと既に判明したセキュリティホールから攻撃される可能性がありますので、最新のバージョンにアップデートするように心がける。

バージョン情報を非表示にする

WordPressはアップデートは頻繁ですので、忘れることも多々あります。デフォルトのヘッドソースに表示されるバージョン情報は念のため削除しておいた方がよさげです。

おすすめプラグイン
さくっとセキュリティ強化/WPプラグイン「Secure WordPress」

適切なディレクトリ、ファイルのパーミッションを設定する

パーミッションの設定を「777」や「666 」などに設定されている場合、「誰でも書き込める」設定で改ざんが行われやすい状態ですので変える必要があります。

ロリポップ推奨設定です。

HTML・画像ファイル 604
CGIの実行ファイル 700
CGIのデータファイル 600
.htaccessファイル 604
ディレクトリ 705
wp-config.php 400

ログインへのブルートフォースアタック(総当たり攻撃)対策

パスワードやユーザーIDを盗めとられたらお手上げです。そのためには最低限やっておく必要があります。例えばサーバーの簡単インストールでありがちがなユーザIDを「Admin」にしていたら、ドアを開けて泥棒ウエルカム状態なので、変えるなど対策が必要です。

パスワードの強化する

パスワード強化は最重要です。下記のポイントなどを考慮してパスワードを設定してください。

【こんなパスワードは危険です】

  • IDとパスワードが同一の場合
  • パスワードが6文字以下など短い場合
  • 推測されやすい単語を使用している場合  (passwordやadminなど)
  • パスワードが数字または英字のみの場合

ログインID「Admin」を変える

デフォルトで「Admin」にしてる方は、ブルートフォースアタック(総当たり攻撃)に対して、半分答えを教えているようなものですので、もちろん変える必要があります。

おすすめプラグイン
ユーザーID「Admin」は変更必須/WPプラグイン「Admin username changer」

ログイン失敗したら一定時間ロックさせる

ログイン時に何回以上間違ったらログインできなくするなど設定でき、ブルートフォースアタック(総当たり攻撃)への時間をかせぐことができる。

おすすめプラグイン
ログインのセキュリティ強化に/WPプラグイン「Simple Login Lockdown」

ログインエラーを表示させない

ログイン失敗の時に、エラー表示をさせないなど豊富な設定ができます。

おすすめプラグイン
さくっとセキュリティ強化/WPプラグイン「Secure WordPress」

テーマやプラグインのセキュリティ対策を行う

ログインアタックだけでなく、WordPressのテーマやプラグインの脆弱性をつかれて、Webサイトを改ざんされる事例も発生しているようです。

【テーマ、プラグインへの対策ポイント】

  • 公式ディレクトリ以外で配布されているテーマやプラグインは危険である可能性あり
  • 使用していないテーマは削除
  • 提供元から長い間更新されていないプラグインは脆弱性の危険が高まっている恐れがあります
  • 使用しないプラグインは「無効」ではなく「削除」

テーマのウイルススキャンを実行する

導入時や一定サイクルでチェックする。公式であっても疑う必要があるようです。

おすすめプラグイン

テーマのセキュリティ対策に/WPプラグイン「AntiVirus」

プラグインの場所を容易に悟られない

・index.phpをプラグインディレクトリに仮想的に追加し狙わせないようにする。

おすすめプラグイン
さくっとセキュリティ強化/WPプラグイン「Secure WordPress」

exec-PHPプラグインを使わない

「Exec-PHP」など便利なプラグインがあるのですが、セキュリティ上問題があるようです。使わない方が良さそうです。

定期的にバックアップを実施する

いざという時のために、面倒でも導入しておきましょう。

おすすめプラグイン
無料でも多機能バックアップ/WPプラグイン「BackWPup」

管理画面をSSLに

レンタルサーバーによって契約されている方は、管理画面などをSSL化するとセキュリティが強化されます。

スパム対策を行う

改ざんとスパムはちと違いますが、日々進化してるこのジャンルもなにがあるか分かりません。セキュリティ上、大量コメントスパムなどはカットした方がいいです。

おすすめプラグイン
APIキー取得でコメントスパム対策/WPプラグイン「Akismet」」–インストールすると標準のごとくあるプラグインで非常に有名です。私の場合はこれで問題なし。

おすすめプラグイン
スパム防止強化!拡張プラグ/wordpressプラグイン「Really Simple CAPTCHA」

おすすめプラグイン
単に入れるだけ!スパム対策を強化/WP プラグイン「Spam Free WordPress」

改ざんされた場合は?

こんなことにならないために、セキュリティを強化しようという話ですが、万が一事件が勃発したら冷静に一つ一つ解決しないとならないようです。下記が私の契約しているロリポップの注意事項です、ウイルス対策のPRはともかく、参考にはなります。

【ロリポップの推奨のチェックポイント】

  • ウイルスソフト・セキュリティソフトでチェックする
  • CMSおよびプラグインを最新のバージョンへ更新する
  • すべてのディレクトリのパーミッションを「705」にする
  • 改ざんされた不正なファイルを削除・修正する
  • .htaccessファイルを修正する

 WEBサイトが改ざんされてしまったら?

まとめ

6月30日、基本、夏休みの宿題も最後にする面倒な性格なのですが、今回は警告メールに焦り、やってみました。プラグインを使えばいろいろと解決できるのもあり、多少なりとも強化された気がします。
まだまだ足りないとは思いますが、セキュリティ対策は保険と一緒で念のためやって置いて損はないと思います。

追記

8月30日、前述にも書きましたが、実際に改ざん被害が起きてしまったようです。保険と同じで、実際に起こってみないと、セキュリティ対策の大切さは分からなかった。狙われたら確実にアウトだとは思いますが、一応最低限のことはぜひやっておきたいと強く思った。

参考

WordPressのセキュリティー対策まとめ

WordPressをセキュアに保つための10の方法

WordPressのセキュリティを徹底強化

LINEで送る
Pocket

タグ:

WordPressこれで学びました

  • WordPressの参考書は、制作ものが多いけど、この本はSEOに特化した割り切りが良い。初めてWordPress導入し、SEO対策をどうしようと悩んでいた時に購入しました。
     WordPressは基本的にはSEOに優れたCMSでありますが、能力を最大化するには、パーマリンク等のSEOに適した設定やSE対策のプラグインなどでパワーアップさせる必要があります。読んだ時は、目から鱗が落ちる内容で、当初はそのまま実践してました。
     また、WordPressだけでなく、基本的なSEO対策の本として、キーワードやタイトル設定なども勉強になりました。

WordPressのセキュリティー対策のススメ」 に2件のコメント

  1. ojisutemaru より:

    目から鱗が落ちるような記述で、よくこれだけの内容をまとめられましたね。早速できることから実施して行きたいと
    思っています。本にされてもいいような内容ですね。ありがとうございました。

コメントを残す