COLUMN 1UPコラム
WordPress(ワードプレス)のセキュリティ対策
このコラムは、ホームページをWordPress(ワードプレス)で作られている方へ向けたセキュリティ対策のご紹介です。
ワードプレスは、世界で最も認知度のあるホームページ管理システム。
そのため、システムの構造も広く知られており、ハッキングのターゲットになりやすいです。
また、誰でも簡単に更新できる反面、リスクもあり適切に対策やアップデートを行う必要があります。
今回は、セキュリティのリスク、対策方法までご説明いたします。
ホームページを作ってそのままにしている方など、是非ご参考にしてください。
- 目次
- セキュリティ対策の必要性
- 想定される被害
- セキュリティ対策の種類
- まとめ
セキュリティ対策の必要性
ハッキング件数は、ここ最近大幅に増えています。コロナ前と比べ3倍以上増加しているデータもあります。
ハッキングが増えているのは、身代金ビジネス(ランサムウエア)の分業化によるものだと考えられています。
今までは主にハッカーが1人でプログラムを組んで実行まで行っていました。今では分業が進み、プログラムを組む者、プログラムを流通させる者、実行する者など拡散する仕組みがあり被害が拡大。
その中で、ワードプレスもウイルス拡散の踏み台を目的としたハッキングが増え、セキュリティ対策をしっかり行わなければいけない状況になっています。
想定される被害
メールの不正利用 メールのアカウントを乗っ取られて、自分に成りすましてメールを配信されてしまいます。
メールにウイルスなどが混入されていた場合、社内外問わず多大な損害が予想されます。
社会的信用失墜にもなりかねない行為で、一番抑えたい被害だと考えます。
ドメインのブラックリスト化 ドメインを使って大量にメール配信をされると、判定機関によりブラックリストに入る場合があります。
その場合、送ったメールが迷惑メールフォルダーに振り分けられてしまうケースもあります。
ホームページの改ざん 削除や改ざんの場合、一から作り直し、またはデータクリーニングでうん十万はかかると思います。
セキュリティ対策の種類
対策方法は大きくわけて2つあります。サーバ側の対応とWP側の対処です。
サーバ側の対処
PHPバージョンアップ PHPとはサーバで動くプログラムの種類です。
バージョンアップする事により、プログラムの欠陥などを修復します。
バージョンアップは、サーバの管理画面などから行えます。
※ポイント
言語のバージョンは互換性をによりホームページの表示が崩れてしまう場合があります。
そのため、バージョンを元に戻せるか確認をお勧めします。
WAF(Web Application Firewall)の導入 不正アクセスからサーバを守る防壁としてWAFを導入します。
主に海外からの不正アクセスを感知しブロックします。
こちらも、サーバの管理画面から行えます。
※ポイント
ホームページにアクセスが出来なくなってしまう場合があります。
元に戻せるか確認をお勧めします。
PHPiniの変更 PHPiniとは、プログラムを適切に動かすための設定ファイルです。
PHPのプログラムを用いれば色々な事ができてしまうため、制御をかけてください。
こちらは、サーバの管理画面から行える場合とワードプレスの中にある設定ファイルを
書き換える場合になります。
ワードプレスの中にある設定ファイルを書き換える場合、プログラムの知識が必要になります。
業者の方に確認をしてください。
WPの対処
ワードプレスのアップデート セキュリティの脆弱性や新しい機能を追加するための行為です。
バージョンアップする事により、プログラムの欠陥などを修復します。
アップデートには、メジャーアップデートとマイナーアップデートがあり、
メジャーアップデートは、大きな改修や機能追加が行われるアップデートです。
マイナーアップデートは不具合や脆弱性対策に用いられるアップデートです。
アップデートは、管理画面にある更新から行う事が出来ます。
※ポイント
メジャーアップデートはホームページの表示が壊れてしまう可能性があります。
バックアップをとっておきましょう。
プラグインのバージョンアップ プラグインとは、ワードプレスの機能を拡充するオプションのようなものです。
プラグイン自体にもセキュリティの脆弱性や新しい機能追加があり同じように
管理が必要です。
アップデートは、管理画面にあるプラグインの更新から行う事が出来ます。
※ポイント
ワードプレスのアップデート同様、表示が壊れてしまう可能性があります。
バックアップをとっておきましょう。
ログインURLの変更 ワードプレスのログインURLを任意の英数字に変更します。
Wordpressは、同じディレクトリ名でログインURLになるため、慣れている
者であれば予測ができてしまいます。
ログインURLの変更は、プラグインを用いて変更をする事が出来ます。
「All In One WP Security」などを利用してください。
データベース名称の変更 データベースの名称もログインURLと同様に予測できてしまいます。
また、特定のファイルには、データベースのIDやパスワードも記載されている為
お客様の大切な情報が抜き取られてしまいます。
データベース名の変更も、先ほどの「All In One WP Security」を用いて変更が出来ます。
まとめ
誰でもハッカーになれる時代が到来しており。ハッキングは今後も増えると予想しています。 大切な資産を守るために、セキュリティ対策は万全にする事をお勧めいたします。