本記事は、はらさん(@haraponta1496)がLINEで配布されている「WordPressセキュリティーセミナー動画」の忘却録です。
WordPressがセキュリティに弱いって本当?
実は弱いです。簡単にログインが突破されます。理由は、
- 多くのユーザーが使用しているメジャーなCMSである
- 使いやすいCMSなので初心者ユーザーが多い
- 無償で使えるオープンソース※な為、セキュリティホールが発見されやすい=脆弱性がはっきりと見えてします
※中身がどうなっているか公開されているためセキュリティが弱い部分も分かりやすい
では使わない方がいいか?というとそうではありません。
必要なセキュリティ対策を行えば、便利で比較的安全に利用できます!
セキュリティ突破された場合の事例
- 詐欺サイトに自動で転送される(事業サイトへアクセスすると全く違うサイトに転送されてしまう)
- WordPressを狙った大量メール送信プラグラムを埋め込みされる(スパム化されてしまう)
セキュリティ対策を施す前は、WordPressのログインパスワードも簡単なものを使用していました。
対処としては、ウイルス対策スキャンを行なって(プラグイン使用)、汚染されたファイルのコードを削除→転送されなくなり無事復旧しました。
最低限の対策
- WordPressのインストールフォルダを変更する。フォルダを設ける。(example.com/wp/←ここにフォルダをはさむ)
- ID、PW(特にパスワード)を複雑なものにする(例:demo、adminは絶対NG)
- GoogleのreCAPCHA認証プラグインを導入する(例:ログイン画面で車を選んでくださいなどの表示)
- SiteGuardの導入(特にログインURLを変更しておくとセキュリティレベルアップ!)
- 定期的(1ヶ月に1度くらい)にサイト内のウイルススキャンを実施
- 可能な限りWordPress、プラグインをバージョンアップする(バージョンアップは機能向上だけでなく脆弱性の改善も行う為)
3のreCHAPCHA導入については、以下サイトが参考になります。
【2024年最新】Invisible reCaptcha for WordPressの使い方・導入方法
Invisible reCaptchaは、WordPressに認証機能を導入できるプラグインです。各種フォームへのBOTによるスパムは、reCaptchaによる認証を導入することで、全てシャットアウトすることができます。スパム対策に有効なI...
blog-bootcamp.com
4のSiteGuardの導入については、以下サイトが参考になります。
SiteGuard WP Pluginでサイトを守る!設定と注意事項 - カゴヤのサーバー研究室
「SiteGuard WP Plugin」はWordPressの管理画面・ログイン画面を保護するための無料プラグインです。この記事ではSiteGuard
www.kagoya.jp
5のウイルススキャンは、以下の無料のプラグインがおすすめ。
問題があれば、汚染された部分のコードをハイライトで教えてくれます。(詐欺サイトに転送された事例のサイトでは、このウイルススキャンがガッツリ反応してくれました)
【無料】ワードプレス:マルウェアスキャン&セキュリティープラグイン [マルウェア・ウィルス検出と駆除] – WPドクターblog
【無料】ワードプレス:マルウェアスキャン&セキュリティープラグイン 24時間あなたのサイトを守り続ける Wordpressサイトの改ざん、乗っ取り、ハッキング、マルウェア、バックドア、ウィルス感染をチェック(検出・確認)し駆除、ワードプレス...
wp-doctor.jp
ハッサク
いろんな攻撃に対処できるため、いろんなセキュリティ対策を複合的に実施する事が大事です!
(補足)WordPressの自動更新について
WordPressの自動更新は自分は「on」、お客様は「off」にしています。(保守がない場合はoffにし、お客様に更新してもらっています)
自分のサイトはonにしておいて、自分のサイトで動作の検証をした方で、お客様のサイトを更新したほうが安心かも。
(補足2)バックアップはどこに保存しているか
納品時に、お客様のサーバー上にバックアップデータを残しておきます。(知人の場合は自分のローカルに残しておく)
Xserverは直近1週間自動でバックアップしてくれるので、直近のものはそこを確認しています。
