文中の説明画像をクリックすると拡大します。
WordPressの脆弱性(ぜいじゃくせい)って何?
脆弱性(ぜいじゃくせい)とは、コンピューターの世界で言うと、プログラムの不具合や設計上のミスなどが原因となって、セキュリティが脆くなっていることです。
そして、WordPressにも脆弱性はあります
WordPressは、世界で6000万人以上に利用されていると言われており、オープンソースのソフトウェア(ソースコードを一般に広く公開して、誰もが自由に扱ってよいとする考え方に基づいて公開されたソフトウェア)なので、誰でも利用できるものです。
多くの人が利用しているということは、それだけハッキングの対象になりやすいのです。
WordPressを導入している人の中には、セキュリティをデフォルトのまま(最初の状態から特に何も措置しないまま)にしている人もいるでしょう。それがどういう事かというと、鍵の形が全世界に公開されているにも関わらず、そのままにしているのと同じ状態です。
そこに、WordPressの脆弱性を狙ってハッキングする輩が現われるのです。
もちろん、WordPressも、アップデートなどでセキュリティをより強化しています(より複雑な形の鍵にしている)。しかし、さらに各自が様々なセキュリティ設定(新しい鍵穴を作る)をして強化することが望まれます。
どんな脆弱性があるの?
ハッカーは、プログラムの脆弱性ついて様々な方法でハッキングします。
具体的には、以下の通りです。
- パスワードを強引に解析する方法の一つである「ブルートフォースアタック」
- データベースに有害なコードを挿入する「SQLインジェクション」
- 新しい脆弱性が発見されたら、それを修正される前につく「ゼロディ攻撃」
実際に被害にあうと、以下のような症状が起こります。
- サイトの乗っ取りや改ざん
- 不正ファイルのダウンロードを促す
- Webサイトのアクセス数や検索順位の低下
現実で、もし鍵を作られて家(Webサイト)に侵入されると、様々な金品(サイトの情報)を盗まれたり家を荒らされる(サイトの改ざん)ことになります。
これは、WordPressサイトを運営している人にとっては手痛いことでしょう。せっかく作ったコンテンツも改ざんされて無意味なものにされたり、IDやパスワードを変更されてログインできなくなることもあります。
そして、WordPressがハッキングされるときにも、きちんとした侵入経路があります。
主に侵入する媒体として利用されるものは、以下の3つです。
- WordPress本体
- プラグイン
- データベース
特に、プラグインは個人や企業がフリーで作成しているものも多く、脆弱性が高い可能性があります。そして、次に脆弱性が高いのがWordPress本体です。その理由として、WordPressをインストールしてから、アップデートをしていない人が多いことが挙げられます。
脆弱性対策は?
上記のことから、WordPressのセキュリティ対策はご自身でも備えていた方が万全です。何が起こるかわからないインターネットの世界では、自分の身を守るためにセキュリティを強化しましょう。
比較的簡単にセキュリティ対策ができる方法を、いくつかご紹介しますので参考にしてください。
ファイルのバックアップを取る
少しの操作で、何日もかけて作ったデータがなくなることもあるため、データのバックアップは、インターネットの世界ではとても重要です。
そのため、WordPressサイトの「レイアウトを変更する」「新しい機能を追加する」ときには、バックアップを取ることで安心して作業ができます。
WordPressでのバックアップの取り方は、以下の記事を参考にしてください。
WordPress本体やプラグインをアップデートする
WordPressの公式やプラグインの作成者は、脆弱性や不具合に対応するため、日々アップデートを繰り返しています。WordPressサイトを運営している側としても、それらのアップデートに対応する措置が必要です。
WordPress本体やプラグインのアップデートは、とても簡単にできますので、定期的に行いましょう。以下で操作手順を説明します。
WordPressの管理画面にログインすると、アップデートを必要としているものが表示されます。
指示に従ってアップデートできるものは、日頃からアップデートしておきましょう。
WordPress管理画面のログイン方法を複雑にする
WordPress管理画面のログイン方法を複雑にすることで、セキュリティを高める方法です。
WordPress管理画面にログインすることは、いわば家の鍵を開けて家に入ることになります。そのため、ログイン画面の「ユーザー名」や「パスワード」以外の認証項目を増やすのは、玄関の鍵穴を増やすことと同じです。
もともと家についている鍵だけでは心配な方は、その他にも数種類の鍵穴を作ってセキュリティを強化しましょう。
WordPressのログイン画面は、デフォルトではユーザー名(メールアドレス)とパスワードを入力する項目だけです。
その他に増やせる項目もあるので、ご紹介します。
二段階認証にする
スマートフォンと連動した二段階認証を設定することが可能です。
方法は、WordPressにプラグイン「Google Authenticator」をインストールし、スマートフォンにGoogleの認証アプリを入れましょう。
- 「Google Authenticator」は、管理画面「プラグイン」→「新規追加」で検索して、インストールできます。「Google Authenticator」をインストールし有効化。
- スマートフォンに、認証アプリをインストールしましょう。
iOSでは「Google Authenticator」Androidでは「Google認証システム」という名前です。 - WordPressの「ユーザー」→「あなたのプロフィール」に入る
- 中段に「Google Authenticator Settings」があるので「Show / Hide QR code」をクリックしてQRコードを表示する
- スマートフォンの認証アプリから、QRコードを読み取る
- 「Active」にチェックを入れて画面下の「プロフィールを更新」をクリック
これで二段階認証の設定は完了です。
画面に表示された文字列を入力必須にする
プラグイン「SiteGuard WP Plugin」で、画面にランダムで表示された文字を入力して通過する項目を追加することが可能です。入力しないと先に進めなくなります。
SiteGuard WP Pluginの導入方法は、以下の記事を参考にしてください。
管理画面のURLを変更する
WordPressサイトのトップページのURLに「/admin」を入力するとWordPress管理画面へ入るためのログイン画面になります。つまり、ログイン画面にたどり着けてしまいます(パスワードを知らなければ、ログインはできませんが)。
ログイン画面のURLを変更することで、ハッキングする入り口をわからなくすることが可能です。例えると、もともと一階に設置して家の玄関を、二階に設置することで泥棒に入り口をわからなくするという感じです。
こちらでもプラグイン「WPS Hide Login」を導入することで対策できます。
- 「WPS Hide Login」は、管理画面「プラグイン」→「新規追加」で検索して、インストールできます「WPS Hide Login」をインストールし有効化。
- 「設定」→「一般」の一番下に設定項目がある
- デフォルトでは「login」になっているので任意の文字列に変更(変更しなくても良い)
- 「変更を保存」をクリックして完了
WordPressサイトをSSL化する
SSL化は、SSL通信によって情報の安全性を高める方法です。
SSL通信とは、データを暗号化して通信する仕組みです。たとえ通信内容を傍受されても、暗号化されているのハッカーは文字列を解読できません。
これにより、ユーザー名やパスワードなどのアカウント情報を保護することが可能です。
SSL化しているサイトは、URLが「https://~」から始まります。SSL化されていないサイトは「http://~」です。要は「s」が付いているかいないかの違いです。
レンタルサーバーなどで無料・有料のSSL証明書を発行すると、WordPressでSSL化をすることができます。
コメント機能を利用しない
WordPressでは、デフォルトでコメント機能が設定されています。特に利用することがなければ、悪意のあるコメントが投稿される恐れがあるので、コメント機能を無効にしておきましょう。
コメント機能の無効化は、管理画面の「設定」→「ディスカッション」から設定することが可能です。
- 「新しい投稿へのコメントを許可する」のチェックを外す
- .画面下の「変更を保存」をクリックして完了
まとめ
- WordPressの脆弱性は、日々発見され、対策される。
- 脆弱性の対策には、セキュリティ強化。
- ログイン画面を複雑にするだけでも効果あり。
