レンタルサーバーやSSL関係のお役立ちコラム

さくらのホームページ教室

セキュリティリスクが9割以上減るWordPressセキュリティの基本の基

WordPressへの不正アクセスが急増中 

現在、不正アクセスによるWordPressのウェブ改ざんが急増中です 

「Webサイトに突然ログインできなくなった」 

「突然レンタルサーバー会社からWebサイト改ざんの連絡が来た」 

こんな話を耳にしたことはありませんか? 

現在急増中のWordPressへの不正アクセスの手口の多くはWordPressの管理者ID、パスワードを破られて管理画面に入られ、WordPressのアップロード機能を使い不正ファイルを満載した偽装プラグインを埋め込まれるというパターンのようです。 

(このため、WordPressの管理画面へのログインが403エラーで入れなくなるというパターンが多く見受けられます) 

改ざんされたプログラムへさらにバックドアを仕掛けられる例が非常に多いため、対処としては初期化や共有サーバの場合、いったんすべて削除した上、再設置するなどが必要となります。 

被害者は加害者に 

サーバーへの不正アクセスや改ざん被害だけでも辛いですが、そのまま放置しておくと、 

・大量の迷惑メールの送信 

・他サーバーへの攻撃 

・フィッシングサイトの設置 

といった事をされる可能性があり、サイト管理者の社会的信頼の失墜もあり得ます。 

被害者は加害者にもなってしまうという不幸の連鎖です。 

被害が拡大すると、ウェブ運用、メール運用に支障をきたす可能性も 

サイトが改ざんされ、フィッシングサイトを設置されたり、マルウェアが埋め込まれると、不正なサイトとしてGoogleのセーフ ブラウジングに検知される事もあります。 

解除はサイト管理者が行う必要がありますが、なかなか大変です。 

また、サーバーのIPアドレスがブラックリストに登録されてしまう場合があります。 

そうなると、メール送信で不具合が出る可能性や、特に共有サーバーの場合は同筐体内の他のアカウントにも被害が及んでしまうので責任は重大です。 

こうならないためにもWordPressのセキュリティはしっかりしておきましょう。 

一にも二にもパスワードは肝要 

WordPressの不正アクセスの多くはパスワードが原因 

とは言うものの、WordPressに限って言うなら対策はそこまで難しいものではありません。 

冒頭でもお話した通り、最近被害が多いのはWordPressの認証情報漏洩による被害です。 

Webサイトへの攻撃を含め、サイバー犯罪の8割は脆弱なパスワードが原因と言われています(筆者の体感的には9割以上)。 

そのため、まずは認証情報を適切に管理する事が肝要になります。 

IDにも注意 

パスワードだけ堅牢でも、 

・まだWordPressにデフォルトユーザーが存在したころの設定をそのまま使っている 

・ドメイン名にちなんだ名称になっている 

・そもそもWordPressのサイトに表示されてしまっている 

といった場合は、総当たりでパスワードを解析される可能性がありますので、IDや表示名を変更するなどで対応してください。 

使いまわしはやめましょう 

不正アクセス者は一度破った認証情報をあらゆる場所で試すそうです。 

パスワードの使いまわしをすると、例え十分安全なパスワードを使っていたとしても、それを使い回していると、1つのサイトからパスワード情報が流出した場合、全てのサイトで不正ログインが可能になってしまいます。 

 つまり、パスワードを使いまわすほどに、認証情報漏洩リスクが増えていくという仕組みになっています。パスワードは個別にユニークなものを設定してください。 

推測しにくいパスワードを使いましょう 

123456、picture1、qwerty などが2020年のパスワードランキングワーストに入っているそうですが、パスワードによく使われる文字列というのはあります。 

・英字の大文字・小文字 

・数字 

・記号 

上記を混合で設定いただく事で、強度は格段にあがります。 

さらに、パスワードの文字列の桁数が1文字増えるだけでも強度は指数関数的に上がりますので、できるだけ長くて、意味の通らない、英数記号混合の強度の高い文字列を使う事を強くお勧めします。 

 なお、最近は長い単語を組み合わせた数十文字の「パスフレーズ」が使われるケースも増えています。覚えやすいというメリットがありますが、単語一つだと辞書攻撃に脆弱なため 

文字数が長くなるデメリットがあります。 

そうだ、パスワードマネージャーを使おう 

メール、SNS、ウェブサービス、スマホ、金融機関、その他多くのアカウントのパスワードって覚えられないですよね(だから、ついつい使いまわしする気持ちは良く分かります) 

インターネット黎明期はそれほどパスワードを使う場所はなかったのですが、最近は何でもユーザー作成が必要になってきました。 

人間の頭で記憶するのには限界があるので、パスワードマネージャーを使って管理するのも方法の一つです。 

各種アップデートも同じくらい必要 

WordPress(本体)は世界中のコミッターが参加して作られ、更新されていますので、何かセキュリティ上の脆弱性があった場合、すぐに対策されます。 

テーマ、プラグインについても、特にWordPressの管理画面からインストールできるもので、人気の高いものは更新がこまめです。 

※ 年単位で更新のないものは、代替のプラグインを使うなどもご検討ください。 

さくらのレンタルサーバなら、バックアップ&ステージング機能を活用しよう 

不安が残る場合、さくらのレンタルサーバのバックアップ&ステージングで事前に動作検証を行う事が可能です。 

セキュリティ系プラグインがあるとさらにリスクが減る 

All In One WP Security & Firewallを利用しよう 

 
さくらのレンタルサーバで、クイックインストールからWordPressをインストールすると All In One WP Security & Firewall というセキュリティのプラグインが同梱されます。  
以下のマニュアルでも、WordPressログインURLの変更を変更したり、スパムコメントを制御したり、Pingback機能を無効化する設定が解説されていますので、是非、ご活用ください。 
参考情報『All In One WP Security & Firewall(AIOWPS)』を使ってセキュリティを強化する 

英語の画面になじめない方はこれ 

セキュリティ系プラグインで、日本製の SiteGuard WP Plugin というものがあります。 

WordPressログイン画面にひらがなの画像認証を追加したり(海外からの辞書攻撃ができなくなる)、「フェールワンス」という正しい入力を行っても、わざとログインを一回失敗させるような機能もありますので、こちらを使っていただくのも方法の一つです(下記はSiteGuard WP Pluginでひらがなの画像認証を有効にした際のWordPressログイン画面になります)

まとめ 

一個一個はわりと簡単な事ですが、継続するとなると少し手間がかかりますね。 

何事も徹底する事が大変だったりしますが、不正アクセスを受けた時に失うもの(社会的信用、既存のウェブサイトデータ、復旧までの工数)を考えるとお釣りがくると思います。 

不正ファイルを設置されると、先述の通りサーバー全体を巻き込んでブラックリストサービスに登録されてしまう事もあるので、気を付けてサイト運用をしていきたいところです。 

Promotion

執筆

さくらインターネットでカスタマーサポートを担当。 さくらのレンタルサーバのお客様へ、サーバ運用の一助となるような記事を書いていきたいと思います。