WordPressは、ウェブサイトを制作する上で世界で最も使用されているCMSですが、その人気のためWordPressセキュリティを狙った攻撃が後を絶ちません。そのためWeb担当者向けに6つのサイト保護する方法をご紹介します。

Wordpressの脆弱性を理解し&ワードプレスのセキュリティを強化しましょう。


ウェブ担当者にとってサイトを保護する方法を理解するためには、WordPressのセキュリティの脆弱性種類を把握する必要があります。本記事では、ワードプレスをロックダウンし、一般的な脅威から説明していきます。

原因① 脆弱性のほとんどは古いプラグイン?


  • 52%は、Wordpressのプラグインから侵入されている。
  • 37%が、コアワードプレスから侵入
  • 11%がWordpressのテーマから侵入。

 

出典:WPScan.orgからの統計

セキュリティ事例が最も多い(52%プラグイン)原因は、公式でないプラグインまたはプラグインのバージョンが古いものを使用しているケースがあります。
コアWordPress(37%)やテーマ(11%)からの脆弱性については、原因追求する場合あとでもいいかもしれません。

原因② URLを書き換えられた故意的クラッキング


WordPressセキュリティの狙われる原因(プログラムの脆弱性)を①で説明しました。では攻撃してくる手法についてご説明します。

インターネット上、すべての攻撃(84%)がクロスサイトスクリプティングによるものです。

クロスサイトスクリプティング(XSS)は、他のユーザーが閲覧中のウェブページにクライアント側のスクリプトを挿入し、サイトを攻撃する方法です。WordPressも例外ではなく、攻撃の方法として39%がクロスサイトスクリプティング(XSS)によるものです。

クロスサイトスクリプティングとは(トレンドマイクロ社参考)

原因③その他の攻撃方法


  • 11% – FTPから。(アップロード侵入)
  • 7% – CSRF(クロスサイトリクエストフォージェリ。コメント欄や問い合わせフォームから侵入)
  • 5% – SQLI(データベースの改ざん)
  • 3% – LFI(ローカルファイルインクルード。ローカル上のファイルを読み込んでしまう脆弱性)
  • 2% – RFI(リモートファイルインクルージョン。スクリプト言語の脆弱性を狙った攻撃)
  • 2% – 認証バイパス
  • 1% – リダイレクト
  • 1% – XXE(XML外部エンティティ攻撃)
  • 6% – 不明

原因④ファイルインクルージョンの脆弱性


ウェブサイトは、URLの中に置かれた引数に応答し動いています。あなたのPCに、もし脆弱性が含まれていた場合を想像してみてください。誰かがこの脆弱性を発見した場合、それが悪用される可能性があり。そして、これは出力(設定適切な権限のない)UNIXサーバーのパスワードファイルを盗み攻撃するでしょう。

これが発生する可能性がわずか害例です。または誰かが同様にこの方法を介してサーバー上に自分のファイルをアップロードすることができます。

WordPressセキュリティを強化する6つの方法


1.強力なパスワードを強制&2要素認証(reCAPTCHA)を使用する。

覚えやすいパスワードは避けてください。さらに定期的に変更することをおすすめします。

2.マルウェアを防止する。

マルウェアとは、ウイルス、ワーム、トロイの木馬を含む悪質なコードの総称です。悪質なメールやWEBサイトなど不用意にアクセスしない。

3.脆弱なサーバーを変更する。

侵入防御システム(IPS)があることや最新攻撃に対して修正パッチがある他、OSやミドルウェアを狙ったサーバー攻撃がしっかり備わっているサーバーをぜひ選んでください。

4.適切な許可を設定する。

WAF(ファイヤーウォール)をはじめとしたサーバー設定も必要ですが、IP制限(管理者や運用者限定)や外部更新を行う際の権限を的確に行いましょう。

5.正しいワードプレスをセットアップする。

6.すべてのテーマ、プラグインを最新に保つ。