WordPressの脆弱性って?WEBサイトのセキュリティ対策について
最終更新日:2019/08/20
最近、情報漏洩やWEBサイトの改ざんなど、セキュリティに関するニュースをよく耳にします。その中でも、WEB制作の際に耳にする機会が増えたのが、WordPressの脆弱性についてです。ただ、なんとなく危ないと聞いていても、何をどこまですれば安全なのかはわからない、といった相談も増えています。
本日は、WordPressの脆弱性の話から、一般的なWEB運用のセキュリティ対策についてお話ししたいと思います。
WordPressとは?
WordPressは、今日ではホームページの約33%で利用されていると言われる、世界で最も利用者の多いオープンソースのCMSです。無料から使える上に、プラグインやモジュール追加など、高いカスタマイズ性を誇り、世界中から人気を集めています。2003年に開発が始まり、企業ブログからコーポレートサイトなど、幅広いジャンルのWEBサイト構築に用いられています。
また、CMSの特徴でもある更新性も備えており、CMSといえばWordPressと言っても過言ではないほど、圧倒的なシェアを誇っています。
CMSについてもっと詳しく知りたい方はこちらから↓
CMSとは?種類やメリットデメリットを徹底解説
WordPressで懸念される脆弱性について
圧倒的なシェアを誇るWordPressですが、近年ではセキュリティの脆弱性について心配の声が上がっています。WordPressの導入数が増加する一方で、オープンソースという弱点を狙うサイバー犯罪者も増えています。せっかく狙うのであれば、利用者の多いCMSをという理由で、不正アクセスやWEB改ざんのプログラムが相次いで現れています。
つい最近でも、nited States Computer Emergency Readiness Team (US-CERT)は3月14日(米国時間)、「WordPress Releases Security Update|US-CERT」において、WordPress 5.1およびこれよりも前のバージョンに脆弱性が存在すると伝えられています。
ただし、WordPressに限らずとも、年々サイバー攻撃の件数も増えており、その事実も人々を不安にさせている要素の1つです。
画像引用元:サイバー攻撃の件数など統計情報
例えば、WordPress以外にもDrupalというCMSで、脆弱性が確認されています。
United States Computer Emergency Readiness Team (US-CERT)は1月16日(米国時間)、「Drupal Releases Security Updates|US-CERT」において、CMS (Content Management System)であるDrupalに複数の脆弱性が存在すると伝えた。
引用元:https://www.excite.co.jp/news/article/Cobs_1865183/
このように、WordPressだけではなく業界全体として、セキュリティに関しての重要度が上がっています。その中でも特に狙われやすいCMSがWordPressとなってい流だけであって、WordPress以外のCMSでもリスクはあり、責任者を立てて管理をする必要があります。
WEB運用で最低限抑えたいセキュリティ対策
CMSでWEB制作を行う場合に最低限抑えたいセキュリティ対策について紹介します。100%穴をなくすことはできないのですが、ここまでやっておけばひとまず合格ライン、といった内容です。制作会社様も、発注者様も参考にしていただければと思います。
ネットワークでの対策
D-Dos対策
D-Dos対策とは、インターネット上のトラフィックを増大させ、通信を処理しているネットワーク回線やサーバーの機能を占有する帯域飽和型のサイバー攻撃です。WAFやIPSにより対策が可能です。
IPS
お客さまのネットワークを最新の状態に保ち、不正アクセスや攻撃などの兆候や深刻な脅威を検知・防御するサービスです。
FW(ファイヤーウォール)
内部ネットワークと外部インターネットの間に設置することで両者間の通信を制御し、内部ネットワークの安全を保護します。
Webサーバでの対策
WAF(ウェブアプリケーションファイヤーウォール)
外部のネットワークからの不正アクセスを防ぐためのファイアウォールの一種で、特に、Webアプリからの不正アクセスを防ぐものを差します。
パッチマネジメント
ソフトウェアに穴やほころび(バグ)が発生した際につくられる修正用のパッチファイルを適用したり、適用状況を把握し管理する運用方法です。
24時間監視
CPU使用率、メモリ使用率、ディスク使用率などサーバのロードバランスを常に監視し、問題の予兆を確認した際は、有人監視に切換えて対応を行います。
アプリケーションでの対策
IPアクセス制限
CMS管理画面に対して関係者以外アクセスが出来ないようにIPアドレス制限を設定することができます。
ホームページの脆弱性対応(サニタイジング)
クロスサイトスクリプティングやSQLインジェクションに対応するため、特別な意味を持つ文字(記号など)を無効化して意図したアクションをさせないようにする処理です。
災害復旧(DR)対策
マネージドGSLB(広域サーバージ負荷分散)サービス
データセンター拠点やクラウドサービス間で、負荷分散やバックアップサイトへの自動切り替えを行い、ダウンタイムを最小限に抑えることができます。
バックアップ
バックアップサーバにて差分取得を10世代分保存しております。※ただし、あくまで有事の際に利用するデータなため基本的にはアプリ側で取得するバックアップをご利用頂きます。
以上のように、単一の対策だけではなく、各レイヤーごとの多層防を行っていくことで、安心してWEBの運用を行うことが可能になります。
ただし、すべてのセキュリティ対策を行うには業務範囲が膨大になってしまうので、信頼できるパートナーを見つけることも重要です。
WordPressで特に抑えたいセキュリティ対策
CMSの一般的なセキュリティ対策について見てきましたが、特にセキュリティを意識すべきWordPressについて簡単に触れたいと思います。WordPressには様々なプラグインやテーマがあり、様々な脆弱性が潜んでいることがあります。
例えば、2017年にはサイト訪問者の動向を確認できるアクセス解析データをわかりやすく表示する無料のプラグイン「WP Statistics」にクロスサイトスクリプティングの脆弱性が見つかりました。ホームページ管理者の同意なく、第三者によって任意のスクリプトを実行されてしまうリスクがあります。
カスタマイズが自由自在で、機能追加も容易にできる分、当初はなかった穴を作ってしまうリスクもあるのがWordPressの特徴です。先に紹介したセキュリティと合わせて、WordPressは特に注意していくとよいでしょう。
まとめ
WordPressの概要から、セキュリティ対策について解説しました。
話題になりやすいWordPressの脆弱性だけではなく、WEB運用にはやるべきセキュリティ対策がたくさんあります。世の中的にもセキュリティに関する関心が高まっている今だからこそ、改めて自社の運用の見直しを行ってみてはいかがでしょうか。
また、弊社も自社CMS(BlueMonkey)のパートナーを募集しております。WordPress以外に提案できるCMSを持ちたいWEB制作会社様は、描きページよりお気軽にお問い合わせください。
【関連記事】
