WordPressのセキュリティを強化する
注意事項
- さくらのレンタルサーバ ライトプランでは、ブログ・CMSに関するすべての機能はご利用いただけません。
- クイックインストールよりインストールされたWordPress(ワードプレス)が対象です。
- 各アプリケーションをインストールする前に、「ライセンス」「インストール規約(免責事項)」「注意事項」をご確認いただき、
同意したうえで、インストールを行ってください。
同意いただけない場合は、本機能の利用はお控えください。 - ご自身でご用意されたプラグインとの組み合わせによっては処理が競合し、動作に影響を及ぼすこともあります。
- 詳しい設定方法や機能についてはダッシュボードのプラグイン一覧にあるリンクよりご確認ください。
設定の前に
「WordPressが安全な状態」とは、コンテンツの管理者によって
認識や程度に幾分の差はあるものの、概ね以下の条件が満たされていることを指します。
WordPressが安全な状態
- 管理者による許可がないユーザは、閲覧やメッセージの書き込み等、管理者が想定している用途以外の方法でサーバへアクセスできない状態
WordPressが危険な状態
「WordPressが危険な状態」については、概ね以下の条件のいずれかを満たしていることを指します。
- サーバ上に設置しているプログラム(システム)が不正に利用される
- 管理画面(ダッシュボード)に対し、管理者が許可していないユーザでも侵入できる
また、不正利用については下記のような種類に分けられます。
| - | 種類 | 内容 |
|---|---|---|
| 1 | 悪用 | プログラムが潜在的に抱えている問題を悪用し、 作者の意図しない方法で使用する。 |
| 2 | 書き換え(置き換え) | プログラムが潜在的に抱えている問題を悪用し、 作者の意図しない方法を用いてプログラムを書き換える。 |
| 3 | 破壊 | プログラムが潜在的に抱えている問題を悪用し、 作者の意図しない方法を用いてプログラムを破壊し、使用できない状態にする。 |
どのような手法を使って悪用するのか
コメントスパム
公開している内容と関係のない文字列がコメント欄に投稿され、Webサイトへ大量に登録されてしまうことをコメントスパムと呼びます。
コンテンツそのものへの影響はありませんが、1ページへの登録件数が万単位になると、サーバ負荷が高まり、自身だけではなく同サーバを利用しているユーザのコンテンツの表示も遅延することがあります。
管理画面の悪用
WordPressの管理画面はwp-login.phpというプログラムファイルを中心に構成されています。
悪意のある第三者は不正な文字列をサーバへ送信することでプログラムの脆弱性(ぜいじゃくせい)を利用し、管理画面へログインします。
このような状態となった場合、悪意のある第三者はWordPressのすべての機能を使用することができます。
プラグインの悪用
WordPressは「プラグイン」と呼ばれる拡張機能があり、有志や愛好家が公開しているプログラムを追加することができます。
悪意のある第三者は不正な文字列をプラグインとなるプログラムに対して送信することでプログラムの脆弱性(ぜいじゃくせい)を利用し、不正なアクセスを行います。
影響度は脆弱性の程度によって差があるものの、多くの場合、管理者が意図しないファイルを設置されます。
Pingback機能の悪用
WordPressには自身のWebサイトに対する言及を第三者のWebサイト上で行われた場合、そのことを通知する、「Pingback」という仕組みがあります。
この仕組みを悪用されたとしても、自身のWebサイトを書き換えられることはありませんが、知らないうちにどこかのサーバへの攻撃に加担してしまう可能性があります。
ブルートフォースアタック / 辞書攻撃
ランダムな文字をプログラム的に作り出して何度もアクセスを試み、認証を突破することを「ブルートフォースアタック」もしくは「辞書攻撃」と呼びます。
突破された場合、管理者が意図して公開を制限しているファイルを閲覧されたり、WordPressのすべての機能を使用することができてしまいます。
考えられる被害
攻撃を受けた際の被害は様々ありますが、よくあるものとしては以下のようなものが挙げられます。
- メール送信プログラムの設置
- フィッシングサイトの設置
- 外部サーバに対する攻撃の踏み台
注意事項
- これらを放置すると他のインターネット利用者へも被害が拡大します。
もし、このような状況をさくらインターネットが確認した場合、事前承諾なしに対応措置を取ることもあります。
どういった対策が有効か
インターネットに接続しているすべてのパソコンは何らかの危険性が必ず存在します。
このため、「この項目だけを設定しておけば万事安心」といった対策はありませんが、「使わない機能は無効化する」、
「容易に推測、解析されるユーザ名やパスワード名は使わないよう心掛ける」、「WordPressを構成するファイルの配置を変更する」
と言った複数の対策を組み合わせることで、攻撃者は容易に手出しができなくなるため、リスクを回避できる可能性は高まります。
常に最新のバージョンを使用する
WordPress本体、および、WordPressのダッシュボードからインストールしたテーマやプラグインは、
[ダッシュボード] > [更新]から最新版へ更新可能です。
本番環境での更新が不安な場合は、サーバコントロールパネルの「バックアップ & ステージング」から
バックアップを取り、更新を実行してください。
自動更新を無効化しない
WordPressではデフォルトの状態で、下記を対象とした自動更新機能があります。
(マイナーリリースおよび翻訳ファイルのみ)
- コアファイル更新
- 翻訳ファイル更新
こちらは設定によって無効化可能ですが、基本的に有効のまま運用してください。
使わない機能は無効化する
ピンバック機能に使われる xmlrpc.php 等のファイルは、しばしば攻撃にさらされ、
不正アクセスのリスクとなる場合があります。
このような不要な機能を無効化したり、有効化されないまま放置されているプラグインやテーマは
削除していただく事で、 不正アクセスのリスクを低減させる事ができます。
容易に推測、解析されるユーザ名やパスワード名は使わないよう心掛ける
すべてのパスワードにも言える事ですが、パスワードはできる限り推測されにくく、
安易ではない文字列のパスワードを設定ください。
『All In One WP Security & Firewall(AIOWPS)』を使ってセキュリティを強化する
「さくらのレンタルサーバ」や「さくらのマネージドサーバ」の「クイックインストール」からインストールを行ったWordPressは
いくつかのプラグインをあらかじめインストールしていますが、そのうちのひとつである『All In One WP Security & Firewall(AIOWPS)』は
セキュリティ強化に効果的です。
以下、『All In One WP Security & Firewall』の中でも比較的容易に導入可能な項目をご紹介します。
プラグインを有効化する
『All In One WP Security & Firewall』をはじめ、WordPressのプラグインを有効化するには、
WordPressの管理画面(ダッシュボード)にログインしてください。
次に、左側に並んだメニューの<プラグイン>という項目をクリックしてください。
<プラグイン>の画面に変わりますと、『All In One WP Security』という項目がありますので、
All In One WP Securityの文字のすぐ下にある「有効化」の文字をクリックしてください。
すると、上記のように左側のメニューに「WP Security」の文字で項目が追加されます。
「WP Security」をクリックするか、マウスオーバーする事でAll In One WP Security内の各メニューにアクセスする事ができます。
コメント機能を無効化する
スパムコメントを制御するには、<SPAM Prevention>のメニューを開きます。
【1】のチェックを入れる事で、コメント欄に簡単な足し算を入力するフォームを追加します。
スパムコメントの大半はボット(botと呼ばれる自動化されたプログラム)によって投稿されますが、ボットの多くは足し算の答えを入力する事はできません。これによりスパムコメントを抑制できます。
【2】のチェックを入れる事で、コメントの投稿を制限します。
これにより、WordPressはコメントフォームのみ入力を受け付けるようになります。
管理画面への不正アクセスを防ぐ
WordPressのログインURLは、必ず末尾に wp-login.php が付くので推測されやすく、そのため、悪意の第三者に推測されやすいものとなります。
<Brute Force> メニューの Rename Login Page Settings では、WordPress ログインURLを任意のものに変更する事で、管理画面への不正アクセスを抑制します。
【1】のチェックを入れると、【2】で指定したURLがWordPressのログインURLになります。
この場合、 http://example.com/exmple がWordPressのログインURLに変更されます。
ダッシュボードへのログインURLについて
本設定を有効にすると、レンタルサーバコントロールパネルのWebサイト/データ
『インストール済み一覧』の「管理画面URL」のリンクがご利用いただけなくなります。
Pingback機能を無効化する
Pingback機能とは、自分のWordPressの投稿に対してリンクが張られたことを知らせる機能ですが、
これを利用して外部のサイトにDDoS攻撃を仕掛けられる事があります。
Pingback機能は、初期状態で有効になっています。
Webサイトの運営において必須とされる機能でなければ、<Firewall>メニューのBasic Firewall Settingsタブから
「WordPress XMLRPC & Pingback Vulnerability Protection」の「Completely Block Access To XMLRPC」にチェックを入れ、
無効化される事をお勧めします。
改ざん被害を防ぐために
Google Search Console(サーチコンソール)への登録
Google Search Console(サーチコンソール)は Google が無料で提供しているサイトのパフォーマンスを監視、管理できるサービスです。
サイトの改ざんやマルウェアへの感染をメールで通知してくれるサービスも提供されていますので、素早い被害の検知に役立ちます。
サーチコンソールの使い方等のサポート情報については Google のサポートページをご確認ください。