ワードプレスをSSL化し、CSP(コンテンツセキュリティポリシー)を設定してもハッキングを防げるわけでありません。この理由について解説いたします。
SSL化(HTTPS)してもハッキングが防げない理由
SSL化は、ウェブサーバーとユーザーのブラウザ間の通知を暗号化し、データの通信を仲介しているサーバーやWIFIなどの機器がその通信内容を読み取ってもどのようなデータが送受信されているかをわからないようにするためのものです。
ちなみに下記の情報はSSL化しても秘匿されません
① 接続先の IP アドレス
② ドメイン名(SNI) ※ドメイン以下のアクセスしているページURLやクエリは秘匿されます
③ 接続のタイミング・通信量
この為、SSL化でワードプレスのログインIDやパスワードが途中で読み取られて露見してしまう事は防ぐことが可能です。
なぜSSL化でハッキングは防げない?
ただ、ワードプレスのハッキングの多くは管理者権限のパスワードを総当たりで割り出すブルートフォースアタックや、プラグインなどの脆弱性にハッカーが直接アクセスして行われます。
このような攻撃はSSL化による通信の暗号化では、ハッカーの不正な通信自体はフィルタリングされるわけではないので、防ぐことが出来ないのです。
CSP設定してもハッキングが防げない理由
昨今CSP(コンテンツセキュリティポリシー)を設定することが一般的になってきています。
CSP(コンテンツセキュリティポリシー)とはHTACCESSファイルなどに記載する、どのソースのJSスクリプト・画像・CSSなどを読み込んでよいかを指定する仕組みです。ブラウザーがその設定を読み込んで、許可されていないドメイン上にあるJS等の読み込みを弾いてくれます
CSPの設定により、ハッカーがサイトに埋め込んだ不正なJSスクリプトの読み込み等がブラウザーではじかれてユーザーが2次被害を受けることを防いでくれるかもしれません。
ただ、CSPで防げるのは、すでにハッカーがサイトの改ざんを成功した後の、コンテンツへの不正なスクリプト等の読み込みがユーザーのブラウザーで実行される事です。(CSP設定や不正な埋め込みスクリプトが同じサーバー上にある場合は防げない場合もあります)
この為、CSPは万が一サイトがハッキングされても、ユーザーがサイトにアクセスして2次被害を受けることを幾分か防げるかもしれない、保険のようなものとお考え下さい。
ワードプレスのハッキングを防ぐには?
ワードプレスのハッキングを根本的に防ぐには、SSL化やCSPの設定に加え、ハッキングを防ぐ機能に得化しているプラグインをご利用いただいたり、基本的なセキュリティー対策を行っていただくことが重要です。
セキュリティー対策プラグイン
【無料】ワードプレス:マルウェアスキャン&セキュリティープラグイン [マルウェア・ウィルス検出と駆除]
基本的なセキュリティー対策
ワードプレスで意味のあるセキュリティー対策とあまり意味のないセキュリティー対策とは?
ご参考になりましたら幸いです。
WordPress ワードプレスのマルウェア駆除・セキュリティー対策のご依頼ご相談はWPドクターまでお気軽にお送りください
