ワードプレスのセキュリティープラグインで実装されていることが望ましい機能について解説いたします。
この記事の目次
ワードプレスの攻撃手法から考える、ワードプレスサイトに必要なセキュリティー対策とは?
ワードプレスがハッキングされてしまう原因は、大きく分けて下記の5種類に分類できます。
1. 管理者のパスワードを総当たりで破り管理者としてハッカーがログイン
2. プラグイン等の脆弱性を利用してハッカーが任意のファイルをサーバー内に設置したり改ざんしたりする
3. プラグイン等の脆弱性を利用してハッカーがデータベースを書き換える
4. 同じサーバーにある他のウェブサイトにある脆弱性を利用される
5. サーバーのOSやソフトウェアそのものの脆弱性を利用される
5についてはワードプレスのハッキング対策では防ぐことが難しいです。またウェブサイトの多くはサーバーのルート(OSレベルの管理者)権限のない共用サーバーに設置されている為、サーバーのセキュリティーを向上させるのはサーバー管理会社様の責任範囲となります。
この為、ワードプレスサイトのセキュリティープラングインとしては、1,2,3をできるだけ困難とするようなプラグインが望ましいことになります。
それぞれについてどのような機能が有効かを見ていきましょう。
対策1 管理者のパスワードを総当たりで破り管理者としてハッカーがログイン
この攻撃を防ぐには、下記のような機能がセキュリティープラグインに導入されていることが望ましいです。
・ログイン画面にキャプチャ(人間だけにわかるクイズ)を付与できる
・XMLRPCやREST API攻撃を防ぐ
・ログイン画面のURLを変える
・ワードプレスのユーザーIDの漏洩を防ぐ
・何度かログインに失敗したら一時的にログイン自体をできなくする(ログインロックダウン)
また、最も重要なのは、ログインのパスワードを複雑なものにすることです。ログインパスワードが十分に複雑な場合は、上記のような機能は補佐的な役割となります。
対策2 プラグイン等の脆弱性を利用してハッカーが任意のファイルをサーバー内に設置したり改ざんしたりする
プラグインの脆弱性を突く攻撃はワードプレスでは最も多い攻撃手法です。脆弱性攻撃を防ぐには、下記のような機能がセキュリティープラグインに導入されていることが望ましいです。
・脆弱性のあるプラグインやワードプレスのバージョンの漏洩を防ぐ
・脆弱性検査機能
・脆弱性攻撃を攻撃時に防ぐ機能
「バージョンの漏洩を防ぐ」機能はいくつかのセキュリティープラグインにありますが、実は「脆弱性検査機能」「脆弱性攻撃を事前に防ぐ機能」を搭載したセキュリティープラグインは極めて少ないのが現状です。
WPドクターが開発した【無料】ワードプレス:マルウェアスキャン&セキュリティープラグイン [マルウェア・ウィルス検出と駆除] にはどちらの機能も搭載していますのでよろしければご利用ください。
また、脆弱性攻撃を防ぐのに有効な方法は頻繁にサイトのワードプレス本体、テーマ、プラグインをアップデートして最新に保つことになります。(そのプログラムの製作者が最新バージョンで脆弱性をふさいでくれていることが多い為です)
対策3 プラグイン等の脆弱性を利用してハッカーがデータベースを書き換える
この攻撃はSQLインジェクションと呼ばれ、ワードプレスのプラグイン等の脆弱性を利用して、ワードプレスサイトの脆弱性のあるプログラムにに不正なデータベース処理コードを送信し、データベースを書き換えてしまう攻撃です。
この攻撃を防ぐには、サイトに送信されたリクエストにSQLインジェクション特有の文字列が含まれている場合にはじいてしまうような設定をHTACCESSファイルに書き込む機能や、リクエストのクエリを全部いったん取得の上、事前にその内容をスキャンしてSQLインジェクション特有の文字列が含まれていないかを調査してクエリを通すような機能がセキュリティープラグインにあることが望ましいです。
セキュリティープラグインを選定の際はご参考にしていただけましたら幸いです。
WordPress ワードプレスのマルウェア駆除・セキュリティー対策のご依頼・ご相談はWPドクターまでお気軽にお送りください
