ワードプレスで意味のあるセキュリティー対策とあまり意味のないセキュリティー対策について当社の考えを解説いたします。
この記事の目次
ワードプレスがハッキングされ改ざんされる原因から導き出される最も重要なセキュリティー対策とは?
ワードプレスがハッキングされてしまう原因の6割はプラグインやワードプレスコアの脆弱性、次に多いのが2割前後の管理者権限のパスワードが弱いことになります。
https://www.wordfence.com/blog/2016/03/attackers-gain-access-wordpress-sites/
より引用(WordFence調べ)
この為もっとも重要なセキュリティー対策は
1 脆弱性のあるワードプレスコアファイルやプラグインのセキュリティーアップデートを適応する事
2 管理者権限のパスワードをランダムで意味のない英数記号を含む文字列12文字以上にすること
1の脆弱性は非有効化されているプラグインであっても脆弱性が利用できることがあるため、非有効化されているプラグインは削除いただくことをお勧めいたします
となります。日本の場合日本製テーマがハッキングされた事例は当社が知る限り少なく、ホスティングも共用サーバーが多い為、上記2点の対策だけで、ほぼハッキングされることは無くなるかと存じます。
(ハッカーは5万とある簡単にハッキングできるサイトを探しますのでマス攻撃型のハッキング手法では少しでもハッキングが難しいサイトはターゲットになりにくくなります)
脆弱性のあるワードプレスコアファイルやプラグイン はこちらはかお調べいただくことが可能です。
また、【無料】ワードプレス:マルウェアスキャン&セキュリティープラグイン [マルウェア・ウィルス検出と駆除] にて脆弱性を内部から検査できます。よろしければご利用ください。
上記セキュリティー対策はサーバー中の全サイトに対して行う事をお勧めいたします
また、昨今のマルウェアは、サーバー上の同一アカウントのすべてのサイトに対して自身を拡散する機能を持っている物が増えてきています。
重要なサイトだけでなく、サーバー中の全サイト(放置サイトも含め)に対して上記の基本的なセキュリティー対策を行われることをお勧めいたします。
可能であれば放置サイトはファイルを削除いただくことをお勧めいたします
その他の脆弱性対策で重要なのは?
その他の脆弱性対策では数パーセントハッキングの可能性を下げると期待できる中程度に重要な対策がございます。
下記に列挙いたします。
1 サーバー中にindex.ファイルが無い場合にフォルダリストを表示する機能を止める
→フォルダ内のファイルリストがGoogle検索にひっかかり、ハッキングのターゲットになりやすくなります
2 ログインロックダウン
→何度もログイン施行を繰り返すブルートフォースアタックを初期段階ではじく対策はハッカーの管理者権限の奪取を遅らせる意味で効果的です
3 ワードプレスやプラグインのバージョンの漏洩を抑制する
→脆弱性が露見するのを防ぐことができます(Google検索で特定の脆弱性のあるバージョンのプラグインを導入しているか特殊なクエリで調べる方法があり、そちらを防ぐことが可能です)
※上記の対策はすべて【無料】ワードプレス:マルウェアスキャン&セキュリティープラグイン [マルウェア・ウィルス検出と駆除]で無料でご利用いただけます。
その他の対策は重要ではないの?
ワードプレスの運営者様の多くが、ログイン画面のURL変更やキャプチャの導入が非常に重要だと考えられていることが多いのですが、ログイン画面を突破されるハッキングは全体の15パーセント前後であり、また総当たりで管理者権限のパスワードを割り出すブルートフォースアタック攻撃はログイン画面を利用しない方法もあります。
また、前述のように強力なパスワードを管理者権限に設定されていた場合は論理上数万年かかっても破られることはございません。
この為、ログイン画面のURL変更やキャプチャの導入 はセキュリティー対策上優先度が実はそれほど高くないです。(もちろん、特に非常に多くのユーザーがいるサイト等におきましては、やっておいた方がハッカーのハッキングの方法を一部抑制することが可能ですのでやらない方がいいというわけではございません)
ログイン画面のURL変更やキャプチャの導入を行っているから、安心であると考えられて、その他の本当に重要なセキュリティー対策をないがしろにしてしまいマルウェア感染してしまっているサイト様が多いという形になっております。
重要度に応じた基本的なセキュリティー対策から順に行われることをお勧めいたします。
WordPress ワードプレスのマルウェア駆除・セキュリティー対策を専門家が代行いたします。お気軽にご依頼ご相談お送りください
