CMSのセキュリティを強化しよう

CMS（Content Management System）は、サイト制作に必要なHTMLやCSSなどの専門知識を必要とせずにWebサイトを構築できるだけでなく、プラグインによる様々な機能拡張など、ユーザーにとって大きな魅力があります。

しかしながら、不正ログインや改ざんなど、CMSで構築されたウェブサイトへの攻撃は増加の一途を辿っているのも事実であり、CMSのセキュリティ対策は重要な課題となっています。

本稿では、CMSのセキュリティ対策の基本的な考え方のほか、WAF（Web Application Firewall）やセキュリティプラグインの活用について解説します。

CMSの脆弱性

世界的にもCMSといえば「WordPress」と言われるほどシェア率は、WordPressが圧倒的です。

ここでは、いくつかのCMSをピックアップして、それぞれのセキュリティ事情について、少しずつ紹介します。

まず、WordPressですが、プラグインが豊富で、その拡張機能が大きな魅力である一方、プラグインの脆弱性を悪用した攻撃が後を絶ちません。人気のあるプラグインに脆弱性が発見されることもあり、度々話題になっています。

WordPress本体の脆弱性では、2017年2月に発見されたREST APIの脆弱性による大規模改ざんが大きな話題になりました。この脆弱性を悪用した攻撃では、全世界で150万ページ以上が改ざんされたという情報もありました。

次に、Drupalですが、2014年の10月に深刻なSQLインジェクションの脆弱性（Drupalgeddon）が発見されたことが大きな話題となり、これに続く2番目の脆弱性として発見された2018年4月のリモートコード実行の脆弱性（Drupalgeddon 2）は、概念実証コードが公開された後、Drupalへの攻撃が急増しました。

Joomla!については、2015年10月に発見されたSQLインジェクションの脆弱性に対する攻撃の増加と、12月のゼロデイによるリモートコード実行（原因は、PHPの既知の脆弱性）などが話題となり、以降もSQLインジェクションやリモートコード実行の脆弱性が目立っています。

もっと見る：WAFによるSQLインジェクション攻撃の防御 

プラグインやテーマなどの拡張機能は、不特定多数のユーザーや有志によって、自由に開発・提供されています。CMSの利用において、様々なメリットをもたらす反面、開発者ごとの安全性の配慮にばらつきがあるという実情から、CMS本体よりもプラグインやテーマの脆弱性が発見されることが多い傾向があるほか、深刻な脆弱性・攻撃へとつながってしまうことがあります。

CMS本体だけでなく、プラグインなどの拡張機能についても利用状況やバージョン管理をするようにして、脆弱性の有無に注意するよう心がけてください。

WAFによるSQLインジェクション攻撃の防御

Webサイトを対象にしたサイバー攻撃は多数存在します。その中でも危険度が高いと言われているのが「SQLインジェクション（SQL Injection）」です。本稿では、SQLインジェクションの基礎を解説し、セキュリティ対策として有効な「WAF（Web Application Firewall）」をご紹介します。

CMSセキュリティ対策の基本

CMSを活用したWebサイトでは、

• 管理ページのログインの保護（強固なパスワード、アクセス制限など）
• 最新バージョンのCMSを利用する
• プラグインなどの拡張機能についても最新バージョンを利用する

という基本的な対策が重要です。

基本的な内容であるものの、実際の運用では常に最新バージョンを利用するという対策が難しいこともあります。

このようなケースでは、WAFを併用した対策が有効です。

WAFによる対策

先に述べましたように、CMSにおいてもSQLインジェクションやクロスサイトスクリプティングなどによる攻撃、被害が多発しています。

CMSの運用では、拡張機能を含めて、最新バージョンを利用することが重要ですが「すぐにバージョンアップすることができない。」「利用しているプラグインが最新の本体での動作をサポートしていない」など、運用上の問題によりバージョンアップが難しいケースがあるのも事実です。

このようなケースに備えて、SQLインジェクションやクロスサイトスクリプティング（XSS）などのWebアプリケーションの脆弱性を悪用した攻撃からWebサイトを保護するWAFを導入しておくと、WAFがセーフティネットとして大きな役割を果たします。

WAFの解説についてはこちら：WAFとは？仕組みやメリット、選定のポイントまで徹底解説！

セキュリティプラグインの活用（WordPress）

SQLインジェクションやクロスサイトスクリプティングなどの脆弱性対策はもちろんですが、WordPressの運用では、

• 不正ログイン対策
• コメントスパム対策
• 管理画面（管理ページ）のアクセス制限

に悩むことも多いのではないでしょうか？

ここからは、人気のWordPressのセキュリテイ対策について、プラグインを活用した対策をご紹介します。

EGセキュアソリューションズ株式会社では、WordPressの発展とセキュリティに貢献するため、セキュリティプラグイン「SiteGuard WP Plugin」を開発・提供しています。

「SiteGuard WP Plugin」は、難しい知識を必要とせず、インストールするだけでWordPressのセキュリティを向上させることができる日本語対応のセキュリティプラグインです。

外部からの不正ログインを防御するほか、管理ページへの不正アクセスやコメントスパムの脅威からWebサイトを守る機能を備えており、WordPressの公式ディレクトリへの登録、リリースとなっていますので、どなたでも無償でご利用いただくことができます。

WordPressのセキュリティ強化をお考えの場合は、ぜひご検討ください。

当社のプラグイン以外にも多くのセキュリティプラグインが提供されています。実際の要件や使いやすさなど、皆さまの運用方針に適したセキュリティプラグインを有効活用し、安心・安全なWordPressライフを送っていただきたいと思います。

WAFを活用しよう

いかがでしょうか？CMSのセキュリティについて、WAFやセキュリティプラグインの活用方法とともに解説しました。

近年、WAFを標準実装、またはオプション提供しているレンタルサーバーが増えています。当社サービスパートナー事業者においても共用サーバー、専用サーバー、マネージドサービスなど各プランでSiteGuardシリーズによるWAF機能が実装されています。

CMSのセキュリティ対策にWAF、セキュリティプラグインを有効活用してください。

JP-Secure Labs Report Vol.01

本レポートは、国産ソフトウェア型WAF「SiteGuardシリーズ」の開発・販売を行う株式会社ジェイピー・セキュアの「サービスパートナー・プログラム」に加入しているパートナー企業の協力のもと、不正アクセスの傾向を統計化したレポートです。