CMSのセキュリティを強化しよう

 2019.10.24  株式会社ジェイピー・セキュア

CMS(Content Management System)は、サイト制作に必要なHTMLやCSSなどの専門知識を必要とせずにWebサイトを構築できるだけでなく、プラグインによる様々な機能拡張など、ユーザーにとって大きな魅力があります。

しかしながら、不正ログインや改ざんなど、CMSで構築されたウェブサイトへの攻撃は増加の一途を辿っているのも事実であり、CMSのセキュリティ対策は重要な課題となっています。

本稿では、CMSのセキュリティ対策の基本的な考え方のほか、WAF(Web Application Firewall)やセキュリティプラグインの活用について解説します。

CMSの脆弱性

CMSといえばWordPressと言われるほど日本国内のCMSのシェアは、WordPressが圧倒的ですが、世界的には

  • WordPress
  • Drupal
  • Joomla!

これらのCMSが三大CMSと呼ばれることがあります。ここでは、それぞれのセキュリティ事情について、少しずつ紹介します。

まず、WordPressですが、プラグインが豊富で、その拡張機能が大きな魅力である一方、プラグインの脆弱性を悪用した攻撃が後を絶ちません。

2015年頃は日に数件というペースでプラグインの脆弱性が発見されるという深刻な状況が続きました。近年は脆弱性が発見される件数は減少傾向にありますが、人気プラグインに脆弱性が発見されることもあり、度々話題になっています。

WordPress本体の脆弱性では、2017年2月に発見されたREST APIの脆弱性による大規模改ざんが大きな話題になりました。この脆弱性を悪用した攻撃では、全世界で150万ページ以上が改ざんされたという情報もありました。

次に、Drupalですが、2014年の10月に深刻なSQLインジェクションの脆弱性(Drupalgeddon)が発見されたことが大きな話題となり、これに続く2番目の脆弱性として発見された2018年4月のリモートコード実行の脆弱性(Drupalgeddon 2)が記憶に新しいところです。

Joomla!については、2015年10月に発見されたSQLインジェクションの脆弱性に対する攻撃の増加と、12月のゼロデイによるリモートコード実行(原因は、PHPの既知の脆弱性)などが話題となり、以降もSQLインジェクションやリモートコード実行の脆弱性が目立っています。

もっと見る:WAFによるSQLインジェクション攻撃の防御

プラグインやテーマなどの拡張機能は、不特定多数のユーザーや有志によって、自由に開発・提供されています。CMSの利用において、様々なメリットをもたらす反面、開発者ごとの安全性の配慮にばらつきがあるという実情から、深刻な脆弱性・攻撃へとつながってしまうことがあります。

CMS本体だけでなく、プラグインなどの拡張機能についても利用状況やバージョン管理をするようにして、脆弱性の有無に注意するよう心がけてください。

 

CMSセキュリティ対策の基本

CMSを活用したWebサイトでは、

  • 管理ページのログインの保護(強固なパスワード、アクセス制限など)
  • 最新バージョンのCMSを利用する
  • プラグインなどの拡張機能についても最新バージョンを利用する

という基本的な対策が重要です。

基本的な内容であるものの、実際の運用では常に最新バージョンを利用するという対策が難しいこともあります。

このようなケースでは、WAFを併用した対策が有効です。

WAFによる対策

先に述べましたように、CMSにおいてもSQLインジェクションやクロスサイトスクリプティングなどによる攻撃、被害が多発しています。

CMSの運用では、拡張機能を含めて、最新バージョンを利用することが重要ですが「すぐにバージョンアップすることができない。」「利用しているプラグインが最新の本体での動作をサポートしていない」など、運用上の問題によりバージョンアップが難しいケースがあるのも事実です。

このようなケースに備えてWAFを導入しておくと、WAFがセーフティネットとして大きな役割を果たします。

WAFの解説についてはこちら:ウェブサイトをセキュアにするWAFの仕組み

セキュリティプラグインの活用(WordPress)

SQLインジェクションやクロスサイトスクリプティングなどの脆弱性対策はもちろんですが、WordPressの運用では、

  • 不正ログイン対策
  • コメントスパム対策
  • 管理画面(管理ページ)のアクセス制限

に悩むことも多いのではないでしょうか?

ここからは、人気のWordPressのセキュリテイ対策について、プラグイン活用による対策をご紹介します。

JP-Secureでは、WordPressの発展とセキュリティに貢献するため、セキュリティプラグイン「SiteGuard WP Plugin」を開発・提供しています。

「SiteGuard WP Plugin」は、難しい知識を必要とせず、インストールするだけでWordPressのセキュリティを向上させることができる日本語対応のセキュリティプラグインです。

外部からの不正ログインを防御するほか、管理ページへの不正アクセスやコメントスパムの脅威からWebサイトを守る機能を備えており、WordPressの公式ディレクトリへの登録、リリースとなっていますので、どなたでも無償でご利用いただくことができます。

WordPressのセキュリティ強化をお考えの場合は、ぜひご検討ください。

当社のプラグイン以外にも多くのセキュリティプラグインが提供されています。実際の要件や使いやすさなど、皆さまの運用方針に適したセキュリティプラグインを有効活用し、安心・安全なWordPressライフを送っていただきたいと思います。

WAFを活用しよう

いかがでしょうか?CMSのセキュリティについて、WAFやセキュリティプラグインの活用方法とともに解説しました。

近年、WAFを標準実装、またはオプション提供しているレンタルサーバーが増えています。当社サービスパートナー事業者においても共用サーバー、専用サーバー、マネージドサービスなど各プランでSiteGuardシリーズによるWAF機能が実装されています。

CMSのセキュリティ対策にWAF、セキュリティプラグインを有効活用してください。

JP-Secure Labs Report Vol.01

SITEGUARD
ジェイピー・セキュアソフトウェアライセンス価格表

RELATED POST関連記事


RECENT POST「技術動向」の最新記事


CMSのセキュリティを強化しよう
SITEGUARD

RANKING人気資料ランキング

RECENT POST 最新記事

ブログ無料購読

RANKING人気記事ランキング

TOPIC トピック一覧