ユーザー情報が分かる!?WordPressの不正ログイン対策

 2022.02.21  EGセキュアソリューションズ株式会社

日本国内だけでなく、世界的にも有名でシェアの高いWordPressを知っている人は多いのではないでしょうか。テーマやプラグインを活用することで、デザインが洗練されたブログやコーポレートサイトを制作したり、ECサイトなどを運営することもできるWordPressですが、セキュリティ上の課題を指摘されることもしばしば。本稿では、そんなWordPressのセキュリティについて、不正ログインに焦点をあてた対策について解説します。

不正ログインが多いWordPress

当社には、レンタルサーバー事業者のパートナー企業が多く、共同セミナーや情報交換をする機会も多いのですが、その際に「今、セキュリティ上の問題で特に困っているのは何ですか?」と問いかけると、「やはりWordPressの不正ログインがね」と言われることがあります。後述しますが、セキュリティプラグインの効果もあり、当社としても少なからず、WordPressのセキュリティには貢献できていると自負していますが、それでも万全ではないのだなと痛感させられます。

WordPressは優れたCMS(コンテンツマネジメントシステム)であり、当社でも有効に活用しています。その一方で、セキュリティの観点ではイマイチだなと思う仕様があったりします。故に、WordPressの不正ログインが後を絶たない要因になっていると考えられますが、それを一般の利用者が理解することは難しく、当社のようなセキュリティ企業が対策の推進という役割を担う必要があると思っています。

信頼の純国産ソフトウェア型WAF SiteGuardシリーズ製品概要
「SiteGuardシリーズ」ソフトウェアライセンス価格表

WordPressのユーザー情報は簡単に分かる?

結論から言うと、WordPressを標準の状態で使用しているとユーザー情報はバレると思って間違いありません。一例となりますが、以下のようなリクエストを送信することで、ユーザー情報を確認することができます。

wp-author

ほかにもREST-APIによる確認方法があるのですが、これはエンジニアの方に説明をしても「え!そうなの?」と言われることがあります。

WordPressのセキュリティを考える上では、ユーザー情報は知られてしまうもの、その前提で対策を考える必要があるのです。

WordPressは、ファイル・ディレクトリ構成が知られている

ユーザー情報が分かったところで、と思うかもしれませんが、WordPressは、ログインページであればwp-login.phpで、管理ページであればwp-adminのようにファイルとディレクトリの構成がよく知られています。

  • ログインページ:/wp-login.php
  • 管理ページ:/wp-admin/
  • コメント投稿:/wp-comments-post.php
  • テーマ・プラグイン・画像:/wp-content
  • コア:/wp-includes
  • 設定ファイル:/wp-config.php など

つまり、攻撃者からすると、容易にここまで辿りつくことができるのです。

wp-login

さらに、WordPressのログイン失敗時のエラーメッセージですが、利用者にとって親切であると考えられる一面はあるものの、やはりセキュリティ上は好ましくないと考えられます。ユーザーが存在しないことが分かったり、パスワードが間違っていることを伝えるようなメッセージではなく、「ログインに失敗しました。入力内容を確認してください。」といったメッセージにするのが適切です。

そうなると、最後の砦は「パスワード」であり、簡単で推測しやすいパスワードを使用していると、たちまち不正ログインの被害に遭ってしまいます。基本中の基本であるパスワードは、強固なものを使用するようにしましょう。

セキュリティプラグインの有効活用

WordPressは優れたCMSであり、様々なテーマ・プラグインが存在し、デザインだけでなく、利用者の利便性を高めたWebサイトを構築することができます。プラグインの有効活用としては、ぜひセキュリティプラグインにも目を向けていただきたいと考えています。当社は、WordPressの発展とセキュリティに貢献したいという思いから「SiteGuard WP Plugin」というセキュリティプラグインを提供しています。WordPress公式に登録しているプラグインであり、どなたでも無償で利用することができます。

ログインと管理ページの保護に注力したプラグインとなっており、WordPressのユーザー情報漏洩の防止やログインページ変更の機能を備えています。前述のログイン失敗時のエラーメッセージを単一にする機能もあります。

wp-plugin

ほかにも様々なセキュリティプラグインがありますので、自らのWebサイトに合ったプラグインを活用し、ぜひセキュリティの向上に努めてください。

WAFによるWordPressのセキュリティ対策

WordPressなどで構築されたWebサイトを保護するセキュリティ対策として、WAF(ウェブアプリケーションファイアウォール)があります。WAFは、SQLインジェクションやXSSなどのWebアプリケーションの脆弱性を悪用した攻撃からWebサイトを保護するソリューションであり、WordPressなどの独自仕様に合わせた防御ルールを作成することもできます。

WAF-1-Jun-04-2021-06-42-43-20-PM

WordPress、テーマやプラグインにおいても、これらの脆弱性が発見されることがあり、特にテーマとプラグインについては、必ずしもセキュリティに配慮されているとはかぎらず、作者次第という側面もあります。万一に備えて、WAFのようなセキュリティ対策を併用することは、ワンランク上のWebセキュリティを実現するための一つの選択肢となります。

セキュリティに完璧はありませんが、できることから始めるという気持ちが大切です。WordPressのセキュリティ対策に、ぜひEGセキュアソリューションズのソリューションを役立ててください。

WAF(Web Application Firewall)とは

RECENT POST「Webセキュリティ」の最新記事


Webセキュリティ

WordPressの設定ファイルの安全性とディレクトリトラバーサル

Webセキュリティ

改ざん検知とは?仕組みや注意点、改ざんの被害事例を解説

Webセキュリティ

Webサイトの脆弱性とは?サイバー攻撃を防ぐ対策をご紹介

Webセキュリティ

slowloris攻撃とは ウェブサーバーの脆弱性対策に有効な実践的対策

ユーザー情報が分かる!?WordPressの不正ログイン対策
WAFとは~WAF選定・導入のポイントとSiteGuardが選ばれる理由~
導入事例
RECENT POST 最新記事
ブログ無料購読
RANKING人気記事ランキング