日本国内だけでなく、世界的にも有名でシェアの高いWordPressを知っている人は多いのではないでしょうか。テーマやプラグインを活用することで、デザインが洗練されたブログやコーポレートサイトを制作したり、ECサイトなどを運営することもできるWordPressですが、セキュリティ上の課題を指摘されることもしばしば。本稿では、そんなWordPressのセキュリティについて、不正ログインに焦点をあてた対策について解説します。
不正ログインが多いWordPress
当社には、レンタルサーバー事業者のパートナー企業が多く、共同セミナーや情報交換をする機会も多いのですが、その際に「今、セキュリティ上の問題で特に困っているのは何ですか?」と問いかけると、「やはりWordPressの不正ログインがね」と言われることがあります。後述しますが、セキュリティプラグインの効果もあり、当社としても少なからず、WordPressのセキュリティには貢献できていると自負していますが、それでも万全ではないのだなと痛感させられます。
WordPressは優れたCMS(コンテンツマネジメントシステム)であり、当社でも有効に活用しています。その一方で、セキュリティの観点ではイマイチだなと思う仕様があったりします。故に、WordPressの不正ログインが後を絶たない要因になっていると考えられますが、それを一般の利用者が理解することは難しく、当社のようなセキュリティ企業が対策の推進という役割を担う必要があると思っています。
JP-Secure Labs Report Vol.02
(2018年9月5日発行)
本レポートでは、当社パートナー企業のサービスを利用しているユーザー向けに、「WordPress」、「Drupal」といったCMS(Content Management System)のセキュリティに関する情報を中心にまとめています。また、本レポートでは、当社の定点観測で収集された情報をもとにした不正アクセスの傾向についても取り上げます。
WordPressのユーザー情報は簡単に分かる?
結論から言うと、WordPressを標準の状態で使用しているとユーザー情報はバレると思って間違いありません。一例となりますが、以下のようなリクエストを送信することで、ユーザー情報を確認することができます。
ほかにもREST-APIによる確認方法があるのですが、これはエンジニアの方に説明をしても「え!そうなの?」と言われることがあります。
WordPressのセキュリティを考える上では、ユーザー情報は知られてしまうもの、その前提で対策を考える必要があるのです。
WordPressは、ファイル・ディレクトリ構成が知られている
ユーザー情報が分かったところで、と思うかもしれませんが、WordPressは、ログインページであればwp-login.phpで、管理ページであればwp-adminのようにファイルとディレクトリの構成がよく知られています。
- ログインページ:/wp-login.php
- 管理ページ:/wp-admin/
- コメント投稿:/wp-comments-post.php
- テーマ・プラグイン・画像:/wp-content
- コア:/wp-includes
- 設定ファイル:/wp-config.php など
つまり、攻撃者からすると、容易にここまで辿りつくことができるのです。
さらに、WordPressのログイン失敗時のエラーメッセージですが、利用者にとって親切であると考えられる一面はあるものの、やはりセキュリティ上は好ましくないと考えられます。ユーザーが存在しないことが分かったり、パスワードが間違っていることを伝えるようなメッセージではなく、「ログインに失敗しました。入力内容を確認してください。」といったメッセージにするのが適切です。
そうなると、最後の砦は「パスワード」であり、簡単で推測しやすいパスワードを使用していると、たちまち不正ログインの被害に遭ってしまいます。基本中の基本であるパスワードは、強固なものを使用するようにしましょう。
セキュリティプラグインの有効活用
WordPressは優れたCMSであり、様々なテーマ・プラグインが存在し、デザインだけでなく、利用者の利便性を高めたWebサイトを構築することができます。プラグインの有効活用としては、ぜひセキュリティプラグインにも目を向けていただきたいと考えています。当社は、WordPressの発展とセキュリティに貢献したいという思いから「SiteGuard WP Plugin」というセキュリティプラグインを提供しています。WordPress公式に登録しているプラグインであり、どなたでも無償で利用することができます。
ログインと管理ページの保護に注力したプラグインとなっており、WordPressのユーザー情報漏洩の防止やログインページ変更の機能を備えています。前述のログイン失敗時のエラーメッセージを単一にする機能もあります。
ほかにも様々なセキュリティプラグインがありますので、自らのWebサイトに合ったプラグインを活用し、ぜひセキュリティの向上に努めてください。
WAFによるWordPressのセキュリティ対策
WordPressなどで構築されたWebサイトを保護するセキュリティ対策として、WAF(ウェブアプリケーションファイアウォール)があります。WAFは、SQLインジェクションやXSSなどのWebアプリケーションの脆弱性を悪用した攻撃からWebサイトを保護するソリューションであり、WordPressなどの独自仕様に合わせた防御ルールを作成することもできます。
WordPress、テーマやプラグインにおいても、これらの脆弱性が発見されることがあり、特にテーマとプラグインについては、必ずしもセキュリティに配慮されているとはかぎらず、作者次第という側面もあります。万一に備えて、WAFのようなセキュリティ対策を併用することは、ワンランク上のWebセキュリティを実現するための一つの選択肢となります。
セキュリティに完璧はありませんが、できることから始めるという気持ちが大切です。WordPressのセキュリティ対策に、ぜひEGセキュアソリューションズのソリューションを役立ててください。
WAFとは
Webアプリケーションファイアウォール(WAF:Web Application Firewall)は、ウェブサイトに対するアプリケーションレイヤの攻撃対策に特化したセキュリティ対策です。
