wordpressはなぜ危険なのか
世界でのシェアが27%となっており、世界で最もシェアを誇るCMSとなっています。
シェアが最大なので脆弱性の情報が多く、また広がりやすいのが理由です。
ですので、適切な対策を行っていきましょう。
wordpressのセキュリティ
大きく分けて以下の2つの対策となります。
脆弱性対策
wordpressのバージョンを最新バージョンを使用するようにしましょう。
プラグインを使用する際は、wordpress本体に合わせて更新されているプラグインを使用するようにしましょう。
wordpress本体のバージョンは、外部からでも確認することが出来てしまいます。
バージョン情報を隠蔽。
readme.htmlを削除。
をするなどで、バージョン情報を隠す事はできますが、
大きな効果は見込めないので、しっかりバージョンアップしましょう。
本体より、テーマや拡張機能(プラグイン)の脆弱数が多い
プラグインの脆弱で
XSSやSQLインジェクションで大半を占めている
トラバーサル系の攻撃
../../wp-config.phpにアクセスしてSQLの情報を盗む
不正ログイン対策
強固なパスワードをしようする
ログインページを保護する
wp-config.phpのアクセスを禁止する
ウェブアプリケーションやワードプレスの脆弱性を防御するソリューションを活用(WAFやIPS)
WAF・・・ウェブアプリケーションファイヤーウォールのこと。
Webアプリケーションのぜい弱性を悪用した攻撃からWebサイトを保護するセキュリティ対策。
Webサーバーの前段に設置して通信を解析・検査し、こうした攻撃からWebサイトを保護し、不正ログインを防ぐ役割で用いられます。
- 強固なパスワードにする。
- adminを使用しない。
- ログインページにBasic認証する。
- 接続元IPアドレスでアクセス制御する。
- author.phpに対して対策をする。
同じID、パスワードでを使いまわさないのは基本です。
URLを操作し、「サイトドメイン/?author=数値」でIDを簡単に見つけられてしまいます。
author.phpに対して対策として、リダイレクトの設定をする。
ログインページにBasic認証を設定する。
接続元IPアドレスでアクセス制御する。
SiteGuard WP Pluginを使用する
セキュリティに関するプラグインで「SiteGuard WP Plugin」というものがあります。
管理ページとログインページの保護をすることができるプラグインで、無料で使用できます。
以下のような機能があります。
- ログインページ名の変更が可能
- 繰り返しログインに失敗している接続元をブロック
- ログインページに画像認証を設定
- 二段階認証、ワンタイムパスワードに対応
不正ログイン対策には、とても効果的ですので、ぜひ使用してみてください。
その他対策
- 未使用のテーマは停止だけではなく削除
- バックアップを取得
- 脆弱診断サービス(wp-portal.net)
- サイトをHTTPS 常時SSL
- ログイン経路としてSSHやFTPのアクセスにも注意
まとめ
- 本体を常に更新。マイナーバージョンの自動更新
- ログインアカウントのパスワードを複雑化
- ログインページをBasic認証を設定
- ワードプレスプラグインのSiteGuard WP Pluginを使う
- author.phpに対して対策
- バージョン情報を隠蔽、readme.htmlを削除
- WAF(ウェブアプリケーションファイヤーウォール)を使う
