ふだんWordPressでブログを運営していると、
- どうしたらカッコよくみせるか
- いかに速く表示させるか
ということに目が行きがちです。それらに比べて、どのように安全を保つかというセキュリティに関しては、ついおろそかになりがちです。
そこで、先日さくらインターネットさんが主催する、さくらのビアバッシュ in DEP.@神戸元町に行ってきました。
目次
WordPressのセキュリティ
この日は3時間の勉強会で、5人の方からお話を聞くことができました。うち、4人の方は、WordPressのセキュリティに直接関わる内容です。
- 1.悪用のされ方の変遷
- 2.どんな人がやっているのか
- 3.動機
- 4.なぜWordPressが狙われるのか
- 5.侵入経路
- 6.影響
- 7.対策
- 8.不正アクセスや、サイトの改ざんがされたときの対応
これらの8項目について、もう少し詳しくに見ていきましょう。
1.悪用のされ方の変遷
技術力の高い人が、みずからの技術力を誇示するためにハッキング
↓
技術力の低い人もおもしろ半分でハッキング
(ハッキングの方法の共有化、ツール化)
↓
犯罪者集団による、お金儲けのためのハッキング
(組織的に、計画的に、地道に、真面目に。人海戦術的なアプローチ)
2.どんな人がやっているのか
- ハクティビスト(社会的・政治的な主張を目的とするハッキング活動者)
- マルウェアの配布者(不正かつ有害な動作を行う意図で作成された悪意のあるソフトウェアや悪質なコードを実行する者)
- 標的型攻撃者(特定のターゲットに対して特定の目的のために行うサイバー攻撃を実行する者)
3.動機
- 自己顕示欲
- ハクティビズム
- おカネ
- 恨み
- 無差別。誰でも何でも良い
4.なぜWordPressが狙われるのか
- 圧倒的なユーザー数がいるから
- 編集者などのユーザ管理が行き届かないから(100人以上の編集者をかかえるサイトもある)
- サードパーティ製ソフトウェア(テーマやプラグイン)がそろっているから
5.侵入経路
- WordPressのログイン認証(wp-login.php)を突破する(さくらインターネットで発見される、WordPressに対する不正アクセスの約8割は、WordPress管理画面への不正ログイン)
- テーマやプラグインの脆弱性
- FTP認証の突破
- インストール途中のWordPress
6.影響
- wp-login.phpなどのファイルが、不自然な多数の国外ホストから異常な数のアクセスをうける
- ファイルマネージャプログラムを入れ込まれて好き勝手なファイルを置かれる
- 電子メールを大量送信されるプログラムをおかれる
- 不正なアダルトサイトや薬品販売サイトへリダイレクトさせてしまう
- ネットワーク攻撃用のプログラムをおかれる
- シェルプログラムをおかれる
7.対策
(初級者編)
- adminユーザーは使わない
- 強度の高いパスワードを使用する
- 定期的に更新される公式テーマや公式プラグインを使う
- 使わないテーマ、プラグインは削除する
- 日頃からデータのバックアップやエクスポートをしておく
- セキュリティに詳しい人とお友達になる
(中級者編)
(さくらのレンタルサーバー専用編)
- 管理画面へのアクセス制限
- 国外IPフィルタリング
- ログイン履歴
- パスワード強度チェック
- 関連プログラム、セキュリティホールなどの脆弱性への対応作業
- SPFレコード対応
- エラーメール(postmaster@割当サブドメイン)
8.不正アクセスや、サイトの改ざんがされたときの対応
- サーバ公開領域上のデータベースをすべて削除した上で、WordPressの再インストール
- 被害の状況を正確かつ迅速に利用者に伝える
まとめ
話の内容をまとめていくと、手口や背景がどんなに複雑化しても、7番目の対策については、みなさん同じことをおっしゃってました。
何が初級者用か中級者用かというのは自分の主観ですが、前者は誰にでもできそうなことです。WordPressをはじめて触るという人は、ぜひ実践してみてください。
〔参考サイト〕