Useful Information
サイト管理者の皆さん、サイトのセキュリティ対策は万全でしょうか?
近年、WordPressの脆弱性が指摘されています。WordPressの脆弱性が狙い撃ちされ、コンテンツの改ざんや乗っ取り、情報の不正取得など、さまざまな悪影響が報告されているのです。
この記事では、WordPressの脆弱性について詳しく解説したうえで、簡単に実行できるセキュリティ対策についてもお伝えします。
Word Pressは世界シェア1位のCMSです。このページをご覧になっている方も、自社サイトをWord Pressで更新している方が多いのではないでしょうか。
初心者でも使いやすく、プラグインを使ってさまざまな機能を追加できるWord Pressですが、一方で、サイバー攻撃のターゲットになりやすいことでも知られています。
実際に、2021年の12月7日から9日にかけて、160万以上のWord Pressサイトが攻撃されたとの報告もあります。
主にターゲットとされるのは、プラグインの脆弱性を突いたものです。
具体的には、『Word Pressのプラグインのバージョンが古いまま放置されたことで、Webサイトが改ざんされ、悪意のあるサイトに誘導される状態になったケース』、『Webサイト制作のテスト環境にインストールしたWord Pressプラグインをアップデートせず放置していたため、サイトが改ざんされ、メール送信機能を悪用して大量のスパムメールが送信されてしまったケース』などの事例が挙げられます。
そのほか、Word Press本体についても、脆弱性が指摘されています。Word Press本体のアップデート漏れにより、サイトが改ざんされ、悪意のある外部サイトへ誘導される状態になってしまったケースです。
前述のケースのように、Word Pressプラグインの脆弱性を突いた攻撃によるリスクは、以下のようなものがあります。
Webサイトの改ざん:不正アクセスによって、Webサイトの内容が全く別のものに書き換えられてしまう、等
情報漏洩:Webサーバー上にある個人情報や機密情報が漏洩してしまう、等
その他、意図せぬ犯罪行為への加担:Webサイトが改竄されることにより訪問者をマルウェア感染させてしまう、サイバー攻撃に利用されてしまう、等
プラグインやテーマのアップデート情報を常にチェックし、更新があれば早期にアップデートを行う。
Word Press本体も、バージョンが古いまま使用していると脆弱性を突かれるリスクがあるため、更新プログラムが配布された際は速やかにアップデートする。
管理画面の認証情報の漏洩を防ぐため、Webブラウザのパスワード管理機能を利用したり、Word Pressの二段階認証を導入する。
Word Pressのセキュリティ用プラグイン(SiteGuardなど)を導入することも検討する。またその際には信頼性のあるプラグインかよく確認し、適切なバージョン管理を行う。
セキュリティ対策まで手が回らなかったり、知識に自信がない場合などは、サイトの保守・運用を外部に依頼する方法もある。サイト制作者に相談するなど、セキュリティで疑問や不安が生じた時にいつでも相談できるパートナーがいれば心強い。
万全なセキュリティ対策を講じるならば、いっそWord Pressを利用しないという選択肢も考えられます。Word Pressは無料で使えて多くの機能がある便利なツールですが、無料であるがゆえに多くの企業やユーザーが導入したため、サイバー攻撃のターゲットにされてしまうという側面もあります。自社の取引先や顧客を守り、信頼性を担保するためにも、セキュリティリスクのあるWord Pressから他サービスへ切り替えることも一案です。
例えば、簡易型CMSであれば、シンプルな更新の役割は果たしてくれます。また、セキュリティの高さを求めるのであればNORENやBlueMonkeyといったCMSもおすすめです。自社サイトの特性や価格に合わせて選ぶことが大切です。
また、もしWord Pressでの更新頻度が少ないのであれば、自社サイトは会社概要やサービス紹介などの基本的なページのみを残し、最新情報の更新や問い合わせフォームはInstagramやLINE@、Facebook等を利用する方法もあります。
当然ながら、サイトがある以上、サーバーへの侵入を防ぐための対策は必須ですので、適切な管理が求められます。
誰でも簡単に使えると好評の『BlueMonkey』は、万全のセキュリティ機能を備えたCMSです。
セキュリティ対策は単一の施策ではWebサイト全体を保護することは困難です。BlueMonkeyはD-Dos対策やD-IPS対策、D-FWなどネットワークでの対策と、WAF(ウェブアプリケーションファイヤーウォール)やパッチマネジメントなどWebサーバーでの対策が標準機能として備わっています。「1つ1つのセキュリティ対策を自力で行うのは大変」「今のセキュリティ対策に抜け漏れがあったらどうしよう」などでお困りのサイト管理者には、特におすすめです。
Blue Monkeyはこちらから。
Word Pressを使用しているサイトでは、プラグインの脆弱性を突いたサイバー攻撃のリスクが指摘されています。セキュリティ対策として、Word Press本体やプラグインの定期的な更新を行うほか、アカウント情報の適切な管理が大切。また、万全なセキュリティ対策のためには、セキュリティの高いCMSの導入や専門性の高い外部アドバイザーに相談することも検討してはいかがでしょうか。