WordPressの脆弱性が多いかどうかは一概には言えないところでもありますがWPは、
- 利用者が多い(日本国内では’7割以上のサイトがWPで作られている)
- 初心者の方でもクオリティにこだわらなければ、比較的簡単に作れてしまう
- 利用者が多いのに未メンテナスで放置されてしまっている
- プラグイン、本体のアップデートが適切にされていない
上記のようなことも関係して、セキュリティ関連で悪いイメージを持たれている方が多いと分析します。
実際に調査してみたところ、WPのセキュリティプラグインに関わっている「ithemes」からWordPress脆弱性に関するレポートが出ておりまして、2022年のWordPressの脆弱性の99%はプラグインとテーマ経由だったようです。
Two percent of WordPress plugins are responsible for 99% of the vulnerabilities.
https://ithemes.com/blog/the-2022-wordpress-vulnerability-annual-report/
これはWordPressの特性(プラグインを使用することで低コストで機能を実装できる)が大きく影響しているかと思います。
※低コストで欲しい機能が実装できる反面、そのプラグインの制作者がメンテナンスせずに放置してしまうこともあるためリスクを抱えたままHPが運用されてしまうケースが多い
他にもWordPress本体の適切なアップデートができないと、本体のセキュリティリスクも跳ね上がるかと思います。
2022年に見つかった本体の脆弱性は全体の2%ほどですが、もっと前のバージョンなどを使っている場合は当然その限りではないかと。※2023年9月現在最新バージョンは6.3系です。
WordPressの脆弱性が多くなりやすい原因も紹介できたところで、今回は攻撃方法の紹介と対応策を紹介していきます。
WordPressの脆弱性をついた攻撃手法一覧
SQLインジェクション
SQLインジェクション(SQL Injection)は、Webアプリケーションやデータベースシステムのセキュリティ脆弱性の一つであり、攻撃者が不正なSQLクエリをデータベースに挿入することによって、システムに対する攻撃を行う手法です。
この攻撃は、不適切に設計されたアプリケーションや不十分な入力検証が行われた場合に発生しやすく、非常に深刻なセキュリティリスクとなります。
SQLインジェクションの攻撃成功時、攻撃者はデータベース内の情報を取得、変更、削除することができます。これにより、ユーザーの個人情報、機密データ、認証情報などが漏洩する可能性があります。
ブルートフォースアタック
ブルートフォースアタック(Brute Force Attack)は、暗号化されたデータ、パスワード、ピンコード、暗号鍵などの秘密情報を解読するために、すべての可能な組み合わせを試す方法です。
攻撃者は総当たりで可能なすべての値を試行し正しい値を見つけるまで続けます。
ブルートフォースアタックは、セキュリティシステムに対する攻撃手法として一般的に使用されます。
Dos攻撃
Distributed Denial of Service(DDoS)攻撃(分散型サービス拒否攻撃)は、攻撃者が複数のコンピューターまたはデバイスを使用して、ターゲットのウェブサービス、ネットワーク、またはインフラストラクチャーに過度なトラフィックを送信することによって、サービスの正常な提供を妨害する攻撃です。
ゼロデイ攻撃
ゼロデイ攻撃(Zero-Day Attack)は、ソフトウェアやハードウェアの脆弱性がまだ公には知られておらず、パッチやセキュリティアップデートが提供されていない状態で攻撃が行われるセキュリティ攻撃の一形態です。
クロスサイトスクリプティング
クロスサイトスクリプティング(Cross-Site Scripting、XSS)は、ウェブセキュリティの脆弱性であり、攻撃者が悪意のあるスクリプトコードをウェブページやアプリケーションに挿入し、ユーザーのブラウザ上で実行させる攻撃手法です。
XSS攻撃は、攻撃者がユーザーに対して信頼できるように見せかけたり、ユーザーのセッション情報を盗み取ったり、不正なアクションを実行したりするために利用されます。
すぐに実施すべきWordPressの脆弱性対策
最新のWordPressバージョンへアップデート
WordPressは定期的にアップデートを提供しています。
適切にアップデートを実施することでWordPressの脆弱性対策となります。
WordPressバージョンにPHP・テーマ・プラグインが追いついていないなど、特別な事情がない限りは、すぐにアップデートをすることをオススメします。
プラグインのアップデート
WordPress本体とは別にプラグインのアップデートも重要です。
頻度はそう多くはないと思いますが、プラグインに脆弱性が見つかるケースもあるのでしっかりとアップデートすることが大事になります。
ただ、アップデートすることでエラーとなるケースも稀にあるので不安でしたらWP本体アップデート同様に専門の制作会社にお願いするのが安全かと思います。
PHPのアップデート
WordPressはPHPというプログラミング言語で作られていて、そのPHPにもバージョンが存在しています。※2023年9月現在PHPは8系が最新となっています。
PHPにも脆弱性が見つかることがあるので、WordPress本体やプラグイン同様に適切にアップデートするのが重要です。
注意点としてWordPress本体やテーマ、プラグインが最新バージョンのPHPに対応していないということもあり得るので、PHPのバージョンアップはより慎重になるべきです。
ログインURLの変更
WordPressはデフォルトの状態だと、管理画面へのログインURLが全て共通となってしまっています。
こちら便利な反面、攻撃を受けるリスクが上がってしまうため、可能であればログインURLは特定のしにくいランダム文字列に変更したほうが安全です。
SiteGuard(サイトガード)などのプラグインを導入することで簡単に実装できます。
ユーザー名にニックネームを設定する
WordPressはデフォルトで、
ログインする際に必要な「ユーザー名」と「ニックネーム」が同じになっています。
ニックネームは、サイト内の様々な箇所で表示されますので、ニックネームを設定しておかないとログインする際に必要なユーザー名が第三者に筒抜けになってしまいます。
合わせてパスワードも推測しにくいランダム発行なもの変更するのがオススメです。
よりセキュリティを強化したいならシフターがおすすめ
実はセキュリティ対策しっかりしたとしても、要件によっては「WordPressNG」を出す会社さんもいます。
これは、WordPressは利用者が多いこと、動的なサイトという仕様上、静的に作られたサイトに比べてセキュリティリスクは上がってしまうことなどが理由にあげられます。
そういった場合に弊社が提案することがあるのがWordPressを静的に配信するサービス「Shifter (シフター) 」です。
詳しくはこちらの記事を見て欲しいのですが、シフターの機能の1つにWPの管理画面にアクセスしていない間はWPが停止しアクセスができなくなるというものがあります。
すごいですよね。
あれだけ、ログインURL変えましょう、ニックネーム変えましょうなどの対策をオススメしていたのに、シフターではそもそも管理画面にアクセスできないので、不正アクセスの心配もなくなります。
他にも、シフターは静的サイトになるので、今回紹介した他の脆弱性への対策になる箇所も多いですし、サイトのパフォーマンス改善が期待できる場合もあります。
弊社ではシフターの導入実績もあるため、お気軽にご相談いただけますと幸いです。
セキュリティ考えるならWordPressは導入せず単純な静的サイトとして作ってしまうのが確実です。
ただその場合は更新業務などができず不便になってしまうので社内に技術者がいない場合は、現実的ではないかと思います。
弊社ではWordPressのセキュリテイ対策もシフターの導入実績もあるため、いろいろな手段からお客様のHPに最適な方法を提案させていただきます!
まとめ
WordPressの脆弱性について紹介させていただきました。
こういった部分は攻撃を受けてからでは遅いので、早めの対策が求められるところだと思います。
弊社ではWordPressのアップデートはもちろんのこと、その後の保守管理まで豊富な対応実績がございますので、お気軽にご相談いただければと思います。
まずは相談からでも大丈夫です。
専門の担当者がしっかりとヒアリングをさせていただき、その結果に基づいて最適なご提案をさせていただきます。
