WordPressに限らず、CMSやECパッケージなどの脆弱性は頻繁に報告されています。
IPAに報告されているだけでこんなにもあります。
このリストの中でWordPress関連の出現頻度の高いこと・・・
2005年から2016年まででApache(24回)やJava(25回)には及びませんが17回に及びます。
しかもこのリストはIPAに報告されたものだけであり、実在する脆弱性の数はこの何十倍だか何百倍だか想像できないほどです。
だったらWordPressを使うのは危険ではないのか。
無料ブログを使った方がいいのではないか。
なんといっても無料ではないか。
無料。
無料はどうでもよくて、でもそれも一つの選択肢かと思います。
確かにWordPressが広く使われていることが多くのプラグインを大量に生み出し、そのプラグインに脆弱性が埋め込まれる、という構図になっています。
しかしまた、注目度も高いことから脆弱性の発見数も多くなっているものと思われます。
これら報告されている脆弱性、
・クロスサイトスクリプティング
・SQLインジェクション
・クロスサイトリクエストフォージェリ
など、外国語ばかりで自分のサイトを攻撃から守りたいだけの人はもうこの記事を読む気も失せたと思いますが、このような脆弱性への対策は開発者の仕事であり、このような脆弱性に加えてブルートフォースアタックという何という戦隊の必殺技なのかよく分からない攻撃まで存在するに至ってはブログ更新担当であるあなたはもう神や仏か、チューリングにでも祈るしかない・・・わけではありません。
技術的なことを知らなくてもできることがあります。
1.プラグインとWordPressを最新版に更新する
これはWordPressの管理画面からボタンひとつで出来ることです。
IPAにも報告されていない(もちろん報告されているものも含めて)数々の脆弱性を修正し、新しく発見された攻撃方法にも対策が施されたバージョンを使うことができます。
ただし、バージョンアップによって他のプラグインとの競合などにより、サイトの動作に不都合をきたす可能性もゼロではありません。
そのような不安がある場合は、会社であればWebサイトの運用を請け負ってくれる会社に委託するのが一番安心できます。
個人の方であれば、可能であればプラグインのアップデートの内容を確認するのも良いでしょう。
不要な機能追加でリスクを犯す必要は全くありません。
セキュリティ向上を狙った結果サイトの動作に不都合が発生した場合は、それを解決する努力をすることが望ましいです。
プラグインの使用を一時的に中断し、プラグインの製作者やフォーラムに助けを求めることができます。
私(の会社に)相談することもできます。
また、同じ機能を持った他のプラグインに変更することもできます。
また、バックアップを取っておくことも非常に重要です。
管理画面の「ツール」メニューから 投稿、固定ページ、メディアをエクスポートすることができます。
これを定期的に取っておけば、サイトに何か発生してもインポート処理で復旧できる可能性は非常に高くなります。
2.セキュリティ対策を謳っているサーバーを使う
近年、ハッキングによる個人情報漏洩などの被害などが大きく報道されており(パナマ文書の事件は記憶に新しいですね)、各レンタルサーバーも様々なセキュリティ対策機能を実装しています。
WAFと呼ばれるアプリケーションへの攻撃を検知/防御するものや、脆弱性診断を行うものなど、差別化の意味もあって各社充実を計っています。
そのようなレンタルサーバーの中でセキュリティ効果が高いと思われるものを利用することも重要です。
しかし、どれがどのように効果的なのかは、レンタルサーバー会社のサイトにある解説だけでは分かりにくいのが現状です。
これについては別途記事を書く予定です。
2016/06/29 追記:
記事を書きました レンタルサーバーによるセキュリティ対応比較(1)
3.堅牢度の高いパスワードを設定する
攻撃者がログインパスワードを割り出すために、総当り攻撃(ブルートフォースアタック)がよく行われています。
一般的なキーワードの辞書を試したり、文字列を順番に変更して全ての組み合わせを試したりしてパスワードを盗み出す方法です。
プログラムで自動的に行うので一秒間に数十回、あるいは数百回試行することが可能で、論理的には時間さえかければ必ず盗み取られてしまいます。
しかし、連続した異常なアクセスに対してサーバー側で通信を遮断されてしまう場合や、攻撃者も永遠には攻撃元を隠した状態を維持できるとは限らないため、複雑なパスワードを設定して攻撃に時間がかかるようにしておけば、盗み出される危険性を低下させることができます。
最近では、複雑なパスワードを自動生成してくれるサービスなどもよくありますが、「eA6myGpt56D」などといったパスワードを覚えておくのはなかなか至難の業ですよね。
そこで、私が提案するパスワードは以下のようなものです。
母の旧姓 + ペットの名前 + 父が生まれた年(和暦) = NakagiMimichan13
自分の名前を逆にする + 自分の生まれ年の逆(和暦) + 趣味の逆 = Shikatakanata95Flog
なかなか堅牢度の高いパスワードができました。
覚えれそうな感じもします。
うまく組み込めば、奥さんの誕生日を忘れて起こられなくて済むかもしれません。
ちなみに、私はたなかたかしでもありませんし、趣味はゴルフではなくタナゴ釣りです。
4.セキュリティ対策のプラグインをインストールする
先ほどからプラグインに脆弱性が、という話の流れになっていて、しかもIPAの脆弱性リストの中にはセキュリティを高めるためのプラグインに脆弱性が見つかるという、皆さんの中にどうしたらいいか迷うような事態が発生していることと思います。
また、あまりにもSecurityと名のつくプラグインが多く、どれを入れたらいいかも分からないと思います。
しかしWordPressを使う以上、公式サイトで紹介されているようなプラグインやインターネットの情報をよくよく検討し、あるいは制作会社に相談してみるのもいいかもしれませんが、何がしかのプラグインで脆弱性の穴を塞いだり、攻撃から身を守ったりすることは非常に重要だと思います。
5.ウィルスチェックソフトをインストールする
パソコンがウィルスに感染すると、そのウィルスからアクセスしているサイトのログインID、パスワードが外部に送信されてしまう恐れがあります。
そのサイトの中にはもちろんWordPressも含まれ、実際に被害が発生しています。
また、FTPソフトなどでファイルをアップロードしている場合にこのパスワードが漏洩すると、改竄どころでは済まない致命的な被害にあうかもしれません。
どこのウィルスチェックソフトがいいか、については参考になるサイトがたくさんあると思います。
私自身も専門ではありませんので、これがいい!といった指定はないですがインターネットにアクセスする以上、ウィルスチェックソフトのインストールは必須と言えます。
そして今まさに、そんなあなたを攻撃から守るためのプラグインを開発中です。
確かにそのようなプラグインはたくさんありますが、おのおの出来ることも異なりますし、選択肢は多い方が良いのです。
非常にシンプルに攻撃を回避するものになる予定です。
本当に長々と書きましたが、最後の宣伝が一番重要です。
いや、他のことも全部本当なんですけど。