WordPressと無料ブログのセキュリティ

今までほとんどツイッターは触っていなかったのですが、仕事の調査のために自分のアカウントを登録してみました。

そこは・・・なるほど、140文字という制限のためか意図したことが伝わりにくく、さらに気軽につぶやけるためか、相手にどのように伝わるかをあまり意識していないものも多いようです。
その気軽さがいいのかもしれませんが。

さて、そのツイッターで見かけたものの中に、

はてなブログがWordPressよりセキュアなわけがない。SiteGuardなどの優秀なプラグインもあるのに。はてなブログはブルートフォースアタックの辞書攻撃に対して脆弱（丁寧語に翻訳済み）

というものがありました。

そもそも、なぜそんな議論になるのかが分かりません。
つぶやいた人はよほど、はてなブログのセキュリティに詳しいのでしょう・・・と思ってはてなブログのセキュリティについて検索してみたけれど、不正ログインの通知機能以外は、何があるのか情報が見つかりませんでした。
例えば、WAFが導入されているのか、IDS／IPSが導入されていのかも分かりません。
ブルートフォースアタックに対して脆弱なのかどうかも良く分からず、それを言ってはWordPressはデフォルトではブルートフォースアタックに対して脆弱でしょう。

WordPressのセキュリティ向上

WordPressを利用したサイトでの改ざんなどのニュースはときどき耳にします。

• 2011年 11月　heteml　改ざん行為が行われる事例が多発しています
• 2013年 9月　ロリポップ　第三者によるユーザーサイトの改ざん被害に関するご報告

他にもInterQでもロリポップと同時期に改ざんがあったようですが、公式の記事は見つかりませんでした。

WordPressへの攻撃は頻繁に行われて何らかの脆弱性をついた改ざんが行われているようで、改ざんされたサイトを復旧します、という商売まであります。
よく使われているがゆえに古いバージョンでのセキュリティホールや、それに対する攻撃方法も広く知られているということもあるのでしょう。
しかし、WordPressではサイトをセキュアにしようと思えば、手間隙と技術力があればどこまでもセキュアにすることができます。

SiteGuardなどのプラグインを入れると、ログインに関してはある程度セキュアにできますし、ログイン画面にBasic認証を使って容易に2段階の認証を導入することもできます。
技術力があれば加えてワンタイムパスワードやCAPTCHAの機能を実装することもできるでしょう。（それらを実現するプラグインも見つけることができるでしょう）

さらに、攻撃として一般的なSQLインジェクションやクロスサイトスクリプティングについてはどうでしょうか。
残念ながらプラグインで解決できるどころか、プラグインにこれらの脆弱性が組み込まれていることも珍しいことではありません。

IPA 脆弱性対策情報、【注意喚起】

2015年にはAll In One WP Security & Firewall」というセキュリティ対策のプラグインにクロスサイト・リクエスト・フォージェリの脆弱性が発見されるという、プラグインを入れたらいいのか入れない方がいいのか、迷うような事象も発生しています。

しかし、このような脆弱性は日々対策・改善されており、ゼロデイ攻撃を受けない限りはプラグイン、テーマ、WordPress自体のアップデートを続けていったり、アップデートが滞っているプラグインについては別のプラグインを選定しなおしてインストールしていけば回避できる、という意見もあります。
アップデートしたらログインできなくなったり、表示が崩れたり、あるいは画面が真っ白になったりしても、技術力があれば自分で調査して復旧することももちろん可能です。
フォーラムに質問することもできます。

しかし、ブログを書いている大半の人はそんなことをしながらブログを書きたくはないでしょう。
お店の広告戦略の一環としてブログを書いているのに、セキュリティがどうこう、アップデートがどうこう、などということは気にしたくないでしょう。
そんなことに時間をかけたり頭を悩ませる意味が分からない。
本業の忙しい合間を縫ってやっている、本業のためのブログなのに。
どこかで勝手にセキュアに保っておいて欲しい。
サーバー会社にはお金払ってるんだし。
というのが世間一般の認識ではないでしょうか。

無料ブログのセキュリティ向上

ブログ運営会社の人が勝手にやってくれます。
大抵の無料ブログではプラグインで自由に機能を拡張できず、利用者がサーバーサイドのプログラムを作りこむ余地がありません。
その分、脆弱性の生まれる可能性がある箇所を少なくすることが可能で、脆弱性自体が発生しにくい構造と言えるでしょう。

もちろん、機能が追加されたりデータベースなどのミドルウェアが変更されたりなどはするので、ブログ運営会社は継続的に脆弱性監査を行ってアップデートしていくことが重要でしょう。
脆弱性対応は無料ブログだけではなく、WordPressなどのCMSでも同じことですが、無料ブログではブログ書いている人が何もしなくても勝手にアップデートしてくれます。
そのアップデートで何か不都合が発生したら、運営会社に問合せすればさらに対応してもらえるでしょう。
ただ、無料ですので素早くはなさそうですが・・・

ざっくりと検索してみたところ、無料ブログの皆さんでどのような脆弱性が発見されて、どのような対策がなされた、といったような記事は見つけることができませんでした。
無料ブログが何かの攻撃を受けて多数のサイトが改ざんされたり、マルウェアサイトにリダイレクトされたなどといった記事は少ないですがありました。

• 2014年 5月　JUGEM Flash Playerの脆弱性を利用された改ざん
• 2013年 6月 忍者ホームページ PCがウィルスに感染しFTP情報を盗まれて改ざん

ツイッターで指摘のあった、ブルートフォースアタックでパスワードが漏れたといった記事は見つかりませんでした。
WordPressでは以前はadminというデフォルトユーザを利用していたために、被害が頻発していたようです。
ただ、WordPress、無料ブログ共に今は被害が発生していないとは言えないでしょう。

私なりの結論

どちらの方がセキュアとは言えない。

セキュリティ対策自分でやれるあるいは運用を専門家に委託できる方はWordPressでセキュアにブログ運用していけるでしょう。
だれにも頼めない上に時間もかけられない人は、システム運営側がセキュリティ対策を行ってくれる無料ブログを使えば良いでしょう。

無料ブログのセキュリティ対策についてはあまり公開されていない様子ですが、WordPressを選ぼうと、無料ブログを選ぼうと、そのシステム以外の部分にも脆弱性がある限り、ブログシステムの利用にはセキュリティリスクはあります。