ホームページを作るならWordPressが良いという話を聞いたことはないでしょうか?
一般的にSEOに強く、管理が簡単で運用がしやすいということで2010年代半ば頃よりシェアを広げ今では世の中の3割以上のWebサイトがWordPressで作られるようになりました。
比較的簡単なプログラミングでWebサイトを構築が出来るのでWEB制作会社がお客様に納品するCMSとして選ばれるケースもとても多いです。
僕の地元の花巻市をはじめ盛岡市や北上市など岩手県内で作られているサイトもWordPressが選ばれるケースが多いと思います。
そして、WordPressは市販の有料のテンプレートによっては一切プログラミングをしないノーコードでサイトを構築出来たりするので独学でWEBサイトを作る人もとても多くなってきました。
しかし、WordPressで作られたであろうサイトをところどころ確認してみるとセキュリティ的に危ないまま運用されている印象があります。ものによっては全くのノーガードの場合もあります。
私も過去に練習で作ったサイトを非公開にし放置していたら不正アクセスされマルウェアを埋め込まれたことがあるのでセキュリティの脅威は身に染みて分かります。
本記事は以下にWordPressがセキュリティ的に危ないのかを解説したいと思います。
大手企業ではWordPressが禁止
大手企業なんかではWordPressが禁止されているのはご存知でしょうか?
その理由はWordPressの良さをかき消すほどセキュリティが危ないからです。
WordPressはサーバーインストール型なので一度でも不正ログインをされてしまうと、そのWordPressをインストールしているディレクトリから下層まで全てを覗くことが出来てしまいます。
そういったことにより以下の問題が発生します。
- ログインが出来ない!
- 悪質なコードを勝手にWordPress内部に埋め込まれる
- サイトを見るだけで詐欺サイトへ誘導される
- 違法サイトへの広告が表示させる
- データを消される
- 記事を改竄させらえる
- 記事内のリンクを書き換えらえる
- WordPressに関連するデータベースが覗かれる
- データベースのidとpasswordが覗かれる
- お問い合わせ先を勝手に変更される
上記以外にも様々な危険が考えられます。
しかし、もう一方こういう考え方もあります。
”不正アクセスなんてユーザー名とパスワードをしっかり守っていれば大丈夫じゃないの?”
しかし、WordPressはちょっとしたセキュリティ対策では防げない欠陥があります。
ユーザー名が簡単にバレる
WordPressはちゃんと対策をしないとユーザー名がバレバレなのはご存知でしょうか?
ユーザー名を知る方法はあえてここでは伏せますが、酷いWEB制作会社さんによってはユーザー名をadminにしたまま納品されているケースも見受けられました。
この問題は岩手県内の話では無く日本全国のWEB制作会社さんでありうる話です。
WEB制作を依頼する際は必ずユーザー名に関するセキュリティ対策をとることをお勧めします。
パスワードも解析されます
ユーザー名がバレてもパスワードさえ守っていれば大丈夫と思われがちですが、実はパスワードも簡単に解析されてしまうリスクがあるのはご存知でしょうか。
今のパソコンの性能だと英数字小文字だけの8桁のパスワードは1時間で解析可能と言われています。
その上で、ワードプレスにブルートフォースアタック(総当たり攻撃)という方法で不正ログインをされてしまいます。
このブルートフォースアタックはワードプレスの場合、ログイン画面のひらがな認証だけでは防ぎきれません。
ブルートフォースアタックから不正ログインを守るため、以下の対策を必ず実施する必要があります。
- パスワードは大文字英数字と記号を混ぜて8桁以上にする
- ログインの失敗回数に制限をかける 例:ログインに4回失敗したら1時間ログイン不可
- XML-RPCからのログインを無効にする
上記の対策はセットでする必要があります。
こちらもWEB制作を依頼する際は合わせて依頼することを強くお勧めいたします。
また出来ればログインURLをデフォルトの/wp-adminから変えることもお勧めします。
だれが不正アクセスしてくるのか?
不正アクセスのリスクはサイトのアクセス数や認知が低くても十分高いです。
そのほとんどの不正アクセスは海外から来ています。
なんのセキュリティ対策もしないままWordPressサイトを公開すると1週間で2,000回以上の不正にログインされそうになります。
そのアクセスが大体海外からです。不正アクセスの犯人は常にセキュリティの弱いWordPressサイトを探し不正にログインし悪質なコードを埋め込むべく自動で徘徊しています。
ですので、WordPressを設置するサーバーでも以下のセキュリティ対策がされているか必ずチェックする必要があります。
- 国外IPアドレスからの管理画面のアクセス制限
- 国外IPアドレスからのXML-RPCのアクセス制限
- 国外IPアドレスからのREST APIのアクセス制限
以上の対策がされているかこちらも必ず確認することをお勧めします。
WordPressは使わない方がいいのか?
以上でWordPressにおけるセキュリティの危なさを伝えてきましたが、それではWordPressは使わない方いいのか?ということになると思います。
WordPressはやはりセキュリティの部分で危ない部分もありますが、しっかりセキュリティ対策をすれば、およそのリスクは排除出来ます。
また、データベースも顧客情報と隔離したものを使用すれば問題ないと思います。
まずはWordPressはセキュリティに弱いという認識のもとでしっかりセキュリティ対策をとってもらいたいと思います。
私の方でもご相談を受け付けておりますし、WordPressのセキュリティの情報はネットでも簡単に取得できるので是非チェックしてみて下さい。
