簡単にハッキングされてしまうワードプレス
ホームページ運営にワードプレスが多く使われています。世界中のホームページの半分以上とも言われています。
利用者が多いという事は、ハッキング、乗っ取り、不正アクセスなどの対象になりやすいのが現状です。
ワードプレスの管理画面にはIDとパスワードを使ってログインしますが、もはやそれだけでは対策は不十分です。
よくインターネットで使われるID&パスワードの使い回しはやめましょうとか、複雑なものにしましょうという事を聞きますが、もはや ID&パスワード だけでセキュリティが守られる時代ではありません。
ワードプレスに不正アクセスされると、勝手に改ざんされたり、乗っ取られたり、会社のホームページであれば信用を落としかねません。
また業者に復旧依頼をすれば費用もかかりますので、悪いことしかありません。
ワードプレスがハッキングされてしまう原因
ワードプレスがハッキングされてしまう原因ですが、一番多いのが、ブルートフォースアタック(総当たり攻撃)というもので、ログインIDは特に対策をしなければ簡単に分かってしまいますので、あとはパスワードを総当たりで入れてみて試すという方法です。
もちろん人がやっているわけではなく、そういったツールを利用しているわけですので、時間さえかければ簡単に突破できてしまいます。
ワードプレスやプラグインの脆弱性が狙われる事もあります。ワードプレス本体は常にアップデートをして、最新にしておく事が大切です。
プラグインも同様ですが、アップデートされない(開発が終了している)。出どころが分からないようなプラグインもブラックボックス的な場合がありますので、利用を控えた方が良いです。
プラグインも同様にきちんとアップデートが必要です。
サーバー内にあってはならないツールが置きっぱなしになっていることがあります。特にデータベース操作系のプログラムなどは、必ず削除しておきましょう。またデータベース操作系にプラグインも使わない。もしくは使う時だけ有効にするといった方が理想です。
サーバーに脆弱性がある事があります。こればかりはレンタルサーバーを利用している以上、自分では対策する事ができません。
数年前に某S社のサーバーにインストールされているワードプレスが大量にやられたという事もありましたが、現状はサーバー会社に委ねるしかありません。
最低限できる、簡単な対策
ワードプレスをサーバーに設置したら、最低限簡単にできるセキュリティ対策です。簡単なので説明も簡単にします。
セキュリティ系のプラグインを入れる。
オススメは「SiteGuard WP Plugin」です。
こちらは何も説明することはありません。インストールだけして終了で構いません。
不要なファイルを置かない。
使っていないテンプレートファイルや、プラグインなどは無効にするだけでなく削除します。
また「readme.html」「license.txt」なども削除しておきましょう。
wp-config.phpのパーミッションを400にする
このファイルがやられてしまうと、どうにもなりません。パーミッションとはファイルごとに読み取り、編集、実行をグループごとに設定するのですが、666等になっているのをよく見かけますが、必ず400。これで問題あれば404、444等にします。
管理画面 /wp-admin/ にベーシック認証をかける。
管理画面でID&パスワードを入力しますが、その画面に進む前にもう一段階認証をかけてします。これを行えば、かなり高い確率で管理画面を保護できます。
一部のプラグインで問題が生じる事がありますので、.htaccessの最後に下記の追記を忘れずに。
<Files admin-ajax.php>
Satisfy any
allow from all
</Files>
サーバーのWAF(Webアプリケーションファイアウォール)を有効にしておく。
レンタルサーバーによってはこの設定ができます。ワードプレスに不正コードが到達する前、サーバーレベルで防御をしてくれるというものです。
ワードプレスのテンプレートを編集する際など、うまく行えないといった場合がありますが、その時だけ無効にして常時有効にしておく事をお勧めします。
サーバーのFTPを無効にする、もしくは制限をする。
ワードプレスだけでなく、サーバー内に直接アクセスができるFTPを無効にしておきます。
ただほとんどのレンタルサーバーでは無効にすることが出来ないようですので、IPアドレスなどの制限が可能であれば、設定しておきましょう。
まずは現状確認
他の方が設置したワードプレスに携わる事もありますが、何の対策もされていないケースが非常に多いです。
念のためにきちんとチェックをして不正アクセスや改ざんの被害に遭わないようにする事をおすすめいたします。
