マルウェア・ウイルスからWEBサイトを守るWordPressのセキュリティ対策

WordPressのセキュリティの基本

WordPressにはWEBサイトの改ざん、個人情報の流出、迷惑メールの踏み台になることがあります。もちろん、これはWordPressに限ったことではなく、HTMLのみで作ったサイト、ムーバブルタイプで作ったサイト、PHPで作ったサイト、その他CMS(コンテンツ管理システム)で管理されているサイト、すべてがそのリスクがあります。

また、管理されているWEBサイトのみならず、WEBサーバーやデータベース(MySQL)に対して直接攻撃を仕掛けてくる場合もあります。

理由は様々であり、一概には言えませんが、単なる嫌がらせ、ハッカー自身の自己顕示欲の誇示、政治的な主張を反映させたいサイバーテロなどがあります。

ここで大切ななのはいくらサイト運営者が正しい目的でWEBサイトを運営していたとしても残念ながら世の中にはそういうことをする悪い人間がいるということを周知する必要があるということです。

WordPressに絶対的なセキュリティに関する解決方法はない

厳しい言い方になりますが、残念ながらWEBサイトを運営する以上、すべてのリスクを回避する方法はありません。ハッカーによる攻撃は日々進化し、特にWordPressの場合オープンソースソフトウェアという特性上、プログラムが公開されています。当然ハッカーはそのプログラムの脆弱な部分を見つけ出し、あらゆる手段を用いてサイトに攻撃を仕掛けてきます。

私たちサイト運営者に出来ることは出来る限り、リスクを低減させることです。実際、確実にゼロに出来るとは言えませんが、少なくとも我々が運営するサイトに於いては未だ不正アクセス、サイトの改ざんなどを受けたことがありません。もちろん、この先もそうだとは言えませんが、適切な対策をすることによって安全なサイト運営が出来ることは間違いありません。また、上にも書いた通り、悪いことをする人間がいるという「性悪説」を前提に考えればサイトの定期的なバックアップも必要になってきます。万が一、サイトが改ざんされてしまったとしてもバックアップを取っておけば復元が可能です。

要はいかにリスクを低減させるかによります。

WordPress救急隊にご相談される方で最も多いのが不正アクセスされ、サイトを改ざんされた(ログインパスワードを変えられサイトに入れなくなった)というものです。

しかし、よくよく聞いてみると、殆どが単純なID(初期IDのadminのまま)と簡単なパスワードだったりすることが殆どです。また、ログインするパソコンにセキュリティソフトが入っておらず(入っていても停止しているという場合もあります)、知らないうちにパソコンがウイルスに感染して、ID、パスワードを覗き見されているということがあります。

WordPressそのものに対するセキュリティ対策はもちろんですがアクセスする媒体にも当然セキュリティ対策は必要ということです。ウイルスバスター、ノートン、ESETなどのウイルス対策ソフトは必ず入れてください。無料でインストールできるWindows Defenderというセキュリティ対策ソフトもありますが、マルウェアの誤検知が多く、個人的にはあまりお勧めはしておらず、弊社ではESETを利用しています。当然、漫画喫茶、ネットカフェなどのパソコンからのログインは絶対に控えるべきです。サイトを閲覧するだけであれば問題ありませんが、中にはキーロガーというソフトを利用して他人のパスワード、IDを不正に取得する人がいます。

キーロガー(Keylogger、またはKeystroke logging)とは、コンピュータ(パーソナルコンピュータ)へのキー入力を監視してそれを記録するソフトウェアもしくはハードウェアである。

効果の高いWordPressセキュリティ対策

初心者にでも出来る簡単で効果の高いセキュリティ対策をご案内致します。

ログインパスワードの徹底管理

意外にも多いのが辞めた元スタッフによるパスワード改ざんです。特に殆ど更新しないサイトで、管理をスタッフに任せっきりの場合、改ざんされても気づくのが遅れるということが多いです。

経営者(若しくはサイト運営責任者)の立場からすると、スタッフを常に疑うことになり、心苦しいと思いますが、結果的にサイトを改ざんされてしまったり、ログインができなくなったりすると、不利益を被るのはエンドユーザーである顧客です。情報セキュリティの徹底はサイト運営の基本と考え、ログインパスワードは徹底的に管理してください。また、WordPressのサイトを更新していたスタッフが辞める場合はその都度、パスワードを推測が不可能なものに変更してください。

実際、過去にあったのはサイト内にあるスマートフォンから電話を掛けられるすべてのタグを変えられてしまった事例があります。

<a href="tel:000-1234-5678">000-1234-5678</a>

このタグをサイトに挿入すると、000-1234-5678がスマートフォンの画面上には表示され、その電話番号の数字をタップすると電話を掛けられます。当然、掛かるのは000-1234-5678の電話番号です。

しかしながら、

<a href="tel:000-1111-1111">000-1234-5678</a>

このようにタグを書き換えた場合、サイトの画面上に表示されるのは確かに000-1234-5678ですが、実際に繋がるのは000-1111-1111の番号です。

この改ざんは暫く気付かれませんでした。サイトの表面上、なにも変わっていないため、当然です。まさか電話番号が改ざんされてしまったとは夢にも思いませんでした。「電話がつながらない」という顧客からのメールによる問い合わせで初めて知ったといいます。

ちなみに、この件に関して、警察には届けなかったといいます。

思い当たるのは社内で揉め、辞めていったAさんしかいませんが、もし仮にAさんを刑事告訴するとなれば、社会からはむしろ自社サイトの管理の甘さを糾弾される恐れがあるからです。パスワード管理も出来ていないずさんな会社、セキュリティに対する認識が非常に甘い危機管理意識の低い会社であると思われることを恐れ、結局は被害届を出さず、サイトのパスワードを複雑化し、IPによるログイン規制を行いました。

なお、総務省ではパスワードの管理として以下のものを推進定義しています。

1.名前、生年月日、電話番号、住所などから推測できないもの
2.英単語をそのまま使用しない
3.アルファベット(大文字・小文字区別あり)と数字を混在させる
4.8桁以上の文字列
5.連番や同じ数字の繰り返しなど類推されやすい安易な数字にはしない

不正ログインを防ぐ

強固なパスワードを使うこと以外にも、WordPressへの不正ログインを防ぐ方法はあります。1つはIPアドレスを限定すること、もう1つは多要素認証を設定することです。

IPアドレスを制限する

WordPressの不正ログインを防ぐためには、ログイン画面のURLにアクセスできるアクセスポイントを、固定IPアドレスで制限する方法が有効です。もっとも、一般のインターネットサービスプロバイダーでは、IPアドレスが固定されておらず、毎回IPアドレスが変わってしまうことになり、この方法は採用できません。

しかし、そのような場合でも「VPN(Virtual Private Network、仮想プライベートネットワーク)」と呼ばれるサービスを使うことで、自分だけの固定IPアドレスを持つことができます。

たとえば、株式会社インターリンクが提供している「マイIP・マイIPソフトイーサ版」というVPNサービス(有料)を利用すれば、固定IPアドレスが提供されないプロバイダーやネットワーク環境からでも、固定IPアドレスが利用できるようになります。

このようなVPNサービスを利用していることを前提に、IPアドレスを限定する方法を解説します。

VPN接続をする

VPNサービスで一度固定IPアドレスの設定をしておけば、VPN接続をするだけで、固定IPアドレスからアクセスすることができるようになります。

アクセス制限の設定をする

あとは、WordPressのログイン画面に、その固定IPアドレスだけアクセスできるようにして、それ以外はアクセスできなくします。そのためには、「.htaccess」という「.txt」などの拡張子がないファイルを使用しますが、既存の.htaccessファイルを編集する方法と、新しく.htaccessファイルを追加する方法の2つがあります。

既存の.htaccessファイルを編集する

既存の. .htaccessファイルを編集する場合は、FFFTPなどのFTPクライアントソフトウェアでサーバーに接続し、.htaccessファイルをダウンロードします。サーバー会社によってはレンタルサーバーなどの管理画面からもアクセスが出来もあります(さくらインターネットではコントロールパネル内のファイルマネージャーからダウンロードも可能)。

やり方は.htaccessファイルの任意の場所(いちばん上など)に、下のコードを追加し、同じ場所にアップロードします。これでログイン画面へのアクセスが制限されます

<Files "wp-login.php">
order deny,allow
deny from all
allow from 固定IPアドレスが入ります
</Files>

新しく.htaccessファイルを追加する

新しく.htaccessファイルを追加する場合は、上のコードを記述した.htaccessファイルを「メモ帳」などで作成し、サーバーの「wp- admin」フォルダの中にアップロードします。これでログイン画面へのアクセスが制限されます。

なお、.htaccessの記述についての詳細は記載しませんが、記述にはよくよく注意してください。スペルを間違ったりするとWEBサイト自体が表示されなくなりますので慎重に行ってください。

多要素認証を設定する方法

多要素認証を設定するには、「Google Authenticator」というプラグインを使用すると便利です。

「プラグインを追加」画面で「Google Authenticator」を検索し、「今すぐインストール」をクリックしてインストールし、「有効化」をクリックして有効化します。

「プロフィール」画面を表示する

メインナビゲーションメニューで、「ユーザー」→「プロフィール」をクリックし、「プロフィール」画面を表示します。

QRコードを表示する

「Google Authenticator Settings」の「Active」にチェックを付け、「Show/Hide QR code」をクリックし、QRコードを表示します。これをのちの手順で、スマートフォンのアプリで読み込みます。

スマートフォンでアプリをインストールする

スマートフォンで、「Google Authenticator」をインストールします。

QRコードを読み取る

スマートフォンで「Google Authenticator」を起動し、「設定を開始」をタップします。「バーコードをスキャン」をタップして、先ほど表示したバーコードを読み込みます。

認証番号を確認する

「WordPress」に6桁の認証番号が表示されているので確認します。

多要素認証をする

WordPressのログイン画面にアクセスし、ユーザー名とパスワードを入力し、先ほどの6桁の認証番号を「Google Authenticator code」に入力して、「ログイン」をクリックして認証します。

WordPress及びプラグイン、テーマの更新

結論から言えばハッカーによるサイト攻撃はいたちごっこであり、WordPressやプラグインのバージョンがアップしたとしてもオープンソースソフトウェアの宿命故、必ずといっていいほどプログラムの持つ脆弱性をついてくるのがハッカーです。ハッキング被害の大半がプラグインやテーマの脆弱性の隙をつかれたものです。そのため、プラグインやテーマ、WordPressのバージョンは常に最新状態にしておいてください。

更新時の注意

WordPress、プラグインの更新が大切だとはいえ、テーマそのものが古く更新に対応しておらず、更新ボタンを押したらサイト上部に不自然なurlが表示されたり、或いはサイト自体が真っ白になってしまうということがあります。信頼できるテーマ作成会社であればテーマも定期的に更新しているため、ほとんどそういう現象はありませんが、テーマを制作した会社が倒産などにより、そもそも無くなってしまった場合はテーマの更新はできませんので注意が必要です。その場合は一端旧バージョンに戻して、新たなテーマを導入するほうが安全です。新たなテーマを導入するとレイアウトが崩れてしまいますが、レイアウト変更についてはホームページ制作会社やWEBデザインに長けたWEBデザイナーさんに相談するとよいでしょう。

SiteGuard WP Pluginの導入

SiteGuard WP PluginはWordPressにインストールするだけで、セキュリティを向上させることができるセキュリティプラグインです。日本語対応のシンプル、簡単プラグインですのでインストールすることをお勧めいたします。公式プラグインですのでダッシュボード(管理画面)のプラグインから導入が可能です。

詳しくはプラグインの制作元である株式会社ジェイピー・セキュアの公式サイト https://www.jp-secure.com/ をご覧ください。

SiteGuard WP PluginではIP制限に加え、ログイン回数制限(複数回パスワードを間違えるとそのIPからログインできなくなる)、画像認証(CAPTCHA)も可能です。

様々な不正ログインを未然に防ぐプラグインがあります

WordPressにはSiteGuard WP Pluginに限らず不正ログインを防ぐための様々なプラグインが用意されています。上手に利用して、セキュリティ対策に出来る限り、不備が出ないようにすることが大切です。また、辞めたスタッフによる不正アクセスにも注意し、スタッフが辞めた場合はその都度パスワードを特定されずらいものに変更してください。また、インターネットカフェ、図書館などにある不特定多数が利用するパソコンからのログインは厳に慎むべきです。

WordPress救急隊ではログインが出来なくなった場合でも対応が可能です

万が一、WEBサイトにログイン出来なくなった場合はWordPress救急隊にご相談ください。症状を判断して安全にログインできる環境をお作り致します。ご相談はメールフォーム、電話にて承ります。

メールフォーム
https://ws.formzu.net/fgen/

電話
050-3512-9325

ページ上部へ戻る