WordPressのセキュリティリスク
3つの潜在的脅威!
・Webサーバのソフトウェアは組み合わせで成り立っている
WordPressのみならず、アプリケーションは、目的と好みに併せて組み合わせて使うことが多々あります。
その組み合わせは、正しい接続と設定さえ出来れば使えてしまうと言うことです。
そうなると、巷で騒がれているランサムウェアを初めとするマルウェアを仕掛けられたとしても、対策がない場合には気付くことすらなく、感染していることがあります。
・管理画面がインターネット上に存在している
CMS全般に言えることですが、大半はCMS管理画面はネット上にあります。
しかも、管理画面は、公開データと同じ場所にあることが大半です。
そのため、管理画面は、常に外部からの悪意に満ちた攻撃にさらされていることになります。
その管理画面は、ダッシュボードと呼ばれることが多く、この管理画面に一旦ログインされてしまえば、個人情報などの重要情報を入手出来たり、コンテンツの改ざんさえされてしまうのです。
ちなみに、WordPressの専用URLは、ネットで調べれば直ぐに判ってしまします。
・利便性とセキュリティリスク
WordPressは何より利便性を優先しています。
そして、利用者の要望次第で、カスタマイズや機能拡張も出来るんです。
そのカスタマイズが、セキュリティリスクを負うこともあります。
機能拡張も、たったの数クリックで、すぐに導入が出来、効果が出るものも多数用意されています。
また、公共の場所(公衆無線LAN)などのモバイル環境で、更新作業がしやすくなっているんです。これは、別の情報セキュリティの課題にもなっています。
WordPressのセキュリティを向上させるには
公開データを、一切WordPressを利用せずに作ることが、セキュリティリスクはゼロにはなりませんが、セキュリティリスクは下がることは確かです。
でも、何とかして、この利便性の良いWordPressを使っていきたいと思うのですが、どのようにセキュリティレベルを効率的に上げれば良いのでしょうか。
・タダで出来る設定
1.アクセス、エラー、負荷など、ログの定期的なチェックをする
※これにより、普段とは違うアクセスがあった場合に、見つけ出し排除することが出来ます。
2.ブルートフォースアタック対策のための、管理画面でもベーシック認証の追加
3.パスワードを強固なものに変更、併せてユーザー名もデフォルトのものは利用しないように変更
4.管理画面へのアクセス制限として、管理画面利用者のIPアドレスと国を限定する
5.リモート操作をするプロトコルをデフォルト値から変更
6.セキュリティ強化プラグインをインストール
まずは、タダで出来る設定を網羅し、なおセキュリティレベルの向上を望む場合には、外部サービスを使ったり、外部の専門家にコンサルティングを受けたりして対応していき、最終的には、情報セキュリティ認証取得を念頭にPDCAを回しレベルを上げていくようにすると良いかと思います。
この他の方法として、公開データと管理画面を分けて運用するという選択肢もあります。
コメント