ノウハウ
[初心者向け]

セキュリティ対策足りてる?まだまだ甘いよ、キミのWordPress

ノウハウ
たなはる

前回のおさらい

初期設定のまま、放置に放置を重ねた たなはる のWordPress。

セキュリティ事業部所属 藤田により、WordPress初心者向けのセキュリティノウハウを伝授。

ログイン周りのセキュリティ対策を行い、これで絶対安全だと安心しきった たなはる に藤田は言う。

 

「ふははは、ぬるいわ!!オマエのWebサイトはのっとった!!」

 

たなはる ってのが、以前のおさらいかな?

藤田 最後の一文以外ね。すみません、前回の記事を参考にしてください。

放置してたWordPressを更に放置しようとしたらセキュリティ事業部の同僚に真面目に止められた話

ノウハウ
たなはる

アカウントを得てから、初期設定のまま数ヶ月放置したままのWordPress。パスワードついてるから良いじゃない!っていうところから悲劇は始まるのです。

ログイン周りのセキュリティ対策をしても迫りくる脅威

たなはる前回、WordPress 4.7.0、4.7.1のREST APIに起因する脆弱性では、藤田が教えてくたような対策だと意味がないって聞いたんだけど、どういうこと?

 

WordPress を狙う攻撃は不正ログインを狙った攻撃だけじゃなくて、脆弱性と呼ばれるプログラムの不具合を狙った攻撃もあるんだよ。例えば、2月に発表されたWordPress REST APIの脆弱性を利用されると不正ログインされていない状態でも簡単にWordPressの記事が書き換えられてしまうんだ。

 

参照 記事
WordPressサイトの改ざん被害は150万件超に 「最悪級の脆弱性」
JPCERT/CC インシデント報告対応レポート

 

前回の記事でログイン画面のセキュリティ対策を行ったたなはるのWordPressだってこんな感じに。

 

※突然、黒い画面をいじりだす藤田

〈15秒後〉

ほら、こんな感じ。

たなはるえええええええええええええええええええええ!早いいいいいいいい!!!

(本当に書き変えられました)

※因みにビフォー

たなはるものの15秒でこんなことがああ!!

たなはるなななななんでなんで?プラグインも入れたし、パスワードも強力レベルにまでしたのに!!

早いでしょ。この攻撃は数十秒でできてしまううえに、WordPress 4.7.0、4.7.1を使っているサイトはほぼ対象になるんだ。

 

たなはる全部のサイトが?WordPressの改ざんって特定のプラグインの脆弱性を狙ったタイプは聞いたことあるけど、これは違うの。

 

うん。今回の脆弱性が見つかったREST API機能は、以前はプラグイン形式で配布されていたんだ。
でも、4.7.0からデフォルトで有効化されて、そのタイミングで脆弱性が見つかったからAPI機能を利用していない人も含めてWordPress 4.7.0、4.7.1バージョンの利用者全体がターゲットになってしまったんだ。

 

たなはるひえええええええ!!デフォルトで入ってるものがそんなことに・・・どうしよう、どうしたらいいんだ。
ぐうぅう、わたしのWordPressに平和なんて一生訪れない気がしてきたよ。うううう。

 

重いよ!落ち着いて。今から、対策を教えるから。

 

よし、更に対策しようじゃないか

まず、基本的に WordPressは必ずアップデートして常に最新バージョンを保とう!

WordPressは更新のタイミングで見つかった脆弱性も修正されるから、最新バージョンにすれば既存の脆弱性を狙った攻撃を受けても、被害を受けずに済むよ。
今回紹介した脆弱性も実は大きく発表される前のアップデートで脆弱性が修正された4.7.2がリリースされていてちゃんと最新版に更新していたサイトは被害を受けずにすんだんだ。

 

WordPressのダッシュボードの概要箇所で現在のバージョンが確認できるから、もし古いバージョンを利用している場合は更新を勧めるよ。

ちなみに、3.7.0からマイナーバージョン(メンテナンス・セキュリティリリース)には自動で更新される機能も追加されているから切らずに使ってね。

WordPressのバージョン情報の確認

 

たなはるのWordPressは4.7.1でした・・・。

たなはる やめて、恥ずかしい・・・。そういえば、最近もまた新しいバージョンが出たよね?

WordPress 4.7.3 セキュリティ・メンテナンスリリースだね。このバージョンでも新たに発見された複数の脆弱性が修正されているから更新が必要だよ。

 

たなはるへええ・・・。なんだか、頻繁に新バージョンのリリースがあると、こまめにアップデートするのも骨が折れそうだねえ。なんか、めんどくさ(ボソ)

 

たなはるみたいな怠惰な理由も含め、もしWebサイト運営者がバージョンを更新するのが難しかったり、バージョンアップのため頻繁にサービスを止めるのが難しかったら、
WAF(Web Application Fiwall)を導入しても良いかもね。

 

WAFを導入すると、脆弱性を狙った攻撃が検知されると通信を遮断してくれるから
最新の脆弱性に対応したシグネチャに更新しておけば、サーバーに影響なくセキュリティ対策を行えるよ。

 

たなはる

ああ、WAFね。たしかに効果的だけど、初期設定に手間が掛かるし、値段もなかなか高くて手を出しにくいんだよねえ。

 

あれ???たなはる知ってるの???

たなはるそりゃ、もちろん!これでもIT企業のOLだよ!
ちなみに、エクスクラウドのWordPressホスティングならWAFが標準搭載されてて、設定も技術サポートが行ってくれるから、手軽に安心安全なんだよ!

 

 ここにきて、まさかのサービスPR!?ぬけめないね。

たなはるへへへ。でも、これで安心したよ。

あ、補足だけどWAFを使っても新しい脆弱性が見つかってすぐはシグネチャが対応していないこともあるし、
WAFを回避する攻撃方法も日々出てきているから、定期的にバージョン更新は忘れないでね
重大な脆弱性については以下のようなサイトでも発表されるから、自分のサイトに関係するものは最低限見ておこうね。

 

参照記事
IPA 重要なセキュリティ情報一覧

 

たなはるおふ・・・こ、これからは面倒臭がらず意識を改めるよ。

でもこれでわたしのWordPressはかなり安全になったね!ありがとう 藤田!

 

 

 

さいごに

数々の対策を教えてもらい、ひとまず わたしのWebサイトに平和は訪れました。

Webサイトのセキュリティは、ひとつの対策で万全というわけではありません。

複数の対策を講じることでWebサイトへの攻撃リスクを減らすことができます。

サーバー運用でのセキュリティに不安がある場合にはご相談にのりますので、ぜひお気軽にお問い合わせください。

それでは、画面越しの皆さま、
またお会いできる日まで♪ドロン

 

 

 

この記事を書いた人

たなはる

たなはる です。 エクスクラウド広報担当。趣味は落語鑑賞。 ハナシは落としても、サーバーは落としません。

この記事のタグ

オススメの記事

この記事を読んだ人にオススメのサービス

エクスクラウドのWordPressホスティング

WAF&SSLつきの超高速KUSANAGI標準搭載のWordPress専用サーバー。全てがオールインワン、さらに初期構築などの手間が不要なため手軽に超高速なWordPress環境をご利用いただけます。14日間無料お試しで超高速なWordPress環境を体感してください。

ページトップへ