こんにちは、ウェブロードの山口です。
最近弊社に寄せられるお問い合わせにおいて、保守管理に関する内容が多くなっています。
今回は、WordPressサイトを安全に運営するために、不正アクセスを防ぐ方法について書いてみます。
管理者アカウントの適切な設定
ここからは、とある公的機関のサイトの事例です。
6年ほど前に、管理者アカウントが10人ほど設定されていたWordPressサイトの保守を打診されたことがありました。
管理画面を見た瞬間、かなり放置状態にあると感じ、何か不穏な雰囲気を感じました。
数カ月後、サーバー内ディレクトリに悪意のあるプログラムが設置されているようだという連絡をもらいました。(弊社とは別の会社が保守管理をされていました)
確認させてもらうと、そのプログラムが設置されたサーバー内のディレクトリ自体を削除しても、時間が経つと知らないうちにディレクトリが再生成されることの繰り返しになりました。
結局、そのサーバーの解約とサーバー内で管理している全サイトの一からの作り直しになったようです。
原因としましては、
1.WordPressの管理者の権限を持つアカウントを10個程度作られていて、
2.それぞれのIDやパスワードが非常に簡単な文字列になっていて、
3.全体を統括しているが管理者がいなくて、
4.パソコンが得意ではない中高年の方の管理者アカウントから外部ログインされていた
という経緯でした。
管理担当となった方が次々に新しく自分の管理者を生成し、配置転換の後も、使わなくなった管理者アカウントの削除をすることもなく残ったままになっていたようです。
その中の特定の方の管理者のユーザー名で、何度も繰り返し英文字の投稿がされ、それで気づいたようです。
明らかにその方のログインIDとパスワードの流出が原因だと考えられました。
最終的には、サイトの安全を確保するために、サーバーごと移転し、新しい環境でサイトを再構築する必要がありました。
このような事態を防ぐためには、管理者アカウントの数を必要最小限に抑えることが重要です。
基本的には管理者1〜2人、多くても3人までに留め、それぞれがパスワード管理を徹底することで、不正アクセスのリスクを軽減できます。
また、過去に使用していた管理者アカウントは、使わなくなった時点で速やかに削除することが推奨されます。
不正アクセスの影響と対策
不正アクセスが発生すると、サイト内部に悪意のあるプログラムが埋め込まれ、外部と通信するような動作をすることがあります。
最悪の場合、サイトだけでなく、サーバー全体に影響が及ぶこともあります。
特に、企業のメールサーバーとウェブサーバーを同じ環境で運用している場合、攻撃を受けるとウェブサイトだけでなく、メールシステムまで影響を受ける可能性があります。
例えば、従業員50名のメールアドレスを管理しているサーバーが侵害されると、全員のメール設定を別サーバーで再度設定する必要があり、非常に大きな負担となります。
そのため、ウェブサーバーとメールサーバーを分けて運用するのも、リスク管理のひとつの方法です。
定期的な脆弱性チェックの重要性
WordPressを運用する上で、セキュリティ対策としてプラグインやテーマの定期的なアップデートが不可欠です。
これを怠ると、既知の脆弱性が放置され、攻撃のリスクが高まります。
例えば、日本の脆弱性情報サイト「JVN(Japan Vulnerability Notes)」では、WordPressやそのプラグインの脆弱性情報が随時更新されています。
弊社では毎日こちらのサイトで、WordPressのプラグイン等のセキュリティの脆弱性が発生していないかどうかを確認しています。
定期的にこのような情報をチェックすることで、自分のサイトが影響を受けるリスクがあるかどうかを確認できます。
脆弱性に対する対応としては基本的なことですが、下記が効果的です。
・プラグインやテーマを定期的に更新する
・必要のないプラグインは削除する
・信頼性の低いプラグインは使用しない
・サイトのバックアップを定期的に取得する
保守管理の選択肢
WordPressの管理は、個人で行うこともできますし、専門業者に依頼することもできます。
個人で管理する場合、定期的なメンテナンスやアップデートの知識が必要になりますが、運用コストを抑えられるメリットがあります。
一方で、忙しくて定期的に対応できない場合やセキュリティに不安がある場合、そこに費用をかけても良いと考える場合は、専門業者に管理を依頼することで、トラブルを未然に防ぐことができます。
先の事例のように一度侵入されてしまうと、サーバーの移転やバックアップによるサイトの復元を余儀なくされます。
また、どの時点で不正に侵入されたり、悪意のあるプログラムを設置されたりしたかが特定できなければ、どの世代のバックアップでサイトを復元させて良いかも分からなくなります。
例えば、不正なプログラムが設置されて、気づいたのが半年後であれば、3ヶ月前のバックアップの復元ではすでに不正なプログラムが設置された状態のバックアップということになるからです。
自社での管理が難しい場合は、「どこまでを自社で対応し、どこからを専門業者に依頼するのか」を明確にし、状況に応じた管理方法を検討すると良いと考えています。
まとめ
・管理者アカウントは最小限に抑え、不要なアカウントは削除する
・ウェブサーバーとメールサーバーを分けて運用することで、被害を最小限に抑えられる
・WordPress本体、プラグインやテーマは定期的にアップデートし、脆弱性対策を行う
WordPressの運用に関して少しでも不安がある場合は、まずは自社でできる範囲を整理し、必要に応じてサポートを検討してみてください。
適切な対策を取ることで、サイトの安全性を確保し、安心してサイト運用を続けることができます。
不正侵入された後の復旧は、制作費よりも遥かに高い代償となる場合も見てきたので、そこはサイトを運営する以上、避けて通れないサイト管理者の仕事だと考えています。
編集後記
結論として、100%完璧なセキュリティ対策はありません。
しかし、50%しかできていない状態を80%にするだけでもリスクはグッと減ります。
もちろんそれで満足せず、100%に近づけるように努力し続けることが必要です。
弊社の保守管理は基本的なセキュリティ設定を一つ一つ行っていく形です。
手間は掛かりますが、難しい技術的な内容はほとんどしていません。
Webに詳しい方が社内にいる場合は、あなたの会社でも取り組めます。
やっていることは、下記に書いている16項目の設定です。
これを一つずつチェックしていくことで、個人の方でも自前で対策が出来ます。
WordPress保守管理時のセキュリティ確認事項16項目
WordPressのユーザー名は自由に決めることができますが、昔のWordPressサイトで未だに過去のデフォルトのユーザー名である「admin」を使っている方も見受けられます。 こ…
京都のホームページ制作会社ウェブロード|WordPress制作・保守管理 
自社でサーバーをご契約されている方は、ぜひわかるところから上記の項目の確認を行ってみてください。
設定に関してご不安な点や、ご不明な点がございましたら、お気軽にお問い合わせください。
保守管理契約をご利用中のお客様は、いつでもご相談いただけます。
なお、保守管理契約をされていない場合は有償対応となりますので、詳細は下記のページをご確認のうえ、ご連絡ください。
オンラインWebコンサルティング(WordPressへの移転・設定・SEO・企画相談など)
ウェブロードでは、WordPressの運用やSEO、サイト改善に関するオンラインコンサルティングを提供しています。 ホームページの運用に関するお悩みや課題に対し、実践的なア…
今月も最後までお付き合いくださいまして本当にありがとうございました。
また次月のメルマガでお会いしましょう!
投稿者プロフィール
- 2004年頃の会社員時代からブログ作成を始める。ブログ作成が楽しくなり、そのまま趣味が高じて2006年にホームページ制作で起業、2008年に株式会社ウェブロードを設立。現在は、個人・中小事業者のWordPressサイト制作・改善を中心に、Web業界18年の知識と経験を生かして、大型案件のWebディレクターとしても活動中。 プロフィールはこちら
お問合せフォームはこちら
弊社サービスをご検討いただきありがとうございます。
相見積もりや社内検討用など、概算お見積りのPDFが必要な場合はこちらでご入力・出力できます。
こちらのカテゴリ内のご質問と回答で解決できない場合は、ぜひ下記フォームよりお問い合わせください。ご相談・お見積りのご依頼は無料です。
お申込前のお打ち合わせはメール/お電話/GoogleMeet等オンラインでもご対応可能です。全国からお問い合わせを受付けています。
翌営業日を過ぎても弊社からの連絡がない場合はメールが届いていませんので、大変お手数をお掛けしますが、下記メールアドレスにご連絡ください。
