WordPressはセキュリティが低いのか!?話題のトピックに乗ってみる
つい先日、料理系Youtuberのリュウジさんが運営するWordPressサイトが、改ざんされたとニュースで見ました。
この発言がネット上でかなり話題になっているようです。
たまにはこういった話題に載ってみようと思い、ブログに書きたいと思います。
ちなみに私はリュウジさんの動画もたまに見ていて、好意的な目線です。加えて本件で憤りを感じているわけでもありません。あくまでWordPressのセキュリティについてのネタ的な記事としてご覧ください。
目次
WordPressがクラックされるなんてことあるの!?
そもそも、こういったWordPressがクラックされることがあるのか……というところからいきたいと思います。
わりと耳にする話
あります。むしろわりと耳にする話です。
セキュリティを考慮せずに、
- なんとなくインストールして
- なんとなくテーマやプラグインを入れて
- なんとなく記事を書いて
- なんとなくアップデートしている
という感じで運営していると、世界中からの攻撃に不安があります。
多いのはログインの試行です。つまりはユーザー名・パスワードを適当に入れて不正にログインしてやろうという行為。もしもログインに成功すれば後はやり放題です。
通常はプログラムにより、何度もログイン試行を行われます。問題なのは、「なんとなく」インストールしたWordPressは、攻撃者にユーザー名がばれているということ。
ですので、もしも管理者のパスワードが簡単であればすぐに侵入・クラックされます。
クラックされるとどうなる!?
クラック(クラッキング)とは、不正アクセスにより不利益を被ることを指します。
例えば分かりやすい例としては……
- 改ざんされる
- 不正なサイトに誘導される
- 踏み台にされる
他にもわかりにくい例としてこんなことも。
- バックドア(裏口)を作られる
- 情報をこっそり抜き取られる
WordPressに限った話ではありませんが、侵入したことを明らかにわかるようにする場合と、気づかせずに裏でこっそり悪さをすることがあります。
バックドアが作られようものなら、知らない間にそこから出入り自由。怖いですよね。
勝手に自宅に侵入口が作られているようなものです。泥棒はいつでもそこから出入り自由であれば、悪さし放題なのと同じです。
WordPressのセキュリティって低いの!?
このように書くと、WordPressってセキュリティ低いの!?良くないの!?と思われる方もいるしれません。
しかし結論としては、きちんと制作・保守・管理されたWordPressにおいてはそんなことはありません。積極的にアップデートされていますので、むしろしっかりしている方です。
どんなウェブアプリケーションでも、作り方によってはセキュリティ的に脆弱性が生まれます。
WordPressは制作のしやすさと、一般の方でも(セキュリティは別として)管理できてしまうことで、このような問題も露呈しやすいと言えるかもしれません。
ですので、ビジネス用途ならWordPressはプロの保守サービス利用をお勧めします。
開発目線からリュウジさんの発言を考えてみる
クラックされたのは保守・管理の問題
繰り返しになりますが、きちんと制作・保守・管理されたWordPressはセキュリティ的に問題ありません。
WordPressはプロ以外が関わることもめずらしくないので、該当ケースでもそうだったのかもしれませんね。
つまりはWordPressが悪いわけではないということです。
WordPressが貶められた!?
リュウジさんは「今後はWordPressは使用せずにセキュリティの高いBASEを利用する」という旨の発言をされていらっしゃいます。
事実と発言を混ぜ合わせると、以下の様にまとめられます。
- WordPressがクラックされた
- 対策としてBASEを利用する
- BASEはセキュリティが高い
これれでは人によってはWordPressはセキュリティが低い、と言われているように感じます。直接言ってはいないのですが、暗にそう感じる内容です。
普段WordPressに関わっている人、WordPress愛が強い人ほどそう感じると思います。プロとしてプライドを持ってセキュリティに気をつけ対応しているわけですからね。
内容はたしかにその通り
そう、特にWordPressを貶めるような発言はされていません。担当会社には扱いが難しいからBASEに移行するわけです。
意図も内容もその通りで筋が通っています。ですが人によってはWordPressが悪いと誤解を招くかもしれないとは思いました。
言葉って難しい……。
分からない人に例え
ずいぶん昔の話ですが、ある芸能人にそっくりな容姿のAさん(女性)がいました。Aさんはいつもチヤホヤされていました。
他の女性Bさんがいるときも、周りからはAさんだけ「○○に似ていますね。お綺麗ですね」と言われていました。そんな時Bさんは、「自分は綺麗ではない」と言われているような、惨めな気になったとぼやいていました。
誰もBさんに対して悪気は全く無かったはずです。……が、片方を持ち上げれば相対的にそう感じてしまうんですね。
この例を以下に置き換えれば、「わからなくもない」と思っていただけるかもしれません。
- Aさん:BASE
- Bさん:WordPress
- Bさんの親友・彼氏:WordPress制作者
つまりはWordPressを大好きな人ほど引っかかるのだと思います。
WordPressをセキュアに保つコツ
最後に、WordPressをセキュアに保つコツを簡単にまとめます。いつかきちんと体系的にまとめたいとは思いますが、ここでは簡単にご紹介します。
ログインページを不特定多数に表示させない
ログインページを不特定多数に表示させない=ログイン画面自体たどり着けないようにすれば、不正アクセスの多くは防げます。
ログインする人のIPアドレス等で制限をかけるか、ログインページの変更は強くお勧めします。
以下でも書いていますので、参考にしてください。
特にリュウジさんクラスになると、個人攻撃や興味本位で不正アクセスを試みる人もいると思います。有名人は特に注意が必要ですね。
WordPress/プラグインを最新に保つ
WordPress本体や、利用しているプラグインはできる限り最新に保ちましょう。
自動更新は、勝手にアップデートして不具合が出たらイヤだという人もいるのはわかります。
その場合は、月一などで手動アップデートするのも良いと思いますよ。
言われなくても分かっているよ!と言われそうです。言うは易く行なうは難しの典型ですね。
サーバ環境を適切に保つ
WordPressを動かしているPHP,MySQL,Webサーバーは適切にアップデートされている必要があります。
レンタルサーバーではほぼ問題になりませんが、それでもPHPのバージョンだけは気にかけてください。
PHP7系は未だに使われている印象です。PHP7系の最終バージョンであるPHP7.4はすでにサポートは切れています。
差し支えなければPHP8系にアップデートしましょう。
信頼のおける人に制作してもらう
制作時点でセキュリティホールがあれば、それを抱えたまま運用してしまいます。
ですのでビジネスでウェブサイトを作るなら、できればプロに依頼することをお勧めします。
スモールビジネスなどでご自身で作らざるを得ない場合は、本ページで記載されている内容に加え、以下がチェックポイントです。
- 大手レンタルサーバーを使う
- 定評のあるテーマを使う
- ユーザー名/パスワードは複雑なものに
- セキュリティプラグインを使う(SiteGuardなど。ログインページを変更可能)
信頼のおける人に保守・管理を依頼する
最初に抜け目なく作られていても、保守・管理の段階でセキュリティホールができてしまうこともあります。
- ほったらかし
- PHPも古いまま
- 簡易なユーザー名パスワードで管理者を発行してしまう
このようなことがないよう、定期的でもよいのでプロにご相談ください。
まとめ
今回のような発言でWordPressの議論が起こるのは、リュウジさんが人気ということもあるとは思います。
それと同時に、WordPressを仕事で関わっている方が多い。つまりはWordPressが人気だということも大きいでしょう。
誰でもウェブサイトを制作・運用ができるのは素晴らしいですが、このようなケースも生むのだなと改めて思いました。
ビジネスサイトでは、きちんとサポートする人間が必要ということです。
もしもセキュリティにご不安がありましたら私:馬場までお気軽にご相談ください。多くのサイトを保守・管理しています。