最近ロリポップでWordpressへの大規模改ざん被害があった事もあり、Wordpressのセキュリティについて調べてみました。
セキュリティ対策といっても、
- 運用方法で対策するもの(アカウント管理など)
- サイト更新でしか対策できないもの(プログラム本体の脆弱性など)
に分けられると思います。今回は2についてまとめてみます。
実際どの部分が狙われているの?
では、実際にどのWordpressのどの部分が標的にされているのでしょうか?ドイツの連邦情報セキュリティ庁(BSI)で、一般的に使われているCMSのセキュリティに関する研究資料が公開されています。この中に、CMS本体そのもの脆弱性と後からインストールするプラグインの脆弱性数の比率の資料がありました。
・本体と拡張機能脆弱性比率
WordPressに注目すると、本体の脆弱性は20%ほどで、残りの80%がプラグインによる脆弱性との事です。つまり、プラグインを追加する事は脆弱性も追加するリスクがあるという事ですね・・・。
どうすればいいの?
プラグインを0にすれば、80%の攻撃は回避できます!とはいっても、プラグインは便利ですしプラグインが豊富であることがWordpressを使う重要な理由の1つですので、そんな事は現実的に無理です。Wordpressをプラグイン無しでといわれると、そもそもWordpressをサイトのCMSに採用するかどうかを考える事になってしまいます。Wordpressのプラグインは様々なものがあり、多数の人が開発に参加して活発に更新されているものもあれば、個人が作成して更新頻度が高くないものや作者が開発を辞めてしまって更新されていなものなどがあります。プラグインを使う時は、下記をチェックしておくと対策になるかもしれません。
導入時は公式ページからダウンロード
セキュリティ対策で更新されている場合があるので、過去ダウンロードしたプラグインは使わずなるべく公式からダウンロードする。
公開が停止されていないか確認
プラグインの公開が停止される理由として、
- 作者が開発に飽きた
- セキュリティホールが見つかったが、対策する時間が取れないまたは構造的に対策できない
などがあります。良心的な開発者はセキュリティーホールが見つかった場合、修正するか公開を停止します。公開が停止されているプラグインをローカルやネットのどこから探してくるのは辞めて、代替案を考えるようにする。
以上が対策になるかと思います。