1. ホーム
  2. お役立ちブログ
  3. 情報セキュリティ対策に関するお役立ち情報
  4. プラグインだけじゃ足りない?WordPressのセキュリティ対策とは

プラグインだけじゃ足りない?WordPressのセキュリティ対策とは

更新日 : 2021年05月11日

新型コロナウイルス感染症の影響もあり、ECサイトの立ち上げや会員制Webサイトの設立などオンラインでのビジネス発掘に注力する企業も増えています。

Webサイトの作成ではCMS(Contents Management System)を利用するケースが多く、中でもWordPressは国内シェアの8割を超えます。

オンラインでのビジネスを推進するためには、Webサイトを狙った攻撃を考慮したセキュリティ対策が不可欠です。

今回はWordPressに焦点を当て、セキュリティ対策についてご紹介します。

目次

  1. WordPressのセキュリティ対策とは
  2. Webのセキュリティ対策を実施すべき企業とは
  3. 検証1:無名のWebサイトにどれだけ攻撃がくる?
  4. 安全なWebサイトのために必要なセキュリティ対策とは
  5. 検証2:WAFの導入で本当に防げる?
  6. まとめ

WordPressのセキュリティ対策とは

WordPressのセキュリティ対策としては大きく3つ挙げられます。

POINT
  1. 利用しているテーマのバージョンを常に最新に保つ※
    • 最新バージョンには機能の追加だけでなく、発見された脆弱性に対する修正も含まれています。
  2. セキュリティ対策用プラグインの導入
    • WordPressではスパムコメントをブロックするプラグインなど、さまざまなセキュリティ対策用プラグインが用意されています。
  3. インフラ環境のセキュリティ対策
    • Webサーバのセキュリティ対策として、OSやミドルウェアの脆弱性対策やWAFの導入が挙げられます。
    • AzureなどのIaaS環境にWordPressを構築した場合も、WAFの導入が推奨されます。

※メンテナンスが行われなくなると、脆弱性が発見されても修正されない恐れもあるので注意が必要です。

Webのセキュリティ対策を実施すべき企業とは

どんな企業がサイバー攻撃の被害にあうのでしょうか。

例えば、

  1. 製品・サービスの知名度が高いWebサイト
  2. 検索順位の上位に表示されるWebサイト
  3. SNSで話題となったWebサイト

...などが考えられます。

これらに該当しないWebサイトは狙われない、というのは正しいでしょうか?

実際にWebサイトを構築し、セキュリティ対策を施さなかった場合どうなるのかを検証してみました。

引用元

検証1:無名のWebサイトにどれだけ攻撃がくる?

AzureのIaaS環境にWordPressをセットアップし、サイバー攻撃の被害状況を検証したところ、セットアップ完了のわずか8分後に最初の攻撃が襲来しました。

継続して観察したところ、約5日間で417件の攻撃を観測しました。

このように、Webサイトを運営する企業の規模や検索順位に関係なく、攻撃対象となってしまうことがわかります。

これらの攻撃の目的は、他へ攻撃するための踏み台とするためです。

攻撃者は改ざん可能なWebサイトを見つけると、危険なWebサイトへリダイレクトさせ訪問したユーザーの端末をマルウェアに感染させたり、個人情報の搾取を行ったりします。

つまりWebサイトがサイバー攻撃の被害にあうと、第三者へのサイバー攻撃に加担させられてしまう恐れがあるのです。



おすすめのセキュリティ対策とは

こうした攻撃を防ぐためには、WAF(Web Application Firewall)の導入をおすすめします。

WAFは、Webアプリケーションの脆弱性を突いた攻撃に対するセキュリティ対策のひとつです。

例えば、ネットショッピングやゲーム、インターネットバンキングなど、顧客情報やクレジットカード情報に関するデータのやり取りが発生するWebサービスが保護対象として挙げられます。

お役立ちコラム



検証2:WAFの導入で本当に防げる?

WAFを導入すると本当に攻撃を防ぐことができるのでしょうか。

この検証では、疑似的な攻撃リクエストをWebサイトへ送信することで脆弱性を検出できるサービス「Barracuda Vulnerability Manager」を利用しました。

何も保護していないWebサイトに対してスキャンしたところ、最新バージョンのWordPressを使用しているのにも関わらず、反射型クロスサイトスクリプティングなど危険な脆弱性も発見されました。

次にWAF(今回はBarracuda Web Application Firewall)でWebサーバを保護した上で再度スキャンを実施しました。2つの項目を検知しましたが、どちらも過検知であったため全ての脆弱性を修正できました。

Before

wordpress-security-5.png

検知した脆弱性

リスク高が2件、リスク中が3件、リスク低が7件

After

検知した脆弱性

リスク中が1件、リスク低が1件だったが、どちらも過検知

まとめ

今回は、WordPressのセキュリティ対策についてご紹介しました。

自社のWebサイトがサイバー攻撃の被害にあうとユーザーからの信頼低下だけでなく、第三者への攻撃に加担させられたことによる社会的信用の失墜など多くの被害が考えられます。

まずは、自社のWebサイトにどのような脆弱性がどれだけあるか、という現状を把握してみてはいかがでしょうか?

JBサービスでは、下記のWeb脆弱性診断のサービスをご用意しています。

おすすめサービス

Web脆弱性診断|セキュリティ教育・診断

Web脆弱性診断は、お客様の運用中のWebページに潜む脆弱性を診断し、その結果をレポートとしてご提供いたします。

詳しく »

またWAF導入後の運用には、専門知識をもったエンジニアが必要になるため、導入のハードルを高く感じている方もいらっしゃるかもしれません。

WAFの利用と運用のアウトソーシングがセットになったサービスも用意されていますので、このようなサービスの利用を検討してみてはいかがでしょうか。

JBサービスでは、クラウド型WAFの設定・運用サービスをご用意しています。
おすすめサービス

Barracuda WAF-as-a-Service SMAC Edition|Webセキュリティ対策

Barracuda WAF as a Serviceは、Webサイトをサイバー攻撃から防御するクラウド型Webセキュリティサービスです。

詳しく »
Web脆弱性診断やWAFの導入でお悩みの方は、JBサービス株式会社へお気軽にご相談ください。

Web脆弱性診断・WAFの導入に関するご相談・お問い合わせ

関連サービス

WAF導入時や運用上の注意点とは?誤検知などのトラブル対策法

本記事では、WAFを導入・運用する際に注意が必要な点についてご紹介しています。WAFを導入するにあたって誤検知などのトラブル対策が気になっているIT担当の方はぜひチェックしてください。

詳しく »

手軽に安く利用できるクラウドWAFあります
手軽に安く利用できるクラウドWAFあります

Barracuda WAF-as-a-Service SMAC Editionは、Webサイトをサイバー攻撃から防御するクラウド型Webセキュリティサービスですエンタープライズレベルの防御機能をお手軽な月額料金でご利用可能です。

Webサイトの脆弱性対策・https化をお考えですか?
Webサイトの脆弱性対策・https化をお考えですか?

Barracuda WAF as a Serviceは、Webサイトをサイバー攻撃から防御するクラウド型Webセキュリティサービスです

DXを促進させる新しいセキュリティSASE(サシー)とは
DXを促進させる新しいセキュリティSASE(サシー)とは

クラウドサービス利用の増加やテレワークの導入によって注目されているSASEについて解説します。

お役立ちブログ

企業の情報セキュリティやITシステムに関するお役立ち情報がご覧いただけます。JBサービス株式会社(JBS)は、企業の情報セキュリティ対策や最適なIT運用のためのご支援・ソリューションをご提供いたします。

情報セキュリティ対策に関するお役立ち情報
情報セキュリティ対策に関するお役立ち情報がご覧いただけます。サイバー攻撃に関する最新情報や、企業が取り組むべき情報セキュリティ対策についての各種情報をご紹介します。
Windows10・Windows11/Microsoftに関するお役立ち情報
Windows 10・Windows 11/Microsoftに関するお役立ち情報がご覧いただけます。Windows 10・Windows 11の導入展開手法や、Micorosft Azure、Intuneの機能・メリットなどの情報をご紹介します。
IT運用に関するお役立ち情報
IT運用に関するお役立ち情報がご覧いただけます。IT運用に必要な人材やスキルについての情報をご紹介します。
IoT/Non-ITに関するお役立ち情報
IoT/Non-ITに関するお役立ち情報がご覧いただけます。製造業やサービス業、医療などさまざまな業種のお客様にお役立ていただける各種情報をご紹介しています。
3Dプリンティングに関するお役立ち情報
3Dプリンター・3Dプリンティングに関するお役立ち情報がご覧いただけます。3Dプリンターの導入をご検討のお客様向けの無料ベンチマークサービスや、3D Sysetms ProJetシリーズプリンターをお持ちのお客様に向けた技術情報をご紹介しています。
AIに関するお役立ち情報
AIに関するお役立ち情報がご覧いただけます。AIチャットボットの基礎知識やAIの業務活用について各種情報をご紹介しています。
BCP・災害対策に関するお役立ち情報
地震、台風等の自然災害や火災、パンデミック、予期せぬ災害が発生した際、自社への被害を最小限に抑え、いち早く事業を復旧させるためには、何をすべきか?BPC・災害対策に関する基礎知識やお役立ち情報、当社の取り組みをご紹介します。
延長保守サービスに関するお役立ち情報
メーカー保守期間終了後の延長保守サービスは、メーカーの保守サポート期間の終了したEOS製品の延長保守を行います。JBサービス株式会社は、企業の情報セキュリティ対策や最適なIT運用のためのご支援・ソリューションをご提供いたします。