プラグインだけじゃ足りない?WordPressのセキュリティ対策とは

新型コロナウイルス感染症の影響もあり、ECサイトの立ち上げや会員制Webサイトの設立などオンラインでのビジネス発掘に注力する企業も増えています。

Webサイトの作成ではCMS(Contents Management System)を利用するケースが多く、中でもWordPressは国内シェアの8割を超えます。

オンラインでのビジネスを推進するためには、Webサイトを狙った攻撃を考慮したセキュリティ対策が不可欠です。

今回はWordPressに焦点を当て、セキュリティ対策についてご紹介します。

目次

  1. WordPressのセキュリティ対策とは
  2. Webのセキュリティ対策を実施すべき企業とは
  3. 検証1:無名のWebサイトにどれだけ攻撃がくる?
  4. 安全なWebサイトのために必要なセキュリティ対策とは
  5. 検証2:WAFの導入で本当に防げる?
  6. まとめ

WordPressのセキュリティ対策とは

WordPressのセキュリティ対策としては大きく3つ挙げられます。

POINT
  1. 利用しているテーマのバージョンを常に最新に保つ※
    • 最新バージョンには機能の追加だけでなく、発見された脆弱性に対する修正も含まれています。
  2. セキュリティ対策用プラグインの導入
    • WordPressではスパムコメントをブロックするプラグインなど、さまざまなセキュリティ対策用プラグインが用意されています。
  3. インフラ環境のセキュリティ対策
    • Webサーバのセキュリティ対策として、OSやミドルウェアの脆弱性対策やWAFの導入が挙げられます。
    • AzureなどのIaaS環境にWordPressを構築した場合も、WAFの導入が推奨されます。

※メンテナンスが行われなくなると、脆弱性が発見されても修正されない恐れもあるので注意が必要です。

Webのセキュリティ対策を実施すべき企業とは

どんな企業がサイバー攻撃の被害にあうのでしょうか。

例えば、

  1. 製品・サービスの知名度が高いWebサイト
  2. 検索順位の上位に表示されるWebサイト
  3. SNSで話題となったWebサイト

...などが考えられます。

これらに該当しないWebサイトは狙われない、というのは正しいでしょうか?

実際にWebサイトを構築し、セキュリティ対策を施さなかった場合どうなるのかを検証してみました。

引用元

検証1:無名のWebサイトにどれだけ攻撃がくる?

AzureのIaaS環境にWordPressをセットアップし、サイバー攻撃の被害状況を検証したところ、セットアップ完了のわずか8分後に最初の攻撃が襲来しました。

継続して観察したところ、約5日間で417件の攻撃を観測しました。

このように、Webサイトを運営する企業の規模や検索順位に関係なく、攻撃対象となってしまうことがわかります。

これらの攻撃の目的は、他へ攻撃するための踏み台とするためです。

攻撃者は改ざん可能なWebサイトを見つけると、危険なWebサイトへリダイレクトさせ訪問したユーザーの端末をマルウェアに感染させたり、個人情報の搾取を行ったりします。

つまりWebサイトがサイバー攻撃の被害にあうと、第三者へのサイバー攻撃に加担させられてしまう恐れがあるのです。



おすすめのセキュリティ対策とは

こうした攻撃を防ぐためには、WAF(Web Application Firewall)の導入をおすすめします。

WAFは、Webアプリケーションの脆弱性を突いた攻撃に対するセキュリティ対策のひとつです。

例えば、ネットショッピングやゲーム、インターネットバンキングなど、顧客情報やクレジットカード情報に関するデータのやり取りが発生するWebサービスが保護対象として挙げられます。

お役立ちコラム



検証2:WAFの導入で本当に防げる?

WAFを導入すると本当に攻撃を防ぐことができるのでしょうか。

この検証では、疑似的な攻撃リクエストをWebサイトへ送信することで脆弱性を検出できるサービス「Barracuda Vulnerability Manager」を利用しました。

何も保護していないWebサイトに対してスキャンしたところ、最新バージョンのWordPressを使用しているのにも関わらず、反射型クロスサイトスクリプティングなど危険な脆弱性も発見されました。

次にWAF(今回はBarracuda Web Application Firewall)でWebサーバを保護した上で再度スキャンを実施しました。2つの項目を検知しましたが、どちらも過検知であったため全ての脆弱性を修正できました。

Before

wordpress-security-5.png

検知した脆弱性

リスク高が2件、リスク中が3件、リスク低が7件

After

検知した脆弱性

リスク中が1件、リスク低が1件だったが、どちらも過検知

まとめ

今回は、WordPressのセキュリティ対策についてご紹介しました。

自社のWebサイトがサイバー攻撃の被害にあうとユーザーからの信頼低下だけでなく、第三者への攻撃に加担させられたことによる社会的信用の失墜など多くの被害が考えられます。

まずは、自社のWebサイトにどのような脆弱性がどれだけあるか、という現状を把握してみてはいかがでしょうか?

JBサービスでは、下記のWeb脆弱性診断のサービスをご用意しています。

おすすめサービス

Web脆弱性診断|セキュリティ教育・診断

Web脆弱性診断は、お客様の運用中のWebページに潜む脆弱性を診断し、その結果をレポートとしてご提供いたします。

詳しく »

またWAF導入後の運用には、専門知識をもったエンジニアが必要になるため、導入のハードルを高く感じている方もいらっしゃるかもしれません。

WAFの利用と運用のアウトソーシングがセットになったサービスも用意されていますので、このようなサービスの利用を検討してみてはいかがでしょうか。

JBサービスでは、クラウド型WAFの設定・運用サービスをご用意しています。

おすすめサービス

Barracuda WAF-as-a-Service SMAC Edition|Webセキュリティ対策

Barracuda WAF as a Serviceは、Webサイトをサイバー攻撃から防御するクラウド型Webセキュリティサービスです。

詳しく »

Web脆弱性診断やWAFの導入でお悩みの方は、JBサービス株式会社へお気軽にご相談ください。

Web脆弱性診断・WAFの導入に関するご相談・お問い合わせ

関連サービス

WAF導入時や運用上の注意点とは?誤検知などのトラブル対策法

本記事では、WAFを導入・運用する際に注意が必要な点についてご紹介しています。WAFを導入するにあたって誤検知などのトラブル対策が気になっているIT担当の方はぜひチェックしてください。

詳しく »