ウェブサイトの改竄状況などを調査していると、比較的多いのはWordPressを使ったサイトの改竄だったりします。以前から多いことは多いのですが、以前だと「admin」というユーザー名で使っていて乗っ取られたとか、WordPress本体のバージョンが古いために脆弱性を突かれて改竄されたとかいうパターンが殆どでした。

最近目に付くのは、コレに加えてWordPressのプラグインのバージョンが古くて脆弱性を突かれるというパターンです。今月上旬に話題になったIslamic Stateを名乗る改竄事件もプラグインの脆弱性を突かれたパターンでした。

最新のWordPress本体はマイナーバージョンアップについては自動的に行う仕組みを持っていたりしますが、プラグインに関しては手動で更新するしかありません。弊社で管理しているサイト(6サイトあります)の場合、使うプラグインを最小限にして、かつ、共通化しています。その為、だいたい2〜3日に一度くらいのペースでいずれかのサイトの管理画面を見ている関係で、プラグインのバージョンアップに気付くのが比較的早いため、もしプラグインのバージョンアップが見つかった場合には直ぐに全サイトに適用するようにしています。

また、いろいろ相談を受ける中で良く聞く話は「不安だからセキュリティ系のプラグインをいっぱい入れている」という話です。確かに気持ちは判らなくはないのですが、プラグインの数が多くなればなるほど危険性が増すと言っても良いでしょう。不安だからセキュリティ対策をするのに、そのせいで危険度が増すとは皮肉な話です。例え、セキュリティ系のプラグインとは言っても脆弱性が皆無であるという保証はありません。そういった意味で、プラグインの導入数は(例えセキュリティ系のプラグインであっても)最小限に抑えるのがベターです。

弊社ではこちらのブログで紹介している2種類しかセキュリティ系のプラグインは入れていません。但し、サーバーにWAF(ウェブアプリケーションファイアウォール)というものを入れているため、この2種類で良いのですがWAFを使われていない方は「SiteGuard WP Plugin」を追加で入れておくと良いでしょう。ちなみに、先に紹介した2種類を入れておけばログイン画面のページアドレスを変える必要はありません。

このように、「WordPressの本体だけでなくプラグインも常に最新にしておく」ことと「WordPressのプラグインは必要最小限に抑える」ことがとても重要なことになります。一旦導入したプラグインで不要になったものがあれば削除しておくこともセキュリティ確保のためには重要なポイントになります。

Follow me!