WordPressは、ウェブ上のサイトの約4分の1を占める基盤となっています。
そのため、ハッカーやその他の犯罪者にとっては格好の標的となっています。
WordPressの脆弱性を見つけることができれば、何百万ものサイトの鍵を手に入れることができるのです。
人気のあるWordPressプラグインの脆弱性は、それと同じくらい魅力的で、あまり人気のないプラグインでも、攻撃者が何千ものサイトにアクセスできるようになるかもしれません。
これは、Graeme Caldwellによるゲスト寄稿です。
これは、WordPressに限った問題ではありません。
WordPressは最大の獣に過ぎず、他のコンテンツ管理システムにも同じような問題があります。
WordPressの安全性を保つのは、開発者やセキュリティ研究者の仕事ですが、彼らができることは限られています。
WordPressのサイトオーナーも、自分たちの役割を果たす必要があります。
WordPressサイトの安全性を保つには、どのようなリスクがあり、どのようにすれば一般的な脆弱性からサイトを保護できるかを理解することです。
最近、WordPress のセキュリティ企業である Wordfence は、WordPress サイトが危険にさらされる最も一般的な方法のリストを発表しました。
ここでは、そのリストと、被害に遭わないためにWordPressサイトのオーナーができることを見ていきましょう。
最も一般的なWordPressの攻撃
プラグインの脆弱性
最も大きな原因は、プラグインの脆弱性です。
何万ものプラグインがあり、何千もの開発者によって作成されているので、プラグインが最大のリスクであることは理にかなっています。
プラグインの脆弱性からサイトを守る方法のひとつは、できるだけ少ないプラグインをインストールすることです。
プラグインのエコシステムは、そもそも人々がWordPressを選ぶ大きな理由なので、プラグインを完全に避けることを勧めるわけではありません。
しかし、もし使っていないプラグインがあれば、削除してください。
プラグインが提供する機能が必要なのかどうかを考えてみてください。
プラグインの数を少なくすることで、脅威の表面積を減らすことができます。
次に、使用しているプラグインを常に更新しておくことです。
脆弱性は常に発見され、修正されています。
アップデートは、その修正を提供するものです。
更新されていないプラグインは、セキュリティ侵害を引き起こす可能性があります。
プラグインがしばらく更新されていない場合、開発元から見放されている可能性があります。
プラグインが活発に開発されていないと思われる場合は、代替のプラグインを探しましょう。
ブルートフォース
ブルートフォース攻撃は、単純に推測で行う攻撃です。
攻撃者(通常はボット)は、正しいものを見つけるまで、ユーザー名とパスワードの組み合わせを可能な限り多く試します。
推測できるようなパスワードやユーザー名を使わないことです。
長くて複雑なパスワードは、推測が不可能です。
pa55word” や “ilovejustin” のようなパスワードは、一瞬で推測されてしまいます。
安全なパスワードの使用に加えて、WordPressサイトに2要素認証をインストールし、ログイン試行回数が多すぎるとIPをブロックするレートリミッターツールの使用も検討することをお勧めします。
Duo 2ファクタ認証
著者: Duo Security
74%評価
9,000+ インストーラ
WP 4.1+必要数
詳細情報
デュオ・ワードプレス.zip
現在のバージョン: 2.5.7
最終更新日 2022年5月31日
74%評価
9,000+ インストー ル
WP 4.1+必要数
WordPress.org プラグイン ページ
Duo 2要素認証
WP Limit Login Attempts(ログイン試行回数制限
著者名: Arshid
92%Ratings
30,000+インストール
必要なもの
もっと詳しく
wp-limit-login-attempts.zip
現在のバージョン: 2.6.4
最終更新日 2021年8月25日
92%Ratings
30,000+ インストーラ
必要なもの
WordPress.orgプラグインページ
WP Limit Login Attempts(ログイン試行回数制限
コアとテーマの脆弱性
この2つをまとめているのは、それぞれ緩和策が同じだからです。
WordPress Core はプラグインエコシステムよりもはるかに安全であり、成功した攻撃の大部分は、最新バージョンで修正された脆弱性に依存しています。
繰り返しになりますが、WordPress サイトを常に最新の状態に保つようにしてください。
ホスティングの脆弱性
時々、ウェブホスティング会社は間違いを犯すか、彼らが依存しているソフトウェア – 例えば Linux オペレーティングシステム – に脆弱性が含まれています。
無能なウェブホスティングを避ける最良の方法は、セキュリティに定評があり、顧客を保護する専門知識を持つウェブホストを選択することです。
WordPressを安全にするために、多くの作業を行う必要はありません。
WordPressの開発者は強力な基盤を作り上げました。
少しの時間と注意を投資することで、WordPressユーザーは自分のサイトやブログを犯罪者から守ることができるのです。
編集部注 さらに一歩踏み込んで、本当にブログを安全にしたい場合は、CodeinWPブログの詳細な記事をご覧ください。
2022年にあなたのWordPressウェブサイトを安全にする25のシンプルなトリックをご覧ください。
著者について Graeme Caldwellは、MagentoとWordPressのホスティングの主要なプロバイダであるNexcess.netのインバウンドマーケターとして働いています。
NexcessのTwitterは@nexcessでフォロー、Facebookはnexcessで「いいね!」、技術/ホスティングブログはblog.nexcess.netでチェックしてください。
