WordPress導入環境におけるセキュリティ対策のすすめ
こんにちは。技術部のmsです。
WEBサイトやブログの作成を無料で手軽に行える「WordPress」。
利用されている方も多いかと思います。
その分、攻撃者に狙われやすいツールでもあります。
脆弱性を突かれて管理画面に不正ログインされ、ページを改ざんされてしまったり、時には攻撃の踏み台にされてしまうこともあります。
弊社ご契約のお客様のサーバでも、障害の検知からWordPressの脆弱性が原因だったという事例が多くあります。
このようなトラブルを回避するにはどうすれば良いのか、対応策をいくつかご紹介いたします。
WordPressを常に最新版にしておく。
WordPressに限らず、利用者の多いオープンソースのミドルウェアについては
常に最新版にしておくことが一番のセキュリティ対策となります。
※ネットアシストではWordPressのアップデート対応は請け負っておりませんのでご了承ください。
WordPress管理画面へのアクセス制限
WordPress管理画面にアクセスされてしまうと、コンテンツやデータの改ざんが可能となってしまうため、ログインページへのアクセス制限をかけることをおすすめします。
制限の方法としては、ログインページに対して、許可されたIPアドレスのみ接続ができるような設定や
ベーシック認証をかける方法があります。
利用しているWordPressのテーマやテンプレートによっては、制限をかける箇所(wp-admin等)の配下に設置されている画像等のコンテンツを読み込む場合があるため、制限をかけると不具合が出る可能性があります。
事前に制限からの除外が必要なコンテンツが無いか確認することを推奨します。
WAFの導入
WAF製品のおすすめ
WordPressをはじめ、Webアプリケーションの脆弱性を突いた攻撃への対策には
WAF(Web Application Firewall)の導入もおすすめしております。
弊社ではWAF製品である 攻撃遮断くん WafCharm Scutumの販売を行っております。
それぞれの製品の特長は以前の記事にてご紹介させていただいておりますので、ぜひご覧くださいませ。
お客様のサーバ環境に合った製品のご提案も可能でございますので
気になった方はお気軽にお問い合わせくださいませ。
WordPress WAFプラグインご利用時の注意点
WordPressのプラグインの中には、WAFの機能を備えたものもありますが、
プラグインを導入したことにより通信が不安定になるといった事例もございます。
例えば、AWS CloudFrontがEC2の上位に存在している環境で、WordPressのセキュリティ系のプラグインを導入した際に
AWS CloudFrontへのアクセスを攻撃と見なしてしまい、一時的に接続を遮断してしまうことがある為です。
ご利用の際にはサーバ環境や構成を確認してから導入することをおすすめします。
以上のような対策を実施し、安全にWordPressを利用しましょう!
