あなたのサイトは大丈夫?WordPressなどCMSのセキュリティ対策

  • このエントリーをはてなブックマークに追加
  • Pocket
  • LINEで送る
security_1110

いま、自社サイトをWordPressなどのCMSで運営・管理する企業が急増しています。しかしWordPressやその他CMSでのサイト運営は、作成しやすく敷居が低い一方で、セキュリティ面でのリスクがあります。

サイバー攻撃者は、CMSの脆弱性を狙った攻撃もしかけてきます。対策していないと攻撃され、情報流出など大きな被害を受ける恐れがあります。CMSを使った企業サイトも個人サイトも、セキュリティ対策が必要です。

CMSのリスクと被害内容、CMSのセキュリティ対策について紹介します。

目次

1. CMSとは?

CMS(Contents Management System:コンテンツ管理システム)は、管理画面からWebサイトを編集(テキストや画像)できるシステムのことです。

HTMLなどの専門知識が必要な部分はすべてシステムでおこなわれるので、プログラミング知識がなくてもWebサイトの作成・更新ができます。

CMSには有料・無料のものなど多数あり、ブログやTwitterなどのSNSもCMSの一種です。(投稿内容=コンテンツ、投稿内容などを管理するシステム=CMS)

1-1.「3大CMS」とも呼ばれる、利用者の多い主なCMS

WordPress(ワードプレス)

ブログシステムだがCMSとして利用されることも多い。国内利用者が多く、使いやすいプラグインも豊富。

ただカスタマイズに限界があり、細かい配置変えなどやりたいことによってはPHPを触る必要がある

Joomla!(ジュームラ)

機能が多く元のデータが大きいので、大規模サイト構築向き。レイアウトなどプログラムを触らなくても変更しやすい。

ただ日本語情報が少なく、プラグインもほぼ英語

Drupal(ドルーパル)

自由度の高いモジュールが多く、会員制サイトにも向いている。
ただ細かい部分までモジュールで作る必要がある。

1-2. CMS導入のメリット

  • 1からサイトを構築せずに済むので、ホームページ初心者でも短時間でサイトが作れる
  • ブラウザから複数の管理者がサイトを更新できる
  • テキストや画像を入れれば自動でレイアウトされる
  • デザインなどを自由にカスタマイズできる
  • プラグインなどの便利な拡張機能が豊富にある

しかしメリットの反面、CMSにはこんな危険もあります。

2. CMSに潜むリスク

2-1. セキュリティ対策が抜けやすい

CMSを使えばWeb知識が少なくてもサイトを作れるため、セキュリティ対策が甘くなりがちです。サイトを完成させることに手いっぱいで、セキュリティまで手がまわらないケースが多くあります。

利用者が急増しているWordPressは、サイバー攻撃者が特に狙っている攻撃ターゲットの1つです。

2-2. なぜCMSが狙われるの?

ソースコードが一般に公開されているため(オープンソース)

つまり、コードが理解できれば「誰でもプログラムが開発できる」ということです。

そのため好きなようにカスタマイズできるところがメリットですが、その反面で「悪意ある第三者に不正改ざんされる」危険があります。

管理画面にログインさえできれば、サイトのほぼすべてを簡単に改ざんできてしまうため

いちど不正ログインされてしまうと、CMSからサイトの様々な設定を不正操作されてしまいます。

ログインURLが共通になるため(WordPress)

ログインページのURLが「URL+wp-login.php」になり、また管理画面がインストールされているディレクトリ「/wp-admin/」にアクセスするとログイン画面が出ることが多いです。そのためID/パスワード総当り攻撃で破られやすいです。

サイトがどのCMSで作られているか、プログラムからすぐ見分けられる

該当CMSで作られたサイトリストを自動で作れます。

プラグイン(モジュール)やCMS自体の定期的な更新が必要

プラグインとは、便利な機能を追加できる拡張機能のことです。

プラグインは一般の有志なども作成・公開できますが、致命的な脆弱性のあるものが配布されていることもあります。サイバー攻撃者はこの脆弱性を利用して不正アクセスします。

そのため脆弱性が見つかると、修正版が公開されます。しかしこの修正アップデートをおこなっていないユーザーも多く、攻撃できるスキマの残っているサイトがたくさんあります。

制作会社に依頼しオリジナルのものを使っている場合、制作時にチェックがされていないと、脆弱性の有無がわかりません。デザイン主体で、セキュリティは後回しの会社も多いです。

このような理由から、CMSで作ったサイトはサイバー攻撃者に狙われています。

3. どんな攻撃・被害を受ける?

  • 管理画面・サイト乗っ取り(不正ログイン)
  • プラグインやモジュールの悪用
  • 総当り攻撃(ブルートフォースアタック)
  • ウイルス感染
  • DDoS攻撃
  • SQLインジェクション など

これらの攻撃を防げず、ID/パスワードが破られる、または何らかの原因で漏れ、脆弱性を突かれてしまうと、管理画面にログインされてしまいます。

するとサイトを勝手に不正操作され、以下のような被害を受けてしまいます。

情報流出、データベース乗っ取り

サイトに保存している非公開の情報はもちろん、データベースの情報まで盗まれます。流出した情報に個人情報などが含まれていると、より大きな被害を招きます。

サイト改ざん

ウイルスをばらまく不正サイトへの誘導や、サイト自体にウイルスを仕込み、訪問者を感染させます。悪意ある内容に書き換えられることもあります。

「うちのサイトはアクセスも少ないし攻撃されないだろう」と、対策しないのは危険です。他サイトへの攻撃の踏み台として悪用されることもあります。

サイトのダウン、遅延(スパムコメント)

関係ない文字列などをコメント欄へ大量に書き込まれると、サーバに負荷がかかりサイト表示が遅れたり、開けなくなったりします。

security_01脆弱性とは?脆弱性を狙う攻撃の種類と対策方法を解説
セキュリティのことを知ろうとすると「脆弱性」という言葉をよく聞きます。しかし、本来の意味を知っている人は少ないでしょう。何となく「セキュリティの欠陥」という...

実際に起きたサイバー事故

パナマ文書の重要情報漏えい事故は、WordPressプラグインの脆弱性が原因とされています。

security_458パナマ文書の流出原因はWordPressのプラグインか?
今、世界中を騒がしている「パナマ文書」。世界の指導者や著名人と、税率が極めて低いタックスヘイブン(租税回避地)の関係が続々と明らかになっている。文書には、日...

4. サイバー攻撃を防ぐ!CMSのセキュリティ対策方法

4-1. 基本的なセキュリティ対策

CMS本体、プラグインやテーマを最新版にする

脆弱性を修正した最新バージョンが公開されたら、かならず更新でアップデートしてください。バージョンが古いほど脆弱性が多く、ハッキングされる危険が高いです。

security_1002

パスワードを長く複雑なものにする

最低8文字以上、大文字・小文字・数字・記号などを混ぜた、推測しにくいパスワードにしてください。

また二段階認証、ワンタイムパスワード、画像認証を導入すると、より強化できます。

security_03安全なパスワードの作成方法と管理のコツ・強度のチェック
パスワードの安全性と・強度について考えてことはありますか?難しいパスワードは覚えられないから簡単なパスワードを設定している人がおられます。クレジットカードを...

ユーザー名をデフォルトから変更する

ログインユーザー/ID名がデフォルトの「admin」のままだと不正ログインされやすいので、推測されにくいものに変更してください。

セキュリティプラグインを導入する

WordPressにはセキュリティ設定をするもの、脆弱性スキャンをするもなど、セキュリティプラグインが多数あります。ただ利用するとメモリ領域を圧迫しサイト動作が遅くなる場合もあるので、基本的なセキュリティ設定がやはり大切です。

プラグインやテーマは開発元がわかるものを利用する

公式のものや、評判がしっかりしているもののみ使うようにします。長期間アップデートされていない一般のプラグインには注意してください。

バックアップをとっておく

もし改ざんやトラブルがあったときのため、サイトのバックアップがあれば元に戻せます。漏れのないよう、定期的にバックアップします。

<バックアップデータ例>

  • すべてのフォルダ・ファイル・データベース
  • 管理画面からエクスポートできるもの
  • 各記事・固定ページ・カテゴリ・タグ等の情報(WordPress)

ソース内の非表示コメントに機密情報を記載しない

コメントからファイル構成などを推測されることもあるので、リリース前のコメントなど消しておきます。

4-2. WordPressのセキュリティ対策

バージョン情報を削除する

バージョンがわかるタグがソース内に表示されたままだと、そのサイトの脆弱性が知られてしまいます。「Head Cleaner」というプラグインを使うと、バージョン情報を非表示にできます。

不要なプラグインは削除する

使わないプラグインは「停止」ではなく「削除」します。脆弱性があった場合、削除しないと狙われる恐れがあります。

ユーザー名とサイトの表示名を別にする

デフォルト設定ではログインに使うユーザー名と、記事投稿時にサイトに表示される名前が同じなので、記事を見ればログインIDがわかってしまいます。

そのため、デフォルトのユーザー名ではなく、別の名前を新しく設定し、「ブログ上の表示名」に選択します。

security_1003

ログイン・管理画面のアクセス制限をする

不正ログインをするには、かならずログインページにアクセスする必要があります。そのため、そもそもログインページにアクセス可能なパソコンを設定することで、不正ログインを防げます。

WordPress-Security.jpでログイン画面をアクセス制限する方法が紹介されています。

データベースのテーブル名をデフォルトから変更する

デフォルトでは全てのテーブル名のプレフィックス(接頭辞)が「wp_」から始まっており、このままではテーブル名を特定されてしまいます。そのためオリジナルのプレフィックスを設定します。

設定方法はこちら
http://techmemo.biz/wordpress/database-prefix-alter-table/

4-3. さらにセキュリティを強化する対策

「セキュリティ診断」を受ける

サイトが完成したら、第三者によるセキュリティチェックをかならずおこなってください。

CMSでは初心者でも構築しやすいとはいえ、セキュリティが甘くなった結果ハッキングされてしまい、企業などの評判が下がっては元も子もありません。

無料~1万円などで受けられる脆弱性チェックは、「サイトのURLを入力するだけ」ですぐにできます。

またWordPress専門のセキュリティチェックサービスもあり、WordPressの脆弱性検出に特化したチェックができます。会員制サイトやショッピングサイトは特にリスクが高いので、かならず受けるべきです。

手動インストールにする

レンタルサーバなどの簡単インストールは便利ですが、インストール作業が自動で行われ、サイトを構成するファイル名などがどのサイトも共通になってしまい、ハッキングされやすいです。

主なサイト設定が入ったファイルをアクセス不可にする

(WordPressの例)インストール中に作成される「wp-config.php」ファイルにはデータベース接続情報などサイトの重要な設定の詳細が入るので、アクセス制限をかけましょう。

サイトをhttps(通信暗号化)する

特にログインページや管理画面だけでもhttpsを取得し、入力パスワードのインターネット通信を暗号化すると安全です。

サイト立ち上げ時に取得しておけば、後で取得するよりも様々な変更の手間が省けます。

WAFの導入でCMSを守る

WAFとは、Webサイトへの攻撃に特化したファイアウォールです。

すぐに最新バージョンにできない、利用プラグインが最新の本体動作をサポートしていない場合など、セーフティネットとしてWAFが役立ちます

IPAの「重要なセキュリティ情報一覧」を定期的にチェックする

特に重要な脆弱性情報を公開しています。Twitterのフォローが便利です。

Twitter
https://twitter.com/ICATalerts/
Webサイト
https://www.ipa.go.jp/security/announce/alert.html

5. こんな症状は危険!

  • 管理画面にログインできなくなった
  • サイトが重くなった
  • 表示のおかしいページがある(真っ白になる、おかしな文字が追加されているなど)
  • 設定が変えられている(サイトタイトルやキャッチが見覚えないものになっているなど)

このような場合サイトがハッキングされた恐れがあります。また下記の場合、改ざんの可能性が高いです。

  • 「危険サイト」の通知がブラウザに出る
  • Googleインデックスにウイルスサイトとして登録された
  • サーバ会社から通知がきた

サイトを閉鎖できればすぐに閉鎖し、サイバー事故対応をおこなうセキュリティ専門サービスへの相談したほうがよいでしょう。放置や自分で色々と触ってしまうと、解決が難しくなりやすいです。

※症状がでないことも!
ハッキングされても特に変化がなく、情報流出や改ざんに気づかないこともあります。本当の実害は、攻撃者にしかわかりません。

普段から対策しておくことがやはり重要です。

まとめ 注意一秒、事故一生のセキュリティ

  • CMSで簡単に作ったサイトでも、セキュリティ対策は必須
  • サイトが完成したら、セキュリティチェックを受ける

Web初心者でも作れるCMSサイトですが、かならずプロor専門ツールのセキュリティチェックを受けてください。

ハッキングされ、いちど流出してしまった情報は、元には戻せません。また「サイバー事故を起こした企業・運営者」としての情報がインターネット上にずっと残り、ダウンした顧客からの信頼回復は至難の業です。

  • このエントリーをはてなブックマークに追加
  • Pocket
  • LINEで送る