株式会社mgnの齋木 弘樹さんによる、WordPressのセキュリティに関するセッションです。
クラッキング
不正ログインをされて、ホームページを書き換えられたり、重要な情報が盗み取られたりすることがあります。
また、不正なプログラムの埋め込みをされて、知らないプログラムが勝手に動いたりすることもあります。
対策
世界の中のCMSの中で61.5%はWordPress。日本語のCMSシェアでは8割を超えています。シェアが高いので狙われやすくなっています。
攻撃に関する情報はJPセキュアのレポートなどで分かります。
まずできる対策を考えましょう。
パスワード対策
2018年、最も使われたパスワードは「123456」。覚えやすいパスワードですが、攻撃するのは簡単になってしまいます。
理想のパスワードは想像されにくい文字列で、最低でも8桁以上、大小英文字、数字、記号も混ぜたものです。
管理をするには、管理ツールを使う、他人と共有しない、手帳に書く、というのがオススメです。
大事なことはパスワードは覚えないということです。
手帳に書く場合は、絶対にパソコンと一緒にしないこと、管理は厳重にし、もし、手帳をなくしたらすべてのパスワードを変更して再登録が必要です。
サーバーでの対策
WAFの導入、PHPのバージョンを最新にすること、SSLの設定が有効です。
WAFはウェブアプリケーションファイヤーウォールのことで、各レンタルサーバーのページで確認できます。
初期設定がOFFのサーバーもあれば、ONのサーバーもあります。
PHPはWordPressで利用するプログラム言語なのですが、新しいバージョンのほうが安全です。7.3または7.2が選べるサーバーがオススメ。
WordPressは7.3以上を推奨しています。
長く使い続けている場合は、特に注意が必要で、アップデートをしましょう。
セキュリティ面だけでなく、動作速度も速いので、アップデートはしておきましょう。
PHPのバージョンアップは、テーマやプラグインとの互換性も確認が必要です。PHP Compatibility Checkerなどを使うとすぐに確認できます。
常時SSL
常時SSLに対応していないと、情報を盗み見されてしまいます。
新たにリニューアルするなら必須、運用していて設定できていないならば早めに対応しましょう。
WordPressの設定での対策
WordPressのアップデートとログインパスワードが重要。
11月12日にはWordPress5.3が公開予定になっています。
マイナーアップデートは自動更新されるようになってます。セキュリティアップデートにも対応しているので是非、適用しましょう。
メジャーアップデートもできるだけ対応しましょう。大きい機能追加・変更も含まれます。
公式上は最新のものだけしかサポートしていないので、現在では5.2.4しかサポートされていないことになります。
ログインパスワードはパスワード生成ツールがウェブ上にたくさんあるので、自動生成して複雑なパスワードを利用しましょう。
セキュリティプラグイン
セキュリティプラグインを入れる前に、まずは、使ってないプラグインは削除。
インストールするなら目的に合ったものを選択し、必要な機能を正しく設定しましょう。
同じような機能がかぶることもあるので、確認が必要。
さらに細かく設定をしたい場合には、プロに頼むようにしましょう。
まとめ
WordPress MeetupやWordCampなどでも、セキュリティの勉強ができますので、足を運んでみるのが良いでしょう。
コメント