2018年02月27日Webサイト運用

WordPressの脆弱性について、できるだけわかりやすく解説

WordPressの脆弱性について、できるだけわかりやすく解説

ここ数ヶ月、WordPressの脆弱性(ぜいじゃくせい)についてお問い合わせやご相談をいただく機会が増えています。

昨年来、WordPressを狙った攻撃とその被害が発生していることで対策が迫られているものと思われます。

「WordPress 脆弱性」

で検索すると、IPA(情報処理推進機構)のこちらの記事がヒットします。

ところでこの「脆弱性」、なんとなくはわかるけど具体的にはイメージしにくい、という方も多いのではないでしょうか。

そこで「Webに詳しくないWebマスターのためのブログ」という原点に立ち返って(?)、WordPressの脆弱性についてできるだけわかりやすく解説します。

そもそも、脆弱であるとは?

そもそもWebサイトが「脆弱」であるとはどういう状態なのでしょうか。

わかりやすくするため、金庫を例に考えてみます。

イメージ:金庫

ダイヤルと電子ロックの二重のカギがついていて、壁も分厚い鋼鉄製でとても脆弱には見えません。

しかし泥棒の目から見ると、どこに脆弱性があるか、簡単に見破ることができます。
なぜなら設計図が公開されているから(=オープンソースだから)です。

イメージ:金庫の脆弱部分

鍵を解読したり鋼鉄を撃ち抜いたりすることなく、ヒンジ部分にちょっとした細工をすることで簡単にドアを外すことができました。

イメージ:金庫が開いてしまう

これが、「脆弱性」です。

脆弱であることは見通されている?!

脆弱性があることを見つけたハッカーですが、見つけたらすぐに攻撃してくるとは限りません。

彼らはコミュニティを形成しているので、情報共有(といえば聞こえはいいですが、実際は情報の横流し)はもちろん、攻撃も組織的です。

直接的な攻撃だけでなく、より大きなサイトへの攻撃の踏み台として使われることもあり、アクセス規模や知名度とは関係なくすべてのWebサイトが攻撃対象となります。

被害が発生しないレベルの小さな攻撃(のようなもの)も、実は絶え間なく発生しています。

泥棒の世界でも宅配を悪用して留守宅や留守になる法則性をあぶりだしたり、仲間の間で通じるサインを家の前に着けていたりするそうですが、ハッカー達も虎視眈々と攻撃の機会を狙っているのです。

対策は現状把握から

対策についてはWordPressのアップデートをこまめに実行してなるべく最新の状態を保つ、あるいはCMSを静的配信型のものにリプレイスするなど、いくつか方法があります。

まずは制作や保守を委託している会社にWordPressのバージョンなどの情報と、そのリスクについて意見を求めてください。

改めて確かめてみると保守契約がない!というケースも多々あり、こうした場合は保守してもらえる会社を探すことが先決となります(弊社でも受け付けております)。

取り急ぎの対策として「WAF(Web Application Firewall)」を導入するのもよいでしょう。
※WAFについては下記記事もご参照ください。
 クラウド型WAFとセキュリティ対策ついて、ざっくりと整理してみました。

まずは現状を正しく把握することからはじめ、然るべき策を講じることが大切です。

Getting Betterとは

企業の忙しいWeb担当者(Web担当者)の方のために、コーポレートサイトやオウンドメディアの運営に欠かせない情報やトレンド・ノウハウを解説するブログです。

日々のサイト運営のご参考になれば幸いです。

IMAGICAイメージワークスのWeb制作サービスについてはこちら
https://www.imagica-imageworks.co.jp/web/

Webも映像もグラフィックも。

IMAGICA IMAGEWORKS
トップへ