WordPressのセキュリティー対策をするなら「SiteGuard WP Plugin」は入れておこう!
さて、先日の記事で書ききれなかったセキュリティーのお話です。
WPでサイトを運営していくうえで「セキュリティー強化は必須」というのは前回の私の記事を読んでいただければ納得していただけるかと思います。
こんな数千PV/月レベルの弱小サイトですらも攻撃されるのですから、WPのセキュリティー対策は必ずやっておくべきだと私は強く主張します。同じ悲劇を繰り返さないためにも^^; 笑
今回はWPがどのようにサイバー攻撃されるのかということも説明しながら、それを防ぐための最強のプラグイン「SiteGuard WP Plugin」について紹介させていただきたいと思います。
なぜWPが攻撃対象となるのか?
セキュリティーの話の前に、なぜWPが攻撃の対象になりやすいのか?という点からお話させていただきます。(WPって何よというかたはこちらの「WPとはなんぞ? 無料ブログとは違うのだろうか?」をお読みください)
私もこういった話にとても詳しいというわけではないので、的を得ているかどうかはわからないのですが、いろいろネットで調べてみると、WPが攻撃対象になりやすい理由は
・利用者が多い
・オープンソースである
という2点に尽きるようです。
1つ目の利用者が多いというのは説明不要かと思います。ハッカー側としてはパイ(市場規模)が大きい方が良いのですから。ここら辺はマーケティングみたいなもんですね笑。
問題は2点目です。WPがオープンソースのCMS(管理システム)であるということ。
オープンソースというのは、直訳通りサイトのソース(中身)が全てオープン(公開)されているということを意味します。つまり設計図が全部公開されているようなものですね。そのため、ハッカーがその公開されているソースを見て「あれ?ここ狙えば片っ端から侵入できるくない?」「んー、じゃあとりあえず試しに攻撃してみるか」みたいなそんな流れになるわけです。←軽いな、おい ^^;
本来はオープンソースにすることで、システムの連携や対応するプラグインの開発などが進み、ユーザー視点で言えばサイトの自由度が上がりカスタマイズしやすい、開発者視点では利用者が増えるといったメリットがあるのですが、そういったメリットの反面、上記のようなセキュリティー面に対するデメリットもあるということです。
もちろんWP側もそういったデメリットを最小限にするためにセキュリティーの穴が見つかる度にバージョンアップをしているので指をくわえて見ているわけではありません。またソースを公開していることで、世界中の様々な人たちがソースを吟味し脆弱性を発見するに至るということも多々ありますので、オープンソースだからハッカーのカモになりやすいとは言い切れません。
ただし、私のようにサイトを放置してしまっていたら穴だらけのサイトになってしまうわけですから、ハッカー達の格好のカモになります(もはや家に鍵をかけずに放置しているのと同義)。そういう意味ではオープンソースであるWPを使うというリスクを運営者は正確に把握すべきですし、何よりもそういったサイトは放置せずに閉鎖すべきなのかなと思います。
どういった攻撃をしてくるのか?
では、サイトはどのように攻撃されるのでしょうか。
有名なのがブルートフォースアタックと言われれる攻撃です。
ブルートフォースアタックとは、暗号やパスワードを解読するための方法の1つです。ブルートフォースとは、英語でbrute-forceという単語であり、「~を力ずくで行う」という意味です。これが転じて、セキュリティ用語では「パスワードなどを力ずく(総当たり攻撃)で片っ端から試して見つけること」となります。
McAfee 公式ブログ
「今だから学ぶ! セキュリティの頻出用語:ブルートフォースアタックとは?」より 抜粋
なんとも原始的な方法ですが、これで突破される人が多いようです。ちなみに私もこれでやられたようです。
また、上述したWPが攻撃されやすい理由には挙げませんでしたが、実はWPの構造がパターン化されているというのも大きな原因の一つと言えます。例えば何のセキュリティ対策もしていないWPサイトの場合、管理ページにログインするURLにすぐにたどり着けてしまいます。具体的にどうするかというと、ホームURLに「wp-login.php」をつけてアクセスするだけです。ただそれだけで、そのWPのログインページにアクセスできてしまいます(もちろんIDとパスワードを知らなければログインはできませんが)。
このように簡単に管理画面の入り口にたどり着けるのであれば、ブルートフォースアタックは大変有用な攻撃となりますよね。管理画面の前で時間をかけてIDとパスワードを試していけば良いわけですから。ID「admin」パスワード「password」なんてやってた日には瞬殺ですよ笑。
「そんな人なかなかいないって!」と思ってるあなた。甘いですよ、本当にこれでアクセスできてしまうサイトがいっぱいあると私は思ってます。
パスワードを変更しよう!
ここからはセキュリティー対策の話です。さて、先ほどIDとパスワードの話しましたが、皆さんはWPのパスワードとIDはどのように設定していますか?
私はこれまでパスワードはほぼ全て同じパスワードを使っていました。SNSもそうですし、メールとかもそう。もちろんWPにも同じパスワードを使ってました。自分が狙われるということを一切考えていなかったので、同じパスワードを利用するということに対するリスク管理は超甘かったのだと思います。
IDとパスワードは流通している?!
みなさんがよく使うIDとパスワードの組み合わせ。これが闇市場で売り買いされているというのはご存知でしょうか?いわゆる「リスト」という名目でインターネット上で売買されているというのです。例えば、なんらかのサイトにメールアドレスとパスワードを登録したとしましょう。もし、そのサイトの運営者がお金に困ったりかなんかで、IDとパスワードを売ったりしていたら…。
え?そんなことないでしょ!
と思うかもしれませんが、結構こういう話は聞くことが多いです。ですので、もし仮に長い期間にわたって同じIDとパスワードを使い回しているのであれば、それはもうすぐにハッカーなどに知れ渡っているものだと思っていた方が良いです。ちなみに、私の友人は、ある有名な大人のサイト(汲み取ってください笑)に登録した数日後にFBとLINEが乗っ取られたと言っていました。ちなみに私もLINEは乗っ取られた経験があります(決して大人なサイトに登録していると主張しているわけではないです( ̄ー+ ̄))
長期で使い回しているIDとパスワードは完全に流出しているものだと思った方が良いですね、特によく利用しているSNSやサービスであれば、それ専用のIDとパスワードを用意して使うようにしましょう。
パスワードはどうやって作ればよいか?
強力なパスワードを作るコツは簡単です。
キーボードに手を置き、ゆっくりと目を閉じて
うりょぁあぁあああああ!!!!
と気が狂った変態のごとくランダムに打ちこむのが良いらしいです笑。私もいくつかの重要なパスワードはそのように作ってます(変態ではないですが笑)。もちろんそれらのパスワードは覚えられないのできちんと紙ベース、もしくはオフラインで保管しております。
その他の方法としては以下のような、パスワード作成ツールなどを使うのもおすすめです。
上記のサイトは文字の種類や長さ、生成する個数なども選べるので便利です。
WPを運営するならSiteGuard WP Pluginは絶対入れておくべき
パスワードを変更したら、セキュリティのプラグインも入れておきましょう。
私がおすすめするプラグインは「SiteGuard WP Plugin」というものです。官公庁やメガバンクなどをはじめとする大企業なども導入していると言われているセキュリティソフトのプラグインです。
国産のプラグインなので使いやすく、ログインページの変更や二重ロックなど今回私が受けたブルートフォースアタックにしっかりと対応できるというところがおすすめです。機能としては以下のようなものがあります。
幾つかおすすめの機能を紹介していきます。
ログインページの変更
WPのログインページはホームURLに「wp-login.php」を加えれば、簡単にたどり着けてしまうと先ほどお話ししたかと思います。ログインページにたどり着けてしまうから、これほどまでWPが標的にされてしまうのでは?と個人的にも思ったりするほど。入り口がわかってしまえば、あとは一つ一つIDとパスワードをしらみつぶしに当てはめれば物理的には開けられるわけですから(もちろんその組みあわせの数は天文学的なものですが)。
逆に言えば入り口さえわからなければ、被害に合う確率が低くなるとも言えます。
「SiteGuard WP Plugin」を使えば簡単にログインページのURLを変更することが可能です。
変更をONにして、変更後のログインページ名の空欄部に英数字を入力すればログインページのURLが変更されます。もちろん「loginpage」なんてわかりやすいものにしたらすぐにアクセスされてしまうので、極力ログインページと推測されないように工夫したほうが良いかと思います。
正しいログイン入力でも必ず一度エラーにしてくれるフェールワンス機能
ブルートフォースアタックに効果的だと感じたもう一つの機能として私が挙げるのが、このフェールスワン機能です。具体的にどういう機能かというと、以下のようなものです。
パスワードリスト攻撃を受け難くするための機能です。正しいログイン情報を入力しても、1回だけログインが失敗します。5秒以降、60秒以内に再度正しいログイン情報を入力すると、ログインが成功します。 1回目のログイン失敗時は、エラーメッセージを表示します。 JP-Secure HPより引用
つまり、正しい入力をしても必ず一度エラーになるということです。2回目の入力でログインができます。ちょっとわずらわしいのですが、これを設定しておくだけで侵入される確率が低くなります。
ちなみに私は最初の頃、このフェールスワン機能を設定したことを失念していてなかなかログインできませんでした。
「あれ?なんで入れないんだろう?パスワードが違うのかな?」
とか言いながら、10分くらいログインページと格闘してました笑。設定した本人ですら入りづらいという素晴らしい機能です。ブルートフォースアタックには効果的であると言えるでしょう。
その他にもログイン時にひらがなの画像認証機能をつけたり、連続してログインに失敗すると一定時間ログインできなくなるログインロック機能など、地味だけれども超効果的なセキュリティー機能の設定も可能です。今回の私のブログ侵入の形跡を見ると海外からの侵入だったので、ひらがなの画像認証機能などは本当に有効だと思いますね。たまに私も読めなくて間違えることもありますから笑。
WPを運営するのであれば「SiteGuard WP Plugin」は入れておくべき必須のプラグインだと思いますね。
おわりに
いかがでしたでしょうか?
「なんかめんどくさいなぁ…」と思った方も多いことでしょう。私も書いていてめんどくさいなぁと思いながら書いてました^^;。しかし、WPを運営する以上セキュリティー対策は自前でしっかりとやっておかないと、いつ私の二の舞になるかわかりません。このくらいのめんどくささは許容範囲と割り切って素直に対応しておきましょう。「SiteGuard WP Plugin」はプラグインとして入れて設定するだけなのでそれほどめんどくさくはないと思います。最低限入れておきましょう。
パスワードについては、個人的には個別に強力なものを作っておいたほうが良いよと言いたいです。覚えづらいとかあるかもしれませんが、SNSとかそういう系のパスワードは侵入されたら後始末が本当に大変ですから、最悪警察に被害届とか出す羽目になることもあります(経験談)。こういったブログとは違い、SNSは生活に根付いている分、侵入された際のリスクがめちゃくちゃ高いということはしっかりと覚えておき、使い回しのパスワードではなく、個別で強力なものに設定しておきましょう。
