WordPressはウェブサイトを構築するための最も人気のある方法です。その人気には、WordPressウェブサイトを世界各地の悪意のある人々のターゲットにする不運な副作用があります。WordPressがこれらの攻撃を処理するのにセキュアであるかどうか疑問に思う方もいるかもしれません。

まず、悪いニュースですが、毎年、何十万ものWordPressサイトがハッキングされます。

嫌ですね。ただし、良いニュースもあります。

ハッカーがアクセスできるのは、最新のWordPressコアソフトウェアの脆弱性を介してではありません。むしろ、ほとんどのウェブサイトは、更新を見逃すことまたは安全でないパスワードを使用することなど、本当は予防できる課題のためハッキングされます。

その結果、「WordPressは安全ですか?」という質問に答えるのにニュアンスがあります。答えられるためにはまず下記をご説明します。

  • WordPressウェブサイトがどのようにハッキングされるのかについてのデータを紹介し、セキュリティ上の脆弱性がどこにあるのかを把握します。
  • WordPressのコアチームがどのようにセキュリティの問題に取り組んでいるのかについて説明し、責任範囲と処理方法を把握します。
  • ベストプラクティスに従うときにWordPressが安全であるかを分析し、自分のウェブサイトが安全かを判断できるようにします。

WordPressウェブサイトのハッキング方法について(データを基に)

年々、数多くのWordPressウェブサイトがハッキングされていることが分かりましたが、どの方法でハッキングされているのでしょうか。グローバルなWordPressの問題でしょうか。それとも、ウェブマスターの行動が要因でしょうか。

データによると、ほとんどのWordPressウェブサイトがハッキングされる理由は…

古いコアソフトウェア

まず、Sucuriの2017年のハッキングされたウェブサイトについてのレポートからの驚くべきのない相関をご紹介します。Sucuriが調べたハッキングされたWordPressウェブサイトのうち39.3%が、ハッキング当時にWordPressのコアソフトウェアの古いバージョンを使用していました

ハッキングされたウェブサイト

ハッキングされたウェブサイト (画像出典:Sucuri)

ハッキングと古いソフトウェアの使用が密接に関係していることが分かりましたね。一方、2016年の61%に比較すると間違いなく改善してきました。👏

WPScanの脆弱性データベースによると、記録されている既知の脆弱性の約74%がWordPressコアソフトウェアにあります。しかし、最も脆弱性の高いバージョンは、WordPress 3.Xです。これこそはポイントです

WPScanの既知の脆弱性リスト

WPScanの既知の脆弱性リスト

残念ながら、最新版を使用しているのは、すべてのWordPressウェブサイトの62%のみです。そのため、多くのウェブサイトが攻撃に対して不必要なリスクを持っています。

WordPressのバージョン別使用状況

WordPressのバージョン別使用状況 (画像ソース:WordPress.org)

最後になりますが、数十万のウェブサイトも壊れていた2017年2月のWordPressのREST API脆弱性も、この相関のいい例です。

WordPress 4.7.1には、上記のウェブサイトの攻撃に悪用された複数の脆弱性が含まれていました。しかし、攻撃の数週間前に、該当の脆弱性をすべて修正したWordPress 4.7.2がリリースされました。

自動セキュリティパッチを無効にしていなかった方、またはWordPress 4.7.2にすばやく更新した方のウェブサイトが安全でした。一方、更新しなかった方は大変でした。

覚えておくべき点:WordPressのセキュリティチームは、WordPressコアソフトウェアに発生する異常をすばやく処理します。すべてのセキュリティアップデートを迅速に適用すると、コアの脆弱性による攻撃を受ける可能性は極めて低いです。しかし、そうしないと、エクスプロイトが出てしまうときにリスクを受けます。

2. 古いプラグインまたはテーマ

WordPressが広く好まれている理由の1つは、利用可能なプ ラグインとテーマの驚くほど多い数です。本稿執筆の時点では、WordPressリポジトリには56,000以上のプ ラグインとテーマがあり、それ以外のプレミアムなものもウェブ上に数千ものあるはずです。

ウェブサイトを拡張するのに最適ですが、拡張機能というのは悪意のある人々にとっての潜在的なゲートウェイです。なお、WordPressの開発者のほとんどは、コードの標準に従って更新もちゃんと行ってくれますが、考えられるリスクは以下のとおり残ります:

  • プラグインまたはテーマには脆弱性があり、WordPressのコアソフトウェアほどの注目を集めているものではないため、脆弱性が検出されません。
  • 開発者がその拡張機能の開発を止めましたが、まだを使用されています。
  • 開発者がすぐに異常を処理しますが、使用者は更新しません。

この課題はどこまで深刻でしょうか。

Wordfenceのハッキングされたウェブサイトについての調査によると、ハッキングの方法を知っているウェブサイトのオーナーの60%以上が、攻撃の要因がプラグインまたはテーマの脆弱性だったと述べています。

Wordfenceのハッキングされたウェブサイトについての調査

Wordfenceのハッキングされたウェブサイトについての調査 (画像出典:Wordfence)

同様に、Sucuriの2016年のレポートでは、彼らが調べたハッキングされたウェブサイトの15%以上が3つのプラグインが要因でした

Sucuriのハッキングされたプラグインのリスト

Sucuriのハッキングされたプラグインのリスト

ただし、こちらはポイントです:

上記のプラグインの脆弱性はすでに処理されました。ウェブサイトのオーナーがサイトを保護するためのプラグインの更新を行わなかっただけです。

覚えておくべき点:WordPressのテーマとプラグインはリスクであり、ウェブサイトを悪意のある人のターゲットにする場合があります。一方、ベストプラクティスに従うとリスクが減ります。拡張機能を更新しておき、評判の良いソースからしか拡張機能をインストールしないようにしましょう。

また、皆様もご存知かもしれませんが、GPLクラブについても一言述べたいと思います。GPLクラブというのはプレミアムWordPressプラグイン及びテーマを数ドルで手に入れることができるものです。一方、WordPressはGPLに登録されており、お客様を大切にしていますが、これらのプラグインを「ゼロ化したプラグイン」ともいいます。

GPLクラブからプラグインを購入すると、サードパーティが更新をしてくれることを信頼することしかありません。または、サポートは完全にない場合も多いです。開発者から直接にプラグインのアップデートを取得するのが最も安全な方法です。また、開発者がせっかく苦労してくれますので、彼らのことを支援してあげたいですね。

3. WordPress、FTP、またはホスティングのログイン資格情報を対象にした攻撃

これこそはWordPressの失敗ではありません。悪意のある人がWordPressのログイン資格情報またはウェブマスターのホスティング及びFTPアカウントのログイン資格情報を手に入れていることはハッキングのかなりのパーセンテージの要因です。

同じWordfence調査では、パスワード盗難、ワークステーション、フィッシング、FTPアカウントなどのブルートフォース攻撃はハッキングされたウェブサイトの約16%を占めていました。

WordPressウェブサイトがいくら安全でも、悪意のある人が「玄関の鍵」を持っていると、仕方ありません。

WordPressは安全なパスワードを自動的に生成することによりこのリスクを軽減していますが、パスワードを安全を大切にし、ホスティングまたはFTPでも強力なパスワードを使用することはユーザーの責任です。

覚えておくべき点:アカウントの資格情報を守ることにより、悪意のある人の攻撃を予防できます。ブルートフォース攻撃を防止するには、すべてのWordPressアカウントを対象に強力なパスワードを使用かつ強制し、ログイン試行を制限しましょう。(Kinstaのホスティングではデフォルトで行われます👍)。

ホスティングアカウントでは、利用可能であれば必ず二要素認証を使用し、FTPパスワードを(FTPプログラムの一部が行っていると同じように)プレーンテキストで保存しないようにしましょう。

FTPとSFTP(SSHファイル転送プロトコル)のどちらかを選択できる場合には、必ずSFTPを選択してください。これにより、平文のパスワードまたはファイルデータは一切転送されません。Kinstaでは安全な接続のみのサポートを提供しております。

4. サプライチェーン攻撃

最近、ハッカーがサプライチェーン攻撃という工夫を使用してウェブサイトにアクセスする事件が増えてきました。悪意のある人は、

  • WordPress.orgに掲載されている高品質のプラグインを購入し、
  • そのプラグインのコードにバックドアを追加し、
  • 利用者がプラグインを更新するとバックドアを仕込みます。

興味のある方は是非Wordfenceの詳しい説明記事もご確認ください。このような攻撃は決して普及していませんが、必要な対策を行うこと(プラグインを更新すること)に起因するため、防止しにくいです。

ダウンタイムまたはWordPressの異常に悩んでいますか。Kinstaは時間を節約するために設計されたホスティングソリューションです!当社のフィーチャーをご確認ください。

一方、WordPress.orgのチームは通常、上記のような問題をすばやく見つけ出し、ディレクトリから該当のプラグインを削除します。

覚えておくべき点:最新のバージョンに更新することはいいことですので、本攻撃は防止しにくい場合があります。そこで、Wordfenceなどのセキュリティプラグインをインストールし、WordPress.orgからプラグインが削除されたときに警告してもらい、すばやく対応することができます。それに、バックアップ戦略を準備しておくと、永久的な損傷を受けずに、いつでもロールバックできます。

5. 不十分なホスティング環境と旧式のテクノロジー

WordPressウェブサイト以外には、例えばホスティング環境とご利用のテクノロジーも重要な影響を与えます。たとえば、PHP 7いはPHP 5と比べてはるかに多くのセキュリティ強化機能が含まれているにもかかわらず、すべてのWordPressウェブサイトの33%のみがPHP 7以上を使用しています。

WordPressウェブサイトのPHP使用状況

WordPressウェブサイトのPHP使用状況 (画像ソースWordPress.org

PHP 5.6のセキュリティサポートは、2018年末に正式に終了します。そして、PHP 5以下のバージョンなら、ここ数年はセキュリティサポートを受けていませんでした。

つまり、5.6未満のPHPバージョンを使用したホスティング環境を使用すると、修正していないPHPセキュリティ脆弱性のリスクがあります。

その事実にもかかわらず、WordPressのウェブサイトの28%は、5.6未満のPHPバージョンを使用しています。それ以降は発見されたPHP脆弱性の数において記録的な年があったことを考えると、これこそは大きな課題です。

安全なWordPressホスティングを使用すると、最新のテクノロジーにアクセスできるほか、セキュリティ上のリスクの多くが減ります:

  • Webアプリケーションファイアウォール
  • セキュリティリリースの自動更新
  • 二要素認証
  • 自動バックアップ

覚えておくべき点:安全なホスティング環境とPHPなどの重要なテクノロジーの最新バージョンを使用することにより、WordPressウェブサイトがより安全です。

WordPressのセキュリティの責任分担

そこで、上記の課題に対しての責任を持つのは誰だろうかと悩んでいる方もいるかもしれません。

正式にいうと、WordPressのセキュリティチームです。(一方、世界中の個人貢献者または開発者もWordPressの安全性に貢献しています。

WordPressのセキュリティチームは、「リード開発者やセキュリティ研究者を含む50人の専門家」からなるチームです。これら専門家の約半数はAutomatticの社員です。残りはウェブセキュリティの分野で働いています。それに、チームがセキュリティ研究者及びホスティング企業にも相談する場合があります。

WordPressセキュリティチームの仕事について詳しく知りたい方は、WordCamp Europe 2017におけるAaron Campbellによる48分の講演をご覧ください。簡単にいうと、WordPressのセキュリティチームが、

  • HackerOneのbug bountiesなどのツールを使用し、バグや潜在的な課題を抽出かつ修正しており、
  • すべてのWordPressコアリリースのコンサルティングを行います。

WordPressセキュリティチームには、バグの修正に成功し該当のセキュリティ修正をリリースすると、その内容を公表する方針があります。(2017年に数多くのウェブサイトが攻撃を受けた理由の一つはこの方針です。該当のウェブサイトはセキュリティチームがバグを公表した後でさえ更新しませんでした。

WordPressのセキュリティチームが行わない作業というのは、WordPress.orgのすべてのテーマとプラグインをチェックすることです。WordPress.orgのテーマとプラグインは、ボランティアにより手動でチェックされます。しかし、そういったチェックは「セキュリティの脆弱性がないと保証するものではない」。

それでは、ベストプラクティスに従うとWordPressが安全でしょうか?

上記のすべてのデータと事実を確認して、次の一般的な傾向がわかります:

100%安全であるコンテンツ管理システムというものは存在しませんが、WordPressがコアソフトウェアのための高品質のセキュリティ装置を備えており、ハッキングの大半は、ウェブマスターが基本的なセキュリティ上のベストプラクティスに従わないことの結果です。

次に従うと、WordPress自体が安全であり、あなたのウェブサイトは今後もハックフリーのままです。

  • WordPressのコアソフトウェア、プラグイン、およびテーマをいつも更新したままにしておきます。
  • プラグインとテーマを十分に注意を払って選択し、評判の良い開発者・ソースの拡張機能のみをインストールします。GPLクラブとゼロ化したプラグイン・テーマにご注意ください。
  • FTPとSFTPのどちらかを選択する場合は、いつもSFTPを使用します。
  • WordPressアカウント、ホスティングアカウント、SFTPアカウントのすべてでは強力なパスワードを使用します。(用可能な場合は二要素認証も使用します。)
  • ユーザー名として 「admin」を使用しないようにします。
  • 自分のコンピュータにウイルスがないようにします。
  • WordPressウェブサイトとの通信(例えばダッシュボードへのログインなど)はすべて暗号化されるように、TLS証明書(HTTPS)を使用します。Kinstaは無料のHTTPS証明書を提供しています!
  • SSHキーを利用します。これにより、サーバーへのより安全なログインができ、パスワードが不要になります。
  • 安全な環境のあるホスティング会社を選択し、PHP 7+などの最新テクノロジーを使用します。

Kinstaのお客様のあなたなら、心配する必要もありません。ウェブサイトが万が一ハッキングされても、無料で修正いたします!

14
シェア