WordPress 開発

本当に危険か?WordPressの飼い方

今回のアイキャッチがWordPress日本公式キャラクター「わぷー」なので飼い方と言ってます。


「WordPressがオープンソースで危ない!」というのを目にしたので、極論なので色々と説明をしたいと思ったので記事か致しました。

WordPressはアメリカ、ホワイトハウスのホームページにも採用(2020年 現在)されています。

以前、ざっくりでしたが「ブログを移転した理由(WordPress→Blogger) 」にも同じようなことを書きました。


WordPressとは?

WordPress(ワードプレス)は、オープンソースのブログソフトウェアである。

PHPで開発されており、データベース管理システムとしてMySQLを利用している(後述のプラグインよりSQLiteでの使用も可能)。

単なるブログではなくコンテンツ管理システム (CMS) としてもしばしば利用されている。

簡単に言うとPHPで色んな人たちの手によって作られているブログソフトウェアです。

今では色んな拡張が出来てECサイトなども可能になっております。


WordPressの危険なのか?

WordPressの危険性を考えてみました。


WordPress狙われやすい

以前書いた記事の一部にBotからのアクセスがあり、WordPressが探索用のターゲットになっています。

.htaccessを使用してURLを狙ったブルートフォース攻撃防ぐ

 RewriteCond %{REQUEST_URI} ^.*wp-admins.php [OR,NC]
 RewriteCond %{REQUEST_URI} ^.*wpc.php [OR,NC]
 RewriteCond %{REQUEST_URI} ^.*wp-config.php [OR,NC]
 RewriteCond %{REQUEST_URI} ^.*wp-content/plugins/portable-phpmyadmin/wp-pma-mod/index.php [OR,NC]

対象のURLに接続できたらWordPressと判定されて、明確な攻撃を受ける可能性はあります。

ただ、個人のブログ程度ならクラッカーも攻撃しても利点は特にありません。

先程言ったように EC サイトなども可能なので、そういった場合は攻撃を受けるでしょう。

ただ僕の経験上ですがWebに公開している時点で攻撃用のBotが散策してきます。


これはWebサイトでWordPressが多くのシェアを占めているからこそ狙われているのです。


バグ・脆弱性の情報が入手しやすい

WordPressは使用者が多いため、バグや脆弱性の情報が共有されやすいです。

そのため、標的になりやすく、ゼロデイ攻撃の対象にもされやすくあります。

ゼロデイ攻撃(ゼロデイこうげき)は、脆弱性が発見されて修正プログラムが提供される日(One day)より前にその脆弱性を攻略する攻撃のこと。

ゼロデイ (英: Zero day) は脆弱性を解消する手段がない状態で脅威にさらされる状況をいう。


テーマ・プラグイン

WordPressには様々なデザインを提供しているテーマ、拡張が出来るプラグインが多数出ております。

ですがWordPress本体だけではなくテーマ、プラグインにもバグ・脆弱性があることがあるのです。


WordPressは安全なの?

まず前提として絶対に安全なソフトウェアというものは作るのが難しいです。

大手の企業が作ったソフトウェアでさえ、脆弱性の報告があり攻撃される可能性もあるからです。


様々な危険性を先にご紹介致しましたが、WordPressは安全でもあるのです。

バグや脆弱性の情報が共有され、共有された情報を元に WordPress を直してくれる人が居るからです。

なので最新版に随時するようにすればWordPressのセキュリティは高くなります。

脆弱性の報告で上がってくるものは最新版ではなく、最新より前のバージョンが上がっているようです。

Wordpress : Products and vulnerabilities


ただし、これにも1つ問題がありテーマやプラグインは個人が作り、個人が配布してることがあるのでバグや脆弱性があっても直されずに放置されることがあります。


WordPressの正しい飼い方

今までのことを踏まえてWordPressの飼い方を考えました。

  • 自動更新
    • WordPress
    • プラグイン
    • テーマ
  • セキュリティ対策
    • ID・パスワードは分かりづらいものを使用
    • セキュリティ用プラグインの導入
    • wp-config.phpなどへのアクセス制限(閲覧できないようにする)
    • バックアップ

出来るだけ自動更新を使用してください。

テーマも自作してなければ自動更新が出来ますが、自作していた場合は脆弱性が含まれないことを確認してください。

WordPressには各種セキュリティ用プラグインがあり、管理画面へのIP制限、ログイン画面のURLの変更など様々なことが可能です。


また出来れば使用しているミドルウェアを最新にしたいところです。

ただ、PHPのバージョンアップをすると動かなくなるプラグイン等が存在するので注意してください。

※PHP5系→PHP7系でエラーが動かくなることがあるので注意。

  • ミドルウェアの更新
    • Webサーバー
    • PHP
    • Mysql

最新版にするという保守が出来ない方が多いため狙われている理由でもあります。


まとめ

WordPressは危険というよりWeb公開してる時点で危険だと思っています。

ただ、適切なアップデート、管理を行えば、バグ・脆弱性の穴を随時塞ぐことが出来ます。


僕はその穴を塞ぐことやプラグインの競合などに疲れて使用するのをやめました。

ただ、会社のコーポレートサイトなどの信用が関わるものなどは作って終わりに出来ません。

適切な保守を心がけましょう。


機会があればまた勉強のためにもWordPressを使いたいとは思っています。


0 件のコメント :

コメントを投稿