WordPressのセキュリティについて

WordPressは実質的に中小企業のWEBサイト制作のスタンダートとも言えるほどにシェアを増やしています。
WEBサイトのほぼ3つに1つはWordPressによって作られていると言われています。

しかしそのシェアの高さやオープンソースであることから改竄などの攻撃のターゲットのなることが非常に多いのが現状です。
特にCMSとしての仕組みが知れ渡っていますのでBOTによる自動攻撃が多く、「アクセス数の低いうちのサイトがターゲットになるわけない」という認識は非常に危険です。

上記のリスクからWEBサイトを守る為に簡単ながら効果的な対策をご紹介したいと思います。

ログインURLを変更する

WordPressには決まったログイン用URLがありますが、これは攻撃者もログインフォームのURLを知っていることを意味します。
事実ログインURLには自動攻撃と思われるアクセスログが見られることが多々あります。
さらにパスワードが推測されやすいものであった場合、自動攻撃で不正ログインされてしまう可能性があります。
そこでログインURLを独自のものに変更することで自動攻撃のリスクを大幅に軽減することができます。
プラグインを導入することで非常に簡単に実現可能です。

管理画面に入れるIPアドレスを制限する

御社のインターネットアクセスが固定IP(常に同じIPアドレスをプロバイダから提供されている事。主にオプションサービス)の場合、ログイン可能なIPアドレスを制限してしまうことが有効です。
これによって社内ネットワーク内に侵入されない限り不正アクセスの被害に遭うことはなくなります。

二段階ログイン

Basic認証などを組み合わせることにより通常のログインフローと差異を出せますので自動攻撃のリスクは大幅に低減します。

他のCMS導入や独自CMSの導入

前述した通り、WordPressの危険性はその高いシェアにあります。
独自の構造をもったCMSを導入することで無差別な自動攻撃の対象になる可能性が大幅に低減されます。
また、WordPressの他にもCMSは存在し、公開サーバーと管理画面サーバーを分けることでより安全なWEBサイトを構築できるものもあります。
WordPressだけでなくその他の選択肢も並行して検討することが大切です。

弊社のWEBサイト制作サービスについてはこちらをご覧ください

WEBサイトは会社で顔であり、その「顔」が改竄されてしまえば会社の信頼度に大きく影響してしまいます。
弊社ではWordPressだけでなくお客さまの要件に沿って様々な選択肢をご提案可能です。
また、既存WordPressの安全性チェック及びセキュリティ対策も可能です。
WordPressの運用にご不安のある中小企業さまはお気軽にご相談ください。

ご相談・ご提案は無料です。お気軽にお問い合わせください