今すぐできるWordPress製オウンドメディアの不正アクセス対策

このところオウンドメディアなどWebサイトの不正アクセス事例が増えています。最近では「Growth Hack Journal」というマーケティング系オウンドメディアが不正アクセスされ、コンテンツなどを改ざんされる被害を受けています（※1）。

「Growth Hack Journal」では不正アクセスされた経緯は調査中となっていますが、オウンドメディアのシステムに何らかの脆弱性があった可能性もありますね。

こうした不正アクセスの被害は、決して他人事じゃありません！特にWordPressを使ったオウンドメディアは要注意。これはWordPressのシェアが高いというのが大きな理由です。利用しているサイトが多ければ、それだけ不正アクセスのターゲットになりやすいというわけです。

ですからWordPressを使っているオウンドメディアは、すでに不正アクセスのリスクにさらされていると思うべきなんです。

とはいえ社内で詳しい人がいない…ということもよくありますよね。少人数で運営をしているオウンドメディアになると「不正アクセスの対策は必要だけど、どうやればいいかわからない」という悩み、ありませんか？

そこでWordPress関連の不正アクセス対策について、システムに詳しくないオウンドメディア担当でも今すぐできる3つの対策を紹介します！

※1出典：「オウンドメディア Growth Hack Journal の改ざんに関するお詫びとご報告」（repro）

対策1　まずはWordPress本体やプラグインのバージョンアップをチェック！

WordPressシステムに不具合があると、基本的に新しいバージョンがリリースされます。新バージョンに更新しておかないと、オウンドメディア上に脆弱性がある状態のままになってしまうというわけです。これは不正アクセスされやすい危険な状態。

もちろん大幅なバージョンアップの場合は慎重に更新すべきですが、基本的にはWordPressの新しいバージョンが出たらできるだけ早く更新するというのが不正アクセス対策の基本です。

プラグインやテーマのバージョンアップもマメに対応しよう

WordPress本体だけではなく、プラグインやテーマでも脆弱性が見つかるケースがあります。つい最近（2020年10月）にも「File Manager」というWordPressプラグインに脆弱性があったことが判明しました（※2）。WordPress本体とあわせて、プラグインやテーマも新しいバージョンが出たら、できるだけ早めにバージョンアップの対応をしておきましょう。

※2参考：「WordPress「File Managerプラグイン」の脆弱性についての注意喚起」　（さくらインターネット）

PHPなどWebサーバ関連のバージョンアップも必要

さらにWordPressを利用しているサーバのPHP（プログラム）なども、脆弱性が見つかるとバージョンアップが必要となります。一般的なレンタルサーバの場合、このPHPのバージョンアップも利用者自身で行う必要があるんですよね。

とはいえオウンドメディア担当者にといって、この作業はなかなかハードルが高いのも事実。無理に社内で対応しようとせず、外部の業者などへ委託する方が安心です。

なおこうしたバージョンアップをするときは、万が一のケースに備えてオウンドメディアのデータをバックアップしておくことも重要です。

もしオウンドメディアが不正アクセスされて改ざんされてしまっても、バックアップデータがあればすぐに復旧できますよね。不正アクセス対策とあわせて、バックアップ体制もチェックしておくことが大切です。バックアップについては、今後本サイトでも詳しく解説していきます！

対策2　WordPressの設定を見直す

WordPressの設定をあらためて見直す、というのも、手軽にできる不正アクセス対策。例えばWordPressのファイル構成やファイル名称をデフォルト設定のままにしておくと、重要なページやファイルの設置場所がバレバレです。こうなると不正アクセスのターゲットにされるリスクが高くなります！

管理者画面の不正アクセスを防ぐには？

特に管理者ログイン画面は、不正アクセスされるとやっかいです。管理者アカウントが使われるとオウンドメディアを自由に操作されてしまい、内容の改ざんや情報漏洩などにつながります。そこで、まずは管理者画面の設定を重点的に見直したいところです。

管理者ログイン画面のセキュリティを強化するには、例えば以下のような方法があります。

1. ログインIDやパスワードを推測されやすいものにする（文字数を多くする、記号などを混ぜる）
2. ログインページ名をオリジナルのものに変更する
3. 画像認証などを取り入れて、ログイン方法を複雑化する

（1） についてはすぐできる対策ですね。ただ（2）（3）になるとちょっと難しくなり、オウンドメディア担当自身がソースを書き換えて対応する、なんていうことは無理かもしれません。こんなときはセキュリティ対策用のWordPressプラグインを使う方法もあります！

よく知られているの「SiteGuard WP Plugin」というプラグイン。上記の2つの対策もこのプラグインを使えば、管理画面から設定できます。

「SiteGuard WP Plugin」についてはこちら

重要ファイルのアクセス設定の変更も重要！

他にも、WordPressにてデータベースのアカウント情報などが含まれる重要なファイル「wp-config.php」というのも、不正アクセスのターゲットにされやすいもの。こうした重要なファイルは外部からアクセスできないようにパーミッション（ファイルのアクセス制限）設定を変更しておきたいところ。これも基本的なWordPressの不正アクセス防止策です。

対策その3　セキュリティ診断サービスを利用する

WordPressのオウンドメディアにとって、対策１（WordPressなどのバージョンアップ対応）や対策2（WordPress設定の見直し）はもはや基本。ただこの2つに取り組んでいても、不正アクセスの新しい手法はどんどん増えていきますので安心はできません！

オウンドメディアには、どんなセキュリティ診断サービスを選ぶべき？

オウンドメディアに脆弱性がないか、定期的にチェックする必要がありますよね。でも手動で毎月チェックするなんていうのはさすがに無理なので、セキュリティ診断サービスを使いましょう。最近ではWordPress製のオウンドメディア向けに、脆弱性チェックなどができるセキュリティ診断サービスも登場しています。

例えば「トライベック・セキュリティソリューション」というオウンドメディア向けセキュリティ診断サービスもあります。情報セキュリティが専門ではない広報やマーケティング部門の人でも利用できるというのが、このサービスの大きな特徴。ただしこのサービス、安いプランでも1回あたり30万円かかるんですよね。手軽に利用するというのは難しいところ。

セキュリティ診断サービスは、1回使えば安心できるというわけではないんです！その後もWordPressに新しいプラグインを入れたり、新しい脆弱性が見つかったりとさまざまな変更が行われますよね。だからオウンドメディアとして、定期的にセキュリティ診断をする必要があります。つまりセキュリティ診断サービスを選ぶときは、継続して使う前提でコストを考えるべきなんです。

月額350円で使えるセキュリティ診断サービスも登場

最近では低価格のセキュリティ診断サービスも登場しています。例えばGMOクラウドの「SiteLock」というサービスは、最も安い「エントリー」プランだと、月額350円（50ページまで）で利用できます。

この「SiteLock」WordPressの本体・プラグイン・テーマの脆弱性を毎月1回自動でチェックしてくれます。

さらに上位プランになると、不正アクセスによって改ざんされていないかどうかのチェック機能、マルウェアの自動駆除機能なども利用できます（※マルウェアとは不正アクセスによりサーバに置かれるウイルスプログラムなどのことです）。

コストがなかなかかけづらいオウンドメディアの場合、まずはこうした低価格のセキュリティ診断サービスを使うのが現実的ではないでしょうか？

月350円～！Webサイトの脆弱性を診断する「SiteLock」