WordPressは脆弱性の塊！改ざん・ハッキング対策10か条

こんにちは宮川（@miyakawa2449）です。

ブログツールとして WordPress は非常に世界シェアが高く利用しやすいツールですね。
しかし、WordPressの脆弱性や改ざんのニュースも絶えません。

JVN iPedia – 脆弱性対策情報データベース

このブログも WordPress で運用しています。

オープンソースで無料で使えますし、MySQL（データーベース） そして、PHP が利用できるレンタルサーバーを借りれば誰でも世界に向けて情報発信ができるツールです。

最近はレンタルサーバーに WordPress をインストールするためのインストーラーが事前に用意されています。
インストーラーをクリックするだけで、WordPress が公開されてブログがかける状況になっているのがすごく便利ですよね。

デザインテーマなども管理画面からお好みのテーマを選び、クリックするだけなので本当にプログラムやサーバー、データーベースといった難しい知識はなくても「記事」を書くだけなら誰でも使えるツールです。

簡単に導入できるツールのためWordPressですが、セキュリティホール情報もたくさん出回っています。

対策が施されていないWordPressはユーザIDが丸見えです。

単純なパスワードならブルートフォースアタックで数分で破らるツールがネット上で出回っています。

実際、ネットで検索すればいろんな脆弱性の情報、改ざんのニュースがすぐ出てきます。

• macOSでWPScanを使ってWordPressの脆弱性診断をやってみる | uuutee.log
• 悪用禁止！WordPressブルートフォース攻撃方法とその対策 | 96COLOR
• WordPressサイトの改ざん被害は150万件超に　「最悪級の脆弱性」 – ITmedia エンタープライズ

WordPressの脆弱性をついた改ざんだけではなく、ハッキングの踏み台に利用されることもありまし。

安全なWordPress利用のためにWordPressの対策は必須です。

【WordPress対策十か条】

1. WordPress基礎のキソ。最新版にアップデート！
2. あなたのWPユーザ ー情報丸みえ対策【8/17更新】
3. WordPress ユーザーの強力なパスワードの設定方法【8/2更新】
4. WordPressのログイン画面を守る2つの方法【8/3更新】
5. 「.htaccessファイル」でWordPressを守る3種防衛設定【8/4更新】
6. MySQL の管理ツール phpMyAdmin をインストール【8/5更新】
7. MySQLのrootユーザーは安全か？【8/8更新】
8. WordPress用途の異なる3種類のバックアップ【8/12更新】
9. バックアップからの復元方法【8/14更新】
10. 暗号化（SSL）導入で注意するポイント【8/16更新】

1. WordPress基礎のキソ。最新版にアップデート！

上記画面例は更新通知が届いているダッシュボード画面例を表しています。

ダッシュボード画面の「更新」メニューに「２」と付いているのはWordPress内で更新が必要なファイルの通知が２通きているということです。

更新される理由はスマートフォンのアプリのアップデートと同じで様々ですが、セキュリティ上の都合の場合が多いです。

セキュリティのアップデートを放置しておくとハッカーからの攻撃を受けやすくなるため必ずアップデートをする必要があります。

「更新」メニューをクリックして開くと次の下画面になります。WordPress 本体とプラグインの更新通知であることがわかります。

WordPress本体とプラグインの更新通知が1通ずつ届いていることがわかります。

この場合、「WordPress 4.9.7-ja」の「今すぐ更新」ボタンと、「Jetpack by WordPress.com」を選択して「プラグインを更新」ボタンををそれぞれクリックして更新します。

更新作業を行う場合は念のため事前にバックアップを行うことをおすすめします。

セキュリティ上の都合で更新されるものがほとんどですので、更新作業は怠らないようにしましょう。

▲10回シリーズの目次へ戻る