1.Wordpressの欠点
まずWordpressの致命的な欠点を説明致します。
WordPressは世界トップシェア、つまりWeb業界の事実上の標準となります。
そして世界中の人たちの協力の元、色々な方がプラグインやテーマを開発しています。つまり、綺麗なデザインのHPを手軽に作れ、さらに豊富なプラグインにより、簡単にSEO対策、写真ギャラリー設置、バックアップ等を行うことができます。
それ故に、Wordpressは世界トップシェアになっているのですが、
それ故に、もっともハッカーに狙われる存在となっています。
そして、世界中の人々が、日々、開発してくれるプログラムの中に、脆弱性が紛れ込んでしまうケースが多々あります。
皮肉にも善意の協力の元、日々、様々な開発が行われているが故に脆弱性が発生し続けてしまう、というのがWordpressの致命的な欠点です。
2.ハッカーによるWordpressへの攻撃方法
次に、ハッカーがWordpressサイトを改ざんする時の概念図を以下に示します。
この様に、サーバサイドプログラムが動く環境では、
=(イコール)ハッカーもコンテンツを更新(改ざん)できる
もちろんダッシュボード(操作画面)はパスワード保護されています。これもブルートゥースアタック(総当たり攻撃)でパスワードを盗み取られる事もありえますが、パスワードを難解にしたり、ログインURLを変更することで対策できます。しかしフロントWEBページはパスワード保護されていません。当然ですよね? だってパスワード保護されていたら、お客様にホームページを見てもらえませんから。
そして、それ故にハッカーはクロスサイトスクリプティング(XSS)【※1】等の脆弱性を狙ってWordpressサイトを攻撃してくるのです。
動的Webページの表示内容生成処理の際、Webページに任意のスクリプトが紛れ込み、Webサイトを閲覧したユーザ環境で紛れ込んだスクリプトが実行されてしまいます。
そして、もしハッカーに侵入を許してしまうと、POSTログを取られダッシュボード(操作画面)のパスワードを盗聴されてしまいます。そうなれば、もうハッカーは自由にサイトの改ざんを行えるのです。
しかし、この致命的な欠点も対応策が無い訳ではありません。
3.弊社が提案するWordpressセキュリティ対策
これらWordpressの欠点に対し、弊社では以下の「静的HTMLを生成し、本番環境へアップロード」する方法を提案します。
この様にフロントサイトにセキュリティ(例えばapacheレベルで基本認証、IP制限など)をかけたステージング環境(もしくはローカル開発環境)を用意し、WPプラグインを利用し静的HTMLを生成します。
またアップロードする静的HTMLを保存し、本番HTMLと比較(DIFF)する事で改ざん検知を行うことも可能です。
(動的WordPressの場合、DBコンテンツの改ざん検知が必要となるが、静的HTMLなら単純なファイル比較で改ざん検知が可能)
更に、サーバサイドプログラムが動かないので、表示が劇的に速くなるというメリットまであります。
・これらの対策はコーポレートサイトなど頻繁に更新が入らないサイトに最適な方法です。オンライン決済などが行われるWEBサイトには適応できない点にご留意ください。
・サーバサイドプログラムが必要なお問い合わせフォームやサイト内検索等が動かなる点にご注意ください。
例えば、お問い合わせならGoogleフォーム、検索ならGoogleカスタム検索を利用するといった対策が必要になります。
弊社では、これまでのノウハウを駆使して、お客様にもっとも最適な方法のセキュリティをご提案致します。