近年、サイト制作にはさまざまなツールが登場しており、特にWixやSTUDIOといったノーコードで作成できるサービスが人気を集めています。しかし、国内では依然としてワードプレス(WordPress)のシェア率が80%を超えており、最も広く利用されているCMSです。
ワードプレスはオープンソースのCMSであり、誰でも無料で利用できるのが大きなメリットです。しかし、その一方で、利用は自己責任であり、セキュリティ対策も各ユーザーが適切に行う必要があります。もし何も対策をしなければ、サイトが不正ログインに対して脆弱な状態となってしまいます。弊社ではワードプレスをより安全に運用するためのセキュリティ対策を実施しています。
不正ログインされるとどうなるの?
ワードプレスの管理者権限が不正ログインされると、サイトの完全な制御権を奪われることになります。その結果、攻撃者はサイト内であらゆる操作が可能になり、深刻な被害が発生する恐れがあります。
特に、顧客データの情報漏洩に直結するため、セキュリティ対策を怠ると大きなリスクを抱えることになります。
不正アクセスによって発生する可能性のある被害は、以下のようなものが挙げられます。
• サイトの改ざん:トップページや投稿内容を書き換えられる
• 不適切な内容の投稿:フィッシング詐欺やスパム広告の掲載
• 外部サイトへの誘導:不正サイトへ勝手にリダイレクトされる
• 個人情報・決済情報の漏洩:登録された顧客の個人データが盗まれる
• ユーザーのメールアドレスの漏洩:スパム攻撃のターゲットにされる
• 顧客情報の漏洩:会員データや注文履歴が流出し、信用問題に発展する
このように、管理者権限の乗っ取りはサイト運営に致命的なダメージを与える可能性があります。万が一の事態を防ぐためにも、適切なセキュリティ対策を講じることが重要です。
ルートディレクトリでの対策:管理画面URLの保護
ワードプレスの管理画面のURLが外部に漏れないようにすることは、セキュリティ強化の基本です。
弊社では、以下の方法を採用しています。
対策方法:サブディレクトリにインストール
通常、ワードプレスをドメイン直下にインストールすると、管理画面のURLは以下のようになります。
・ドメイン直下にインストールした場合の管理画面URL
https://nakagawa-web.net/wp-admin
しかし、このURLはワードプレスの標準仕様であり、攻撃者に狙われやすいため、弊社ではサブディレクトリを作成し、その中にワードプレスをインストールする方法を採用しています。
・サブディレクトリにインストールした場合の管理画面URL
https://nakagawa-web.net/XXXXX/wp-admin
※XXXXXは任意の文字列を設定
このようにすることで、管理画面のURLを推測しにくくし、攻撃を受けるリスクを低減できます。
ユーザーIDは割と簡単に見破られる?
ワードプレスでは、適切な対策を講じていないとユーザーIDが簡単に特定されてしまう可能性があります。例えば、「?author=1」をブラウザのアドレスバーに入力すると、対策をしていないワードプレスサイトでは管理者のユーザーIDが表示されてしまいます。
https://nakagawa-web.net/?author=1
対策が施されていない場合、URL欄には次のようにユーザーIDが含まれたURLが表示されてしまいます。
https://nakagawa-web.net/author/ユーザーID
もし攻撃者が管理画面のURLとユーザーIDを把握できれば、あとは総当たり攻撃(ブルートフォースアタック)でパスワードを突破されるリスクが高まります。こうなると、不正ログインが成立してしまい、サイトの安全性が損なわれます。
不正ログインを防ぐためにも、対策が重要です。
弊社では「https://ドメイン名/?author=数字」を入れた場合はトップページへリダイレクトをする対策を実施してあります。(※一部保守管理サポート未契約サイトを除く)
ワードプレスの不正ログイン対策を見直そう!
「自分のサイトは大丈夫」と思っていても、気づかないうちに狙われているかもしれません。
特に、ユーザーIDが漏洩してしまうと、不正ログインのリスクが格段に高まります。
「対策をしたいけれど、どうすればいいか分からない」
「他社で作ったサイトでも対応できる?」
という方も、お気軽にご相談ください。可能な範囲でセキュリティ対策を実施いたします。
大切なサイトを守るために、今すぐ対策を見直しましょう!