Blog

WordCamp Tokyo 2014で話された、覚えておきたい「WordPressセキュリティ三大原則」

2014/10/14

DSC01723

(※ 10月14日 22時追記 スピーカの水の様のブログにて、本セッションの補足が掲載されております。こちらもどうぞ
WordCamp Tokyo 2014 で「必ず押さえておきたい、今すぐできるセキュリティ対策」に登壇しました )

横田です。先日、WordCamp Tokyo 2014に行ってきて、色々とセッションに参加してきました。セッションはそれぞれ、勉強にはなったのですが、特に勉強になったのは「必ず押さえておきたい、今すぐできるセキュリティ対策」です。セッションのタイトル通り、WordPressのセキュリティについての話だったのですが、私のような初心者がどのような事に気をつけた方が良いかについて非常にわかりやすいセッションでした。

今回のエントリーは、そのセッションの中身を中心に、セッションのレポートをしたいと思います。

《実際にセキュリティが破られると、どうなるのか?》

DSC01724

セッションの最初は、まずWordPressのセキュリティが破られると、どのような事になるのか、コーディネータの松尾祥子さんの実体験からのお話となりました。松尾さんの知り合いから連絡があり、Google検索結果にWordPressで作成されたWebサイトの「このサイトは第三者によってハッキングされている可能性があります」と表示されるようになったとのこと。実際に問題のあるWordPressを見てみると、ファイルが書き換えられ隠しリンクが数多く貼られたいた状態になっていたとのことです。

この件についてはGoogleの検索結果からWordPressのセキュリティが破られたことがわかりましたが、セッションのスピーカの人達によると、実際には攻撃された事が気付かず、そのまま運用されるケースがあるとのことです。

《コードを書かずにできる「WordPressのセキュリティ三大原則」》

それでは、どのようにすればWordPressのセキュリティを高めることができるのか、スピーカーの皆様のお話では、完全にセキュリティを守ることはできないとしつつも、基本的なポイントをおさえればWordPressのセキュリティを高めることができるとのことです。セキュリティを高めると言うと難しいコードを必要があると思われますが、コードを書かずにセキュリティを高めるポイントとしては

・パスワードを「強力」にする。

・プラグイン/テーマは公式なものを利用する。

・WordPressは常に最新にしておく。(できたらバックアップも)

の3つの方法が紹介されていました。それぞれ詳しく見てみましょう。
※ こちらの3つの方法については、スピーカの水野様から『「コードを書かないでできること」という観点で選んだ』とのことでしたので追記いたしました。

《パスワードを「強力」にする。》

20140113a

WordPressにログインする場合、パスワードを入力してログインすると思いますが、これが簡単なパスワードの場合、すぐにクラックされてしまいます。そのためパスワードは強力なパスワードを使用した方が良いでしょう。具体的には、WordPressではユーザを作成する時のパスワードチェッカーが利用できます。この時に「強力」となるパスワードを作成しておいた方が良いです。

ただ、パスワードの管理はかなり難しいです。管理しているWordPressのサイトが1つ2つであれば、パスワードを覚えるのにもそれほど難しくはないのですが、サイトの数が多くなればそれらを管理するのは大変です。スピーカーの方達は、メモにパスワードのヒントを記入していたり、パスワード管理ツールなどを利用してパスワードを覚えているとのことでした。

《プラグイン/テーマは公式なものを利用する》

DSC01726

WordPressのプラグインは、検索をすれば色々なプラグインが出てきますが、このセッションのお話ではプラグインやテーマはできるだけ公式サイトからダウンロードした方が良いとのことでした。

なぜ公式の方が良いかと言えば、非公式のテーマやプラグインの場合、特にチェックを受けておらず、中には悪質なプラグインやテーマの可能性があったり、仮に有料の物であっても継続的にテーマファイルの更新がない場合は、その後のアップデートが無い可能性があります。そのため、できるだけ公式のプラグ インやテーマを選択した方が良いとのことでした。

また、公式に掲載されているプラグインやテーマはチェックがされていることや、管理画面からアップデートの通知がわかるのでプラグインやテーマのバージョンアップが簡単にできるので、セキュリテイ的にも非公式のものより安心です。ただし、仮に公式に登録されていたとしても、更新が止っていたり(目安となるのは半年程度)、ダウンロード数があまりにも少ない物は避けた方が良いとのことでした。

《WordPressは常に最新にしておく》

DSC01727

最近のWordPressは自動的にコアファイルがアップデートできるようになっていますが、まだ々古いバージョンのWordPressを利用している人もいるとのことです。古いWordPressを利用している場合は、セキュリティホールが知られているので、攻撃される可能性があります。

Webサイトを運営している人の中には「自分のサイトはほとんどアクセスされないので大丈夫」という方もいるとは思いますが、WordPressを攻撃する人は自動的に攻撃場所を見つけて攻撃をしかけてきます。仮に自分のWordPressのサイトがほとんどアクセスが無い場合でもWordPressのバージョンは最新の物にしておくべきでしょう。

《バックアップはどうする?》

20140113b

WordPress本体やプラグインを最新のバージョンにするのは良いのですが、これらのバージョンを上げる場合、自分のWordPressサイトが正常に表示できなくなる可能性もあります。最近でこそ、WordPress本体(コアファイル)を更新しても、それほど大きなトラブルにはなりませんが、プラグインの場合はアップデートをしたらサイト全体が見えなくなったということもあります。

※実際、私もそのような事がありました。
[参考]私が行ったWordPressが真っ白になったときの原因の特定方法と復旧方法

そのような時のために、バックアップを取っておき、問題があればそれを元に戻す(リストアをする)必要があります。ただ、バックアップを取っていてもリストアの方法は、なかなか難しい場合もあります。

WordPressのバックアップツールで有名どころとしてはBackWPup Freeがあげられていましたが、有料ではありますがリストアの手軽さと差分管理ができるということでVaultPressも勧められていました。

[関連リンク]
VaultPress - WordPress Backup and Security

WordPress > BackWPup Free - WordPress Backup Plugin ? WordPress Plugins

《まとめ》

というわけで、WordPressのセキュリティのセッションに参加して、WordPressの三大原則を勉強してきました。どれも、基本的な事ですが大事なところだと思います。今回の三大原則は基礎的なところですが、次に行われた座談会ではもう少し踏み込んだWordPressのセキュリティのお話がありました。次回は、そちらのレポートを書きたいと思います。

4774167878 WordPressプロフェッショナル養成読本 [Webサイト運用の現場で役立つ知識が満載! ] (Software Design plus)
高野直子 後藤賢司 染谷昌利 岡本雄樹 深海寛信 岡本 渉 松本悦宜
技術評論社 2014-10-16by G-Tools

-Blog