仕事のご依頼で WordPress を使うことが多々あるのですが、WordPress の言葉を目にする度に思い出すのが「WordPress×ロリポップのページ改ざん」。当事務所のクライアントさまで直接被害を受けたサイトはありませんでしたが、セキュリティについて改めて考えさせられた問題でした。

ページ改ざんの原因のところで。。。

また、wp-config.php のパーミッションが 644 だったことを利用して、設置されたスクリプトによりデータベースの接続情報の取得がおこなわれ、データベース上のデータの書き換えが可能な状態となっておりました。

実施した対策のなかで。。。

・未インストールの WordPress の管理者権限を第三者に取得されないための対策
install.php のパーミッションを変更いたしました。

あと。。。

以前より、サーバー上に設置された不特定多数の wp-login.php に対し海外から大量のアクセスが発生していることを検知いたしておりました。

当事務所では、上の wp-config.php，install.php は、パーミッションの変更だけではなく、.htaccess によるアクセス制限も実施しています。また、wp-login.php および関連する wp-admin へのアクセスは可能な限りIPアドレスによるアクセス制限を推奨しています。さらにログインを設定回数失敗した場合は設定時間経過するまでアクセスをNGにするプラグインの設置を行っています。

WordPress は導入も容易で優れたCMSであり、さまざまなサイトで使われています。それ故、狙われやすいシステムでもあります。WordPress を導入しているまたは導入予定である場合、デザインやコンテンツだけではなく、セキュリティについても今一度お考えになることが大切と思います。