2017年02月10日11時21分 に初出の投稿

河本孝之Takayuki Kawamoto

Last modified: 2017-02-10 11:21:27

昨今、WordPress を運用しているウェブサイトへの攻撃がたびたび大規模に発生しており、当社でもクライアントからの照会が増えております。

まず対策としては、可能ならもちろん WordPress を最新版へアップデートすることが最優先です。それから、幾つかの記事で紹介されている攻撃元の IP アドレスをウェブサーバ・アプリケーション(Apache や nginx や IIS)やネットワーク機器や各種ソフトウェア(iptables やソフトウェア・ファイアーウォールや IDS)の設定で遮断したり、攻撃対象となっている機能、たとえば REST API やユーザ登録の機能など、使わないものがあれば無効にするか PHP ファイルそのものをサーバから削除することが大切です。また、この機会にサーバの設定や PHP あるいは WordPress の設定を個々に見直してみるのもよいでしょう。

数年前から僕が運営している他のサイト(MarkupDancing)で説明しているように、WordPress はかなり自由度の高い汎用的な CMS であるがゆえに、これを導入するウェブサイトの用途や運用要件、あるいは運営者が企業ならサイトの運営に設定されている KPI もさまざまです。したがって、実は情報セキュリティのような「非機能要件」もサイトの運営目的に応じて色々な基準がある筈なので、WordPress を使っているという一点だけで全てのウェブサイトが同じ対策を無条件に実施できるとは限りません。

たとえば、WordPress 本体を単にアップデートするということですら、もしそれが WordPress の管理画面で実施するワンクリックでのアップデート作業を意味するのであれば、それを逆に情報セキュリティの観点から禁止している企業もあります。なぜなら、管理画面でワンクリックのアップデート作業を行うと、そのサイトでは使わない筈の PHP ファイルがサーバに追加されてしまうからです。多くの企業のコーポレートサイトでは、WordPress 本体にコメント機能があろうと、ウェブサイトの運用要件としてコメント機能は使いません。したがって、管理画面でワンクリックのアップデート作業を行うと、サーバから削除していた /wp-comments-post.php という不要なファイルがサーバに再び設置されてしまい、情報セキュリティの観点では脆弱になってしまいます。少なくともウェブサイトのルートディレクトリ直下に置かれている PHP ファイルのうち、

といったファイルは、多くのコーポレートサイトでは常にサーバへ設置しておく必要などない筈です。

上記で述べた、攻撃元の IP アドレスを指定したアクセス制御についても、ウェブサイトの運営目的によっては幾つかの注意、あるいは企業のサイトであれば決裁を要します。IP アドレスを指定してアクセスを遮断するという対策は、その IP アドレスが遮断してもよい場合に限られるという大前提をクリアしなくてはなりません。今回は特に遮断しても悪影響はなさそうですが、もし国内通信会社が多くのユーザのネットアクセスをコントロールしているデフォルト・ゲートウェイも攻撃元の IP アドレスになったら、その IP アドレスを遮断すると膨大な数の無関係なアクセスを閉め出すこととなります。この場合は、一概に IP アドレスを指定してアクセスを遮断すればいいというわけにはいかないでしょう。また、外資系企業や海外ユーザ向けのウェブサイトであれば、海外のプロバイダの IP アドレスだからといって無闇に遮断してしまっては運営目的に反するかもしれません。

冒頭に戻る


※ 以下の SNS 共有ボタンは JavaScript を使っておらず、ボタンを押すまでは SNS サイトと全く通信しません。

Google+ Twitter Facebook