セキュリティ対策の傾向と方針 ~ 基礎からしっかり!WordPressのセキュリティ対策ことはじめ (1/3)

はじめに

こんにちは。さくらインターネット の小西です。

さくらのレンタルサーバでは数多くのWordPressが設置されており、それに比例してWordPressの不正利用も増加しています。お客様に安全にご利用いただくために、不正利用に関する調査・対策を行っておりますが、動向は刻々と変化しているため、全ての事例に対応するのは困難な状況となっています。

そこで今回は、WordPressをより安全に運営していただくために、セキュリティの基礎から具体的な対策について紹介いたします。
また、セキュリティだけでなく「WordPressの性能についても気になる」というお客様の声も多数寄せられておりますので、冒頭ではWordPressの性能向上についての当社の取り組みについてもご紹介させていただきます。

本記事をご覧いただいて、"より早く・より安全に"WordPressを運用できるようになっていだだければと存じます。

さくらのレンタルサーバとWordPress

WordPressの性能を向上させるには、主にサーバのハードウェアの増強、OSやミドルウェア、プログラミング言語などの調整を行ないます。さくらのレンタルサーバでは既に必要な調整が施されていますが、これらに加えてアプリケーション側(ApacheとWordPress)でのさらなる強化を行うことにしました。

この結果、現在のさくらのレンタルサーバのクイックインストールから利用できるWordPressは、アプリケーション側、具体的にはWordPressのプラグインとApacheの分散設定ファイル(.htaccess)を用いてコンテンツデータの配送を最適化することで性能を向上させています。(インストール後、プラグインの設定を行っていただく必要があります)

これは下記を目標としています。

  • サーバからクライアントへ送信するデータを最小化すること
  • WWWブラウザにとって処理しやすいデータであること

最初からクライアントに対するコンテンツデータを最適なものにしておくことにより、将来的にサーバの増強や分散を効率的に行うことが可能となります。

▼GTmetrix
https://gtmetrix.com/

ひとつの指標として、GTmetrixというページ表示速度を計測できるサイトでのパフォーマンススコアはPageSpeed Score、YSlow ScoreともにA評価となりました。こちらは実際に提供しているさくらのレンタルサーバ・スタンダードプランのアカウントで計測したものとなります。

分かりにくいセキュリティ対策

WEBサイトのパフォーマンス評価は前述のように測定することにより、数値で確認することが可能ですが、セキュリティ対策については、このような数値化による判断を行うことは難しいです。

これは個々の背景事情や実際に使っていくうえでの利便性との兼ね合いなどから、セキュリティ対策における基準点が明確ではないためです。

そこで今回はWordPressを題材としてセキュリティ対策の指標を提示するため、さくらのナレッジにて啓蒙を目的とした解説の記事を公開する運びになりました。

しかしながら、私はセキュリティの専門家ではないため、あまり高度なことは書けませんが、あくまでもWEBサイト構築運営とシステム保守運用の実経験に基づいた内容とさせていただきます。

この連載について

さて、3回に分けてWordPressのセキュリティ対策について触れていきます。

  • 第1回
    セキュリティ対策の基本的な傾向と方針の決定について
  • 第2回
    不正アクセスの内容とその対策について
  • 第3回
    プラグインによる防御と不正アクセスからの復旧について

第1回目はWordPressの概要とセキュリティ対策について、基本的な傾向と方針の決定について触れてみます。

主に技術者向けの内容となりますが、WEBデザイナーや企業のWEB担当の方、特に既存のWEBサイトをWordPressでリニューアルしたいといった「これからWordPressを使ってみたい」といった方もご一読いただければ幸いです。

WordPressについて

まずはこれから使ってみたい方へWordPressについて簡単な説明をさせていただきます。

WordPressとは

WordPressはオープンソースのCMS(Content Management System)であり、プログラミングやHTMLなどの専門的な知識を必要とせずにデジタルコンテンツの作成を行うことができます。また、導入しやすく分かりやすい操作性であり、テーマの着せ替えも容易であるため、ここ近年にわたって広く使われています。

特に機能を拡張できるプラグインが用意されており、様々な機能を追加することができます。例えば問い合わせフォームの追加やソーシャルサイトも構築できたりします。
▼ ja.wordpress.orgプラグインディレクトリ
https://ja.wordpress.org/plugins/

さくらインターネットとWordPress

さくらインターネットにて提供しているサービスにおいても、WordPressを簡単に導入できる仕組みを用意しています。

  • さくらのレンタルサーバ(メールボックス・ライトプランを除く)
    コントロールパネルのクイックインストール機能により、簡単にWordPressをインストールすることができます。また、このWordPressではコンテンツの最適化やセキュリティ対策のプラグインを同梱した状態でインストールされます。
    詳細については下記のURLを参照ください。
    ▼ さくらのレンタルサーバ版WordPressの特長
    https://help.sakura.ad.jp/rs/2159/
  • さくらのクラウド
    パブリックアーカイブにて超高速WordPress仮想マシンである「KUSANAGI for さくらのクラウド」を利用することができます。高速に動作するため、多くのアクセスに対応できるWordPressの環境をすぐに用意することができます。
    詳細については下記のURLを参照ください。
    ▼ パブリックアーカイブに高速WordPress環境「KUSANAGI for さくらのクラウド」を追加いたしました
    https://cloud.sakura.ad.jp/news/2015/10/01/kusanagi-for-sacloud-release/

    狙われるWordPress

    ここ近年においてWordPressを対象とした不正な攻撃が多く確認されていますが、WordPress自体に問題があるためではなく、単純に稼働しているサイトの数が多いため、標的とした時に効率が良いからであると考えられます。この点についてはWordPressに限ったことではなく、広く使われているソフトウェアにおいて同様の傾向があります。

    また、どのバージョン、プラグインが攻撃を受けやすいといった傾向も確認できず、総当り的な攻撃となっているようです。このため、WordPressは非常に有益なソフトウェアではありますが、セキュリティの対策も十分に施しておく必要があります。

    セキュリティ対策とは

    一概にセキュリティとは「害から保護すること」と定義されており、今回の対象はWordPressとなっていますので、主に不正アクセスからの保護といった目的としています。この不正アクセスとは、正規のアクセス権限を持たない者が利用することを指し、これを防止するためにセキュリティ対策を行います。

  • 不正アクセスされると何が起きるか

    WordPressへの不正アクセスは、プログラム上の脆弱性を用いたものやダッシュボードのパスワードを推測してログインされるといったものが多く、これらの結果として任意のプログラムを実行されるいといった事例が多いです。

    ここでは具体的な例を挙げてみます。

    • 迷惑メールの送信
      これが一番多いケースです。第三者により大量の意図しない迷惑メールを送信されます。
    • コンテンツの書き換えを行われる
      正規のWEBサイトを装ったフィッシングサイトにされたり、悪意のあるスクリプトを設置して閲覧者への攻撃を実行したりします。
    • DDoSの実行ホストにされる
      DDoS(Distributed Deny of Service)とは、複数のホストから攻撃対象に対して大量の通信を行い、サービスを正常に提供できなくする攻撃です。
    • C&Cホストにされる
      C&C(Command & Control)ホストとして動作させられる事象です。外部からの指示を受けて任意の処理を実行させられるため、様々な用途に利用されます。

    ここで注意すべき点は、不正利用をされ外部への攻撃が発生した場合、被害者であると同時に加害者にもなってしまう可能性が高いことです。不正アクセスを受ける事自体が1次被害となり、そこから2次3次へと被害が拡大しています。

    セキュリティ対策の方針を決める

    セキュリティ対策において、はじめに決めるべきことは「どこまで対応するのか」といった方針となります。

    ポリシーの全体像としては、現状をあまり変えずに必要な部分だけを対策していくといったものとします。初期計画の段階であれもこれもと要求を出すと十分な効果を期待することが難しくなるため、後に状況を省みて調整や追加を検討した方が良い結果をもたらします。

    下記の2項目を検討材料にすると分かりやすいです。

    • 利便性の保持
      利用者への利便性を大きく損なうような方法は避けます。例えば、ダッシュボードにログインするために必要以上の複雑な手段を強要することは、好ましくありません。
    • 費用をどこまでかけるか
      対策にかかる費用については、初期導入時、およびその後の利用においてかかるものの2点があります。セキュリティ対策を行う対象の価値、および運用費用により、どこまで費用をかけることができるかを判断します。

    これらにより、セキュリティ対策の方針を決定しますが、基本的には防犯抑制の考え方と同様で、防止よりも抑制を目的とした方が分かりやすいです。

    また、ありがちな点として、目的と手段を間違えないことが重要です。特にセキュリティ対策の手法を導入する際、手法を導入すること自体が目的となってしまい、その結果として正しく設定されておらず、本来の機能を実現できてないことはありがちな事例です。

    まとめ

    第1回目は基礎的な部分としてWordPressの背景、およびセキュリティ対策の概要について触れました。

    セキュリティという単語を聞くだけで気後れしてしまいがちですが、事前に状況を把握しつつ発生しうる事象を予測できれば、少しは先の見通しが良くなります。これはセキュリティ対策に限らず、未知の事象が発生した場合においては、その対応についても未知となります。これらを既知とすることにより、これらの対応が明確になるということです。(自動車運転における危険予測に近いかもしれません)

    次回は少し具体的な内容としてWordPressにおける攻撃の傾向、および脆弱性の概要と対策について取り上げます。