皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

今年の2月、155万以上ものWordPressサイトが改ざん被害にあいました。

参照：WordPressの改ざん被害発生

これらの攻撃を受けてしまうリスクは、どのWordPressサイトにおいても常に存在しています。

WordPressは常に狙われている

ここ最近、この業務改善コンサルティング情報ブログにも狙われた痕跡がありました。

（現状はトルコ、ロシアから。）

とは言っても、ごく一般的なWordPressサイトに対するスキャンではります。

このようなことは、どのWordPressサイトにおいても起きています。

何故か？

攻撃者によって、悪用可能な脆弱性のあるWordPressサイトを常にスキャンしているからです。

WordPressを被害から守るには

WordPressなどのCMS（Content Management System/コンテンツマネジメントシステム）を使っている以上、脆弱性とは恒久的に付き合っていかなければいけません。

システムというのはそういうものでもあります。

そして、常に攻撃対象となってしまうことからは逃れられません。

これらのサイバー攻撃からWordPressサイトを守るには、WordPress本体、プラグイン、どちらも最新バージョンを維持し続けることです。

WordPressなどのアップデート（バージョンアップ）には、機能向上もあればセキュリティ更新もあります。

Windowsのアップデートと同じです。

カスタマイズによってWordPressがアップデートできないサイトの場合は、WAF（Web Application Firewall/ウェブアプリケーションファイアウォール）などを使って保護してください。

不正アクセスをブロックしてくれます。

ただし、これはWordPressがどうしてもアップデートできない状態にある場合の代替案であって、基本は最新を保つことです。

※　完全には守り切れません。

より良い方法としては、どちらも行う（WordPressなどを最新の状態に保ちながらWAFなどでも保護する）ことが望ましいでしょう。

皆さん、こんにちは。

業務改善を行う業務コンサルタント、高橋です。

冒頭でお書きしたことは、特にWordPressなどのオープンソースのCMSツールを使っている場合のことを意味しています。

以前もWordPressアップデート不可の記事にて書かせていただきましたが、いくつかの理由でWordPressは定期的にアップデートされています。

セキュリティ関連の修正も含まれているため本来はアップデートを行った方が良いわけですが、レンタルサーバーが対応していないなどの理由によりアップデートができないケースが存在するのも事実です。

そのような場合はどのような方法にて対処するのが良いのか？

WAFを用いたセキュリティ対策

アップデートができない以上、何らかの対策を行っていないとウェブが非常に危険な状態にさらされることは言うまでもありません。

その場合、WAF（ウェブアプリケーションファイアウォール）というものを使ってウェブアプリケーションの脆弱性を補っておくことが望ましいです。

このWAFは、通常のファイアウォールやIPSでは対処できない『SQLインジェクション』や『クロスサイトスクリプティング』などの攻撃からウェブアプリケーションを守ってくれるもので、ウェブアプリケーションの脆弱性対策アップデートが行えない以上、これくらいのことをしておくくらいしか正直手段がありません。

レンタルサーバーと自社サーバー

レンタルサーバーの場合、探せばオプションとしてWAFが使えるところはありますので、アップデートができない場合はこのようなオプション契約をされることをお勧めします。

費用的には月額500円程度で利用可能でしょう。

また、自社サーバーの場合はUTMなどの統合型セキュリティを導入されることが望ましいです。

ウェブアプリケーションそのものは脆弱性対策がとられていたとしても攻撃を受けないわけではありませんので、被害の確率を減少させるためにもUTMなどは導入していただきたいものです。