ウェブサイト構築によく使われるWordPressなどのCMS(Content Management System/コンテンツマネジメントシステム)、これらは常にサイバー攻撃のターゲットとなっているという認識はありますか?
皆さん、こんにちは。
業務改善を行うIT・業務コンサルタント、高橋です。
今年の2月、155万以上ものWordPressサイトが改ざん被害にあいました。
これらの攻撃を受けてしまうリスクは、どのWordPressサイトにおいても常に存在しています。
WordPressは常に狙われている
ここ最近、この業務改善コンサルティング情報ブログにも狙われた痕跡がありました。
(現状はトルコ、ロシアから。)
とは言っても、ごく一般的なWordPressサイトに対するスキャンではります。
このようなことは、どのWordPressサイトにおいても起きています。
何故か?
攻撃者によって、悪用可能な脆弱性のあるWordPressサイトを常にスキャンしているからです。
WordPressを被害から守るには
WordPressなどのCMS(Content Management System/コンテンツマネジメントシステム)を使っている以上、脆弱性とは恒久的に付き合っていかなければいけません。
システムというのはそういうものでもあります。
そして、常に攻撃対象となってしまうことからは逃れられません。
これらのサイバー攻撃からWordPressサイトを守るには、WordPress本体、プラグイン、どちらも最新バージョンを維持し続けることです。
WordPressなどのアップデート(バージョンアップ)には、機能向上もあればセキュリティ更新もあります。
Windowsのアップデートと同じです。
カスタマイズによってWordPressがアップデートできないサイトの場合は、WAF(Web Application Firewall/ウェブアプリケーションファイアウォール)などを使って保護してください。
不正アクセスをブロックしてくれます。
ただし、これはWordPressがどうしてもアップデートできない状態にある場合の代替案であって、基本は最新を保つことです。
※ 完全には守り切れません。
より良い方法としては、どちらも行う(WordPressなどを最新の状態に保ちながらWAFなどでも保護する)ことが望ましいでしょう。