プライム・ストラテジー1が、2024年3月1日から1年間、日本企業・団体などで利用されているWordPressサイト約18万件を調査した結果を公表しました。
セキュリティリスクのあるサイトが多々見つかっています!
私は本職がSEですが、クライアント側担当が多いので、サーバー系の知識は不安・・・
自分のサイトは大丈夫だろうか?
ログイン画面にアクセスできる時点でNG!
調査結果によれば、日本企業・団体のWordPressサイト約18万件のうちBasic認証すら設定していないサイトもあったようで、Basic認証未設定のサイトのうち約42%でログイン画面にアクセス可能であることが判明したそうです。
そもそも会員制サイトでない限り、自分以外はログイン画面が表示される必要がないはず。
不正アクセスを試みた際に、ログイン画面が表示されること自体NGです!
Basic認証すら設定していないサイトも…
Basic認証とは、HTTPで定義される認証方式の一つです。
かなり簡単に言えば、Basic認証は「IDやパスワードを入力しなければページを閲覧できないアクセス制限」を掛けることです。
ほとんどのレンタルサーバーでは、Basic認証が簡単に設定可能で且つデフォルトでONになっています。
レンタルサーバーの管理画面やFTPなどでファイル検索して、「.htaccess」や「.htpasswd」というファイルがあれば、まず問題ないでしょう。
※もちろんファイルがあるだけではダメで、そのファイルの中の内容が重要ですが、レンタルサーバーが対応してくれているはず…
なんでこんな簡単な設定をしていないサイトがあるのか…
対策をしていないサイトは、AWSなどを使って自分でサーバーを立てた人かなぁ?
自力でサーバー立てられるスキルがあるなら、この辺のセキュリティにも気を配っていそうだけど…
自分のサイトが大丈夫なのか確認!
ブラウザのシークレットモードで、対象となるWebサイトのURLの後に「/wp-login.php」を追加したURLにアクセスした際に、ログイン画面が表示されるとNGとのこと。
さっそく私も試してみました!
複数のサイトを運営している私ですが、試してみた結果全てのサイトで「ページが見つかりませんでした。」という表示が出ました。
ログイン画面ではなかったので、とりあえずOK。
欲を言えば、”不正アクセスは通報しますよ?”的な文言を出したいところですが…
アクセスしてきた相手がBotの場合は効果がないので、そこまで時間を割く必要は無いか…
約15%がユーザーID丸見え
さらに調査結果によれば、日本企業・団体のWordPressサイト約18万件のうち約15%で”ユーザーIDがインターネットで閲覧できる状態”と判明したそうです。
IDが分かってしまうと、ブルートフォース攻撃(パスワード総当たり)で簡単にログインできてしまいます。
ログインさせない
仮にログイン画面が表示されても、容易にログインさせないようにすれば、ある程度セキュリティリスクを下げることができます。
対象となるWebサイトのURLの後に「/?author=1」を追加した時、ユーザーIDが含まれるユーザーページが表示された場合、IDが外部に漏れている可能性があるそうです。
これも試してみた結果、私が運営する全てのサイトで「ページが見つかりませんでした。」という表示が出ました。
これもとりあえずOK。
それでも不正アクセスはある
少し調べればバレることなので言ってしまうと、当サイトでは「Wordfence」というセキュリティプラグインを使用しています。
Wordfenceでは、失敗したログインなどの情報を見ることができますが、アクセス数が少ない当サイトでさえ、月1~5件ほどログイン失敗ユーザーがいます。
簡単にログイン画面に到達できないようにしているにもかかわらず、それでも不正ログインを試みるアクセスがあります。
昨今は簡単に始められる副業としてブログのアフィリエイトを進めている人が多くなってきました。
初心者がセキュリティを考えずブログを作った結果、損害を出したら目も当てられません。
ブログを運営する以上、最低限のセキュリティ知識は身に着けるべきだし、ブログ作成を進めるならばセキュリティのことも教えなきゃダメだなぁと思います。
注釈
- Webサイトを高速、安全に稼働させる保守・運用サービスを提供する会社。
ワードプレスの高速化・セキュリティ強化環境「KUSANAGI」が有名。
https://www.prime-strategy.co.jp/ ↩︎
コメント・ご指摘などあればこちらへ!