2022年 鉄板のセキュリティ対策でWordPressサイトをハッキングから守る！

WordPressサイトのハイジャックや改竄被害は世界中で起きています。

特に、日本のサーバーは世界中から狙われています。

サイトに不正ログインされたり改竄被害にあわないために一番良い対策はなんでしょうか？

それは、サーバーレベルで対応することです。

日本のレンタルサーバーが改竄被害が多い原因の１つは、世界標準のcPanelを使っていないレンタルサーバーが多いことが挙げられます。

cPanelには有料オプションでマルウェアスキャンと駆除を行うimunify360が利用できます。

imunify360があるかないかでセキュリティ対策の安心感が全然違います。

国内でもcPanelを利用しているサーバーであれば、imunify360が無料で使えるものがあります。

mixhostとカラフルボックスはcPanelでimunify360が無料で使えるサーバーです。

私が利用しているサーバーもmixhostです。

私はmixhostを利用しているので、サイトレベルではセキュリティ対策をあまり重視していませんが、国内のXserverなどではサーバーレベルのセキュリティ対策が弱いので、しっかりセキュリティ対策をする必要があります。

imunify360で提供されるセキュリティ

• WAF（Web Application Firewall）
• IDS（Intrusion Detection System）：不正侵入検知システム
• IPS（Intrusion Prevention System）：不正侵入防止システム
• Web改ざん通知

セキュリティを高めるのが基本の考え方

WordPressサイトのセキュリティを高める際の基本的な考え方を説明します。

WordPresssサイトがハッキングされるのは、セキュリティホールを突かれるケースとパスワードの漏洩の2つの経路が考えられます。

この2つをガードすることがセキュリティ対策になります。

WAF（Web Application Firewall）でセキュリティホールをガードし、パスワード総当たり攻撃に耐えられるようにするのが基本的な対策です。

WAFとは

WAFとは、Web Application Firewallの略で、Webアプリケーションの脆弱性を悪用した攻撃への対策を行うものです。

WAFがあれば、Wordpressやプラグインなどに知られていない脆弱性があっても防げる可能性があります。

WAFは、主要なレンタルサーバーには機能があります。しかし、WAFが初期状態で有効かどうかはレンタルサーバーによって扱いが違います。

ロリポップは、初期状態でWAFがONになっています。その影響でWordpressのカスタマイズをしていると403になることが多いです。

一方、国内人気No1のXserverではWAFは初期状態ではOFFになっています。WAFをONにすることで利用者のユーザビリティが損なわれるのを避けるためだと思いますが、その影響でXserverは改竄被害が絶えません。

Xserverでサーバーに不正アクセスがあった場合、Xserverに調査を依頼するとWAFをONに設定されます。このことから見てもXserverではWAFは必要なセキュリティ対策として重要と考えられており、確信犯であるといえます。

Xserverを利用している人は必ずWAFをONにしましょう

ログインセキュリティを高めるには？

ログインセキュリティを高めるには、第三者がが簡単にログインできないような仕組みが必要です。

まず、パスワードですが、パスワードが簡単な場合やIDとパスワードが同じ場合は、簡単にログインされます。

例え、パスワードを複雑にしても総当たりでログインを試されてしまえば、いつか突破されてしまいます。

通常のログインフォームからのログインでは、ログイン失敗時にログインロックする機能を使うことで、総当たり攻撃でも突破されることはまずありません。

また、ログインURLを変更してしまえば、ID、パスワードが漏れたとしても、ログインURLもわからない限りログインされることはなくなります。

しかし、Wordpressには別のログイン経路がある点も注意が必要です。

XML-RPCでログインされてしまうことがあるので、XML-RPCを無効化することが重要です。

不正ログインされにくくする仕組みを導入するには、Site Guardというプラグインが使えます。

セキュリティ対策の基本は、WAFとログインセキュリティを高めることだと申し上げました。それに倣って、WAFとSite Guardを組み合わせるというのが今までのセキュリティ対策のトレンドだったと思います。

BBQ Firewall + XO Securityの組み合わせがトレンドらしい

BBQ Firwall + XO Securityがセキュリティ対策のトレンドのようです。しかし、WAF+Site Guardの組み合わせと比べて特に目新しい部分は無いので過度な期待はしない方がよいです。

BBQ Firewall

BBQ Firewallは、軽いWAF（Web Application Firewall）のプラグインです。

BBQ Firewallはこちらからダウンロード

WAFが利用できないサーバーの場合は簡単にWAFが導入できるプラグインということで人気があります。

BBQ Firewallは設定もなく、導入してもサイトも重くならないのが人気の理由かもしれません。

国内のサーバーでWAFが利用できないサーバーというのは実は少ないです。初期状態でWAFが有効になっているかどうかの差だけです。

WAFが利用できるサーバー

国内の主要なサーバーはWAFが使えますので、WAFをONにしてあれば、BBQ Firewallは必要ないです。

WAFをONにするデメリットとして、管理画面でテーマのカスタマイズが保存できない、カスタマイザーが動かなくなったりするので、WAFが嫌いな人は多いと思います。

カスタマイズするときだけWAFをOFFにして、再度ONに戻すのも結構面倒なので、WAFをOFFにして利用している人も多いと思います。

BBQ FirewallはWAFをONにしたくない人には便利なプラグインといえます。

XO Security

XO SecurityはSite Guardの置き換えとして人気があります。

XO Securityのダウンロードはこちら

SIte Guardも機能的には十分なのですが、Site Guardのデメリットとして.htaccessを編集してログインURLの変更機能を実現している点があります。Nginxには.htaccessが無いため、SiteGuardはNginxでは使えません。

XO Securityは、複数のプラグインの機能を取り込みつつ、.htaccessの編集が不要という特徴があり、人気があるようです。

XO Securityで不要になるプラグイン

国内のレンタルサーバーで.htaccessが使えないサーバーは無いと思うので、Site Guardが本当に使えないのはVPSやCloudサーバーでNginxを使う場合だけだと思います。

Edit Author slugが不要になるのはメリットかもしれませんが、XO Securityにはユーザー名でログインできなくする設定もありますので、そもそもuser名を隠すメリットはあまりありません。

Site GuardにはWAFの除外ルールを設定できるメリットがあります。これはXO Securityには無い機能です。

WAFを有効にして、WAFの除外ルールをSite Guardで設定するという組み合わせも捨てたもんじゃなありません。

まとめ

cPanelを使っているサーバーでimunify360が有効になっていれば、サーバーレベルでの対策が強いので、それほど心配しなくてもよいのが現実です。

cPanelを使っていても、imunify360が使えない場合は、ほかのサーバーと同じく対策が必要です。

BBQ Firewallはいるのか？

WAFを有効にしていればBBQ Firewallは不要です。

ただし、『WAFが無いサーバー』や『WAFを有効にしないでサーバーを使用している場合』にはBBQ Firewallは有効です。

XO Securityはいるのか？

ログインのしにくさを提供するという点では、Site GuardとXO Securityは機能的にそれほど違いがないので、無理に乗り換える必要はない気がします。

WAFを導入し、Site GuardのWAF除外機能が使えるサーバーであれば、Site Guardの方がよいかもしれません。