HTML/CSS/PHPよりも大切な知識・脆弱性対応[WordPress]

シェアしていただけるとうれしいです

HTML/CSS/PHPよりも大切な知識

昨日、こんな記事を書いた。

HTML/CSS/PHPの知識は必要か?[WordPress]
最近ツイッターでよく目にするのが、WordPressでブログを始めるにあたって、HTMLやCSS、PHPといったWebデザイナーやプログラマ

基本的には、ブログを始める段階でHTML/CSS/PHPの専門的知識は不要であると考える。まずは記事を書くことが大切だし、既存のテーマやプラグインで事足りなくなってきたときに手を出せばいいだろう。

そんなことよりも、ブログをWordPressで運用するということの危険性をもっと認識して欲しい。なぜって、あまり危険性を説く人がいないからだ。

WordPressでブログを運営するにあたって押さえておきたい危険性について書いておきたい。

脆弱性ってなに?

人の手によって作られたものは必ずなんらかの不具合があると考えたほうが良い。WordPressはPHPというプログラム言語で書かれたシステムだ。WordPress自体に不具合が見つかって、バージョンアップされることがたまにある。

テーマやプラグインに不具合が見つかってバージョンアップされることもある。

PHP自体も人の手によって書かれたプログラムだから不具合が見つかってバージョンアップされる。PHPを動かしているApacheなどのWebサービスを提供するアプリも不具合が見つかってバージョンアップされる。そもそものOS自体にも不具合が見つかってバージョンアップされることもある。

どんなプログラムも人間が作ったものだから、どこかに不具合が含まれていると考えて間違いない。

設計に対して意図しない動きをすることを「不具合」という。
あれ?なんか動きが違うなぁ、とか、こんなデータ入れたらこんなんなっちゃったけど、とか。

問題になるのは、その「意図しない動き」が無害であればいいのだが、悪意を持った第三者がその不具合を悪用した場合、甚大な損害を被ることがある。例えば個人情報が漏れたり、意図せずウイルスに感染させられたり、第三者のサーバーを攻撃する踏み台にされたり。

そういったセキュリティ上問題がある不具合のことを「脆弱性」という。

ブログの運営者が関与できない脆弱性

ブログの運営者は大抵の場合、レンタルサーバーを借りているだろう。レンタルサーバーとは、例えばWordPressを使うための「環境」を貸してもらうことだ。「環境」はレンタルサーバー提供者が整えるため、ブログの運営者は手を出せない。

OSやWebサービスのアプリ、PHPなどのバージョンアップはブログの運営者は行えず、レンタルサーバー提供者が行う。ここの責任についてはブログの運営者は負わない。

※ただし、VPSなどの仮想環境を借りて自分で環境を作っている人はその限りではない。

ブログの運営者が責任を負う脆弱性

WordPressはオープンソースといって、プログラムの中身が公開され、誰でも自由に無料で使えるアプリだ。ソースコードが公開されているので、自分で改良することもできる。

WordPressのテーマやプラグインも多くがオープンソースだ。

これらの利用の責任は、ブログの運営者が負う。WordPressのバージョンアップを怠ったことによって被った損害はもちろんブログの運営者が負わなければならないし、それによって他人に被害を与えた場合は、損害賠償を請求される可能性もある。

例えば、WordPressの脆弱性によってサイトが乗っ取られ、知らないうちに大手ECサイトを攻撃していた。そのせいで、ECサイトは24時間ダウンし、その間の損失◯億円を損害賠償請求された。

WordPressのバージョンアップを怠ったことで起きたことなら可能性がないことはない。

不具合に対して攻撃を受けて、自分のサイトだけに影響が出たのであれば笑い事で済むが、善意の第三者に対して被害を与えたとなると影響は計り知れない。今まで築き上げてきた「何万PV」という実績は瓦解し、サイトは検索の範囲外に弾き飛ばされ、ブログ飯どころか、損害賠償を払うために別の仕事を探さなくてはならなくなる。

ブログの運営者の管理責任が問われるのだ。

最低限やっておきたい対応

WordPressでブログを運営するにあたって、最低限やっておきたいことを抜き出してみた。

管理者のユーザー名を変更する

WordPressのデフォルトの管理者ユーザー名は「admin」になっているが、すぐに別のユーザーを作って「admin」は削除したほうがいい。相当数のWordPressのサイトが「admin」ユーザーが残っているのではないかと思われるが、いわゆる「総当たり攻撃」に対してかなり弱い。

総当たり攻撃(ブルート・フォース・アタック)とは、ユーザー名、パスワードをつぎつぎ変えながらログインをしようとする攻撃だ。これはWordPressに脆弱性がなくても、ユーザー名、パスワードに平易な文字列を使っていれば、簡単に突破されてしまう。

まして、ユーザー名が「admin」であれば、パスワードだけを変えていけばいいのだから、もっと突破される可能性が高くなる。逆総当たり攻撃(リバース・ブルート・フォース・アタック)と呼ばれる攻撃手法だ。

これも管理ページにログインされるだけなら笑い話で済むかもしれない。

もしWordPressに脆弱性があって、ページが改ざんされ、そのページを閲覧するとウイルスに感染させられたらどうだろう?被害は自分だけで済む話ではない。あなたの読者を巻き込むことになってしまう。

笑い話で済みますか?

「admin」を放置している人は、今すぐ対応した方がいい。

6月2日追記
adminを削除する方法についてはこちらの記事が詳しい。

WordPressのログイン時のユーザー名を変更する方法
セキュリティの観点から、「admin」や「ドメイン名」などの推測されやすいユーザー名は、決して良いとはいえません。今回は、WordPressのユーザー名を変更する方法を紹介します!

WordPressを最新にする

アプリがバージョンアップされるときは、機能の追加もあるが、不具合の修正であることが多い。それが脆弱性を含むものであるならば、直ちにバージョンアップをすることを検討した方がいい。

最近のWordPressは自動的にバージョンアップされるようになっているが、ちゃんとバージョンアップされているかどうかダッシュボードで確認しよう。

テーマやプラグインも常に新しいバージョンにしておこう。過去にテーマに脆弱性が見つかったことがある。公式のテーマやプラグインなら、管理ページからバージョンアップできる。

問題は公式でないテーマやプラグインだ。開発元が十分に管理できていなかったり、脆弱性をはらんだまま開発がストップしていることもあるから注意が必要だ。

あと、プラグインを多用することも控えよう。相互に作用して、思わぬことをまねく可能性もある。必要最低限だけにすることが望ましい。

正しい運用を心がけること

危険性を認識して正しく運用すれば、多くの場合問題は発生しないはずだ。少しの心がけで、大勢の人々を被害に巻き込むこともないし、自分のブログも守れる。
ブログの運営者はWebサイトの管理者であるという自覚を持った方がいいだろう。

いわゆる「画像直リンク」、画像の複製は固くお断りいたします。
スポンサーリンク

シェアしていただけるとうれしいです

フォローよろしくお願いします

関連記事