レノボのような大規模なウェブサイトがハッキングされると、ニュースになります。しかし、こうした攻撃のほとんどは、自衛のためのスキルや時間を持たない小規模なサイトで、気づかれないうちに行われています。例えば、WordPressベースのウェブサイトは、昨年数千ものサイトがハッキングされ、厳しい現実に直面することになりました。
そういったサイトにはならないでください。WordPressを使っていないとしても、あの哀れなサイトが経験したことから重要な教訓を学ぶことができます。
魔法の弾丸ではないもの:サイトのメンテナンス
ホスティングサーバー上でWordPressサイトを素早く立ち上げるのはかつてないほど簡単になりましたが、ユーザーはサイトを定期的に管理する必要があることを理解する必要があります。サイバー犯罪者やハッカーは、管理者が推測しやすいパスワードを使用したり、サイトの設定を誤っていたり、最新のパッチを適用していないサイトを常に探しています。
例えば、今年初め、セキュリティ企業Zscalerは、侵害を受けたWordPressウェブサイトが訪問者のログイン認証情報を攻撃者が管理するサイトに転送していることを発見しました。昨年は、最悪の連続侵害事例の一つとして、SoakSoakと呼ばれる悪意のあるプログラムが、人気プラグインの脆弱性を悪用して10万以上のWordPressサイトに感染しました。「これらのアプリケーションの素晴らしい点は、使いやすく、ウェブサイトを簡単にオンラインに公開できることです」と、SucuriのCEOであるトニー・ペレス氏は述べています。「しかし、これは諸刃の剣です。ユーザーがサイトを安全に管理できるとは限らないのです。」
W3Techs WordPress は、すべての Web サイトの約 4 分の 1 を占め、すべての CMS ベースの Web サイトの 60% を占めています。
セキュリティ専門家は、一般的にセキュリティを真剣に考えているコンテンツ管理システム(CMS)を責めていません。しかし、Webテクノロジー企業W3Techsによると、WordPressサイトはウェブサイト全体の24%を占め、JoomlaとDrupalも5%を占めています。これらのソフトウェアは、攻撃者の厳しい監視下に置かれています。攻撃者はこれまで、CMSへの最初の攻撃として総当たり攻撃によるパスワード推測を試み、その後、新たに公開された脆弱性を素早く悪用しようとしてきました。
パスワードはユーザーにとって簡単に解決できる問題ですが、脆弱性やパッチの頻発に常に対応していくには、継続的な努力が必要です、とWordPressセキュリティ企業WordfenceのCEO、マーク・マウンダー氏は言います。以下の3つのベストプラクティスは、攻撃者を撃退するのに役立ちます。
1. できるだけ早く更新する
独自のサイトを管理する人は、コアコンテンツ管理システム (CMS) の更新を管理するホスティング サービスを使用するか、インストールに影響を及ぼす可能性のある脆弱性に関する情報を常に把握するためのプロセスを作成する必要があります。
ご注意を。これは大変な仕事です。CMSやプラグインの脆弱性を迅速に修正するには、ソフトウェアやプラグインの脆弱性フィードへの登録が必須です。しかし、Sucuriのペレス氏によると、大量の情報に圧倒されてしまうこともあるそうです。
「開発者が脆弱性に常に対応し続けるのはほぼ不可能です」と彼は言う。「彼らはサイトを運営しようとしており、すべてのパッチを追跡して適用するのは困難です。」
Sucuri、Cloudflare、Incapsula などの Web セキュリティ サービスは、既知の攻撃をブロックすることで、管理者がサイトにパッチを適用する時間を稼ぐことができます。
2. プラグインとテーマを忘れずに
メインのコンテンツ管理システムを最新の状態に保つことは困難ですが、攻撃者が Web サイトを侵害するためにプラグインやテーマの脆弱性を狙うことが増えているため、すべてのプラグインにパッチを適用することはさらに面倒な負担になる可能性があります。
「一般的に、攻撃者はできるだけ多くのゼロデイ攻撃や最近公開された脆弱性を利用して、できるだけ多くの WordPress サイトを乗っ取ろうとし、そのサイトを他の攻撃に利用しようとします」と Wordfence の Maunder 氏は言います。
WordPressには様々なセキュリティプラグインがあります。Wordfence、BulletProof Security、iThemes Securityは、Webサイトのセキュリティ侵害のスキャンから、WordPressサイトのセキュリティ制御の設定まで、セキュリティ関連の様々なタスクを実行し、最も一般的な攻撃に対するソフトウェアの強化を実現します。
3. ウェブサイトを定期的にメンテナンスする
ホストされたウェブサイトを運営することは責任を伴うものであり、頻繁なメンテナンスが必要です。管理者はサイトのバックアップを作成し、そのバックアップがウェブサーバーからコピーされていることを確認する必要があります。経験の浅い管理者の多くはこの手順を見落としていると、マウンダー氏は指摘します。
時間がない場合は、フルマネージドサイトを検討しましょう。WordPress.comは豊富なテンプレートと、かつてないほどの柔軟性を備えています。JoomlaやDrupalなどの他のコンテンツ管理システムの場合は、ホスティングサービスプロバイダーがそのサーバー上のCMSを管理し、ウェブサイトのパッチ適用を支援できます。
