Sucuriは10月3日(米国時間)、「Optimizing WordPress: Security Beyond Default Configurations」において、WordPressのデフォルト設定で不足するセキュリティ対策について伝えた。Sucuriは、最近のWordPressはデフォルトでセキュリティカメラを上回る安全性があるとしつつ、さらにセキュリティを強化するためのデフォルトの問題点と改善策を解説している。
-
Optimizing WordPress: Security Beyond Default Configurations
Sucuriは一般的な話として、セキュリティと利便性は相反する傾向にあると説明。簡易なパスワードはログインを容易にするが、同時に、脅威アクターのログインも容易にしてしまう。WordPressも同様で、ブログ、小規模ビジネス、趣味のWebサイト開設において便利で最も優れた選択肢となるが、脅威アクターの標的とされる可能性も高まる。
Sucuriは「WordPressはデフォルトで安全性がある」と強調している。しかしながら、脅威アクターの攻撃を受けやすいため、セキュリティ対策が推奨されている。Sucuriはセキュリティ対策が必要となるWordPressのデフォルト設定の問題点を次のように解説している。
- 保護されていない管理パネル - WordPressはデフォルトで「/wp-admin」から管理パネルにアクセス可能。脅威アクターは推測も調査もすることなく管理パネルを攻撃できる
- ユーザー列挙攻撃 - WordPressは記事の一覧表示の機能により、管理者のログインアカウント名を誰でも知ることができる。これにより、脅威アクタはブルートフォース攻撃に必要なアカウント名がわかる
- ログイン試行回数に制限がない - WordPressはデフォルトでログイン試行に制限がない。このためデフォルトでブルートフォース攻撃が可能とされる
- ファイルの直接編集 - WordPressは一部のプラグインを導入することで管理パネルから直接ファイルを編集することが可能となる。これにより、脅威アクタはWebサイトに容易にバックドアを仕掛けられるとされる
Sucuriは上記の問題を解決してセキュリティを向上させる方法を次のサイトで解説している。
上記の問題とその対策は、WordPressを運営する上で基本的な対策とされており、WordPressのWebサイト管理者は小規模であっても積極的に対応することが望まれている。また、WordPressの規模と内容によっては脅威アクターによる大規模な攻撃の可能性もあり、Webサイト管理者にはセキュリティソリューションの活用など適切なベストプラクティスの実施が望まれている。
メルカリで相次ぐ不正行為、どう対処しているのか? 不正対策部門の責任者に直撃
