WordPressのセキュリティ、どうよ?

ここ最近、Fbの広告でよく見かけるようになった「WordPressのセキュリティ」のサービス。

どうよ…?

はい、モーハチも「Webサイト運営代行サービス」でセキュリティ対策を提供していますが、その業者の料金は、「え～～～!」というお値段です。

何も起きないようにするための予防対策であり、料金は「保険」と同じってのは、理解できますが…。
 

年中見張るのは、無理っす!

不正アクセス攻撃は、「小」を含めれば結構打たれ続けています。

モーハチが運営代行しているWebサイトを例に…。

上図は、WordPressの管理画面トップに表示される、モーハチ推奨のセキュリティプログラムの稼働結果になります。(CleanTalkというものです。)

該当Webサイトは、日々世界中から閲覧者がいるサイトで、Webサイト運営はかなり長いです。またサイト名やドメイン名の影響から、MovableTypeの時代から不正攻撃は多かったです。

(当時は、サーバーのアクセスログからIPアドレスを取得して、ブロックしていました。。。)

この攻撃は、「スパムボット」と呼ばれる攻撃を受け防御した数が示されています。

スパムボット?　↓お読み下さい。
 

あなたの情報も流出?スパムボットが7億件以上の個人情報を収集あなたの個人用メールアカウント、業務用メールアカウントの両方に、日々多くの迷惑メール(スパムメール)が送られています。多くは「お金をプレゼントします」「無料でお金儲けの秘訣を教えます」「若い女性です。出会いましょう」といった内容で、最終的にはお金を支払わせようとするか、個人情報を取得しようとする詐欺的なメールです。「こんな迷惑メールに引っかかることはないよ」…blog.trustlogin.com

小規模なサイトでさえ、ある程度の閲覧数にいくと、数は小さくとも「穴」を見つけるために、自動化で攻撃してきます。

細かい攻撃まで入れると、上記の数字*5くらいはあります。

次の図は、ここ最近多くなった自動化の王道「Python」で受けた攻撃です。

CleanTalkは、専用の管理画面から様々な設定から、ログを確認することができます。下図は、その履歴の一部を抜粋しました。

(㊟攻撃元は中国ですが、これをみて「中国批判」はお控えくださいね。分かりやすい例を挙げただけです!)

注目は、図右側にあるURLです。「そのサーバーにありそうな」WordPressファイルやアクセス経路に対してランダムに打ってきています。

/login.php?s=Admin/login

Login.php =>ログインファイルでよく使われるファイル名です。

Admin　=>Adminというのは、管理者という意味で結構な場所で”Admin”が使われます。

このように、「ありそうだね～」というURLに対して打ってみて、エラーが戻ってきたら、また違う(組み合わせ)内容で打ち続ける…、それをPyhtonなどで自動化しています。(命令を出している本人たちは、当たり前ですが優雅に寝ているでしょうw)

これらは、あくまでも一例であり、日々アメリカから中国、ドイツ、オランダなど方々から攻撃が飛んできます。
 

100%防御できるものは…、ない

WordPressでよく聴こえてくる…、

「WordPressのバージョンが古いから」
「使っているプログラム(プラグイン)が更新されていないから」

攻撃される…。

はいはい。それも原因のひとつですが、15年以上向き合ってきた経験から言えば、

要は、入られる前に止めてくれるプログラムがあればいい

それだけです。

上記で指摘したWordPressのセキュリティサービスを提供している方々に言いたいのは…、

・WordPressは、常に最新版が良いとは言い切れない
・使用中のプラグインには、最新版に対応していない場合もある

このような多種多様な条件や構造がある中で、セキュリティを高めるサービスを前面に押し出すのは如何なものかと…。
 

セキュリティは、以下で充分

WordPressには、優秀なセキュリティ関連のプラグインがあります。

WordFence

Wordfence Security – Firewall, Malware Scan, and Login Securityファイアウォール、マルウェアスキャナー、2要素認証、包括的なセキュリティ機能、24時間体制のチームによるサポート。Wordfence でセキュリティを最優先しましょう。ja.wordpress.org

Cleantalk

Spam protection, Anti-Spam, FireWall by CleanTalkスパム対策、アンチスパム、ファイアウォール、プレミアムプラグイン。スパムコメントやユーザー、お問合せフォームスパム、WooCommerce スパムの対策。ja.wordpress.org

Akismet

Akismet Anti-spam: Spam Protectionスパムのコメントやスパムをコンタクトフォームでブロックするための最善のスパム対策保護。WordPress と WooCommerce のための最も信頼されたスパム対策ソリューション。ja.wordpress.org

JetPack

Jetpack – WP セキュリティ、バックアップ、高速化、成長バックアップ、WAF、マルウェアスキャンなどの強力なワンクリックツールで、WP のセキュリティを向上させます。 統計情報、CDN、ソーシャル共有など無料ツールが含まれています。ja.wordpress.org

AkismetとJetPackは…、良いのですが「重い」です。

WordFenceもCleantalkも、安価なサーバーで使うと「稼働が遅く」なるのは確かです。

しかし、全てに共通しているのは、「無料で必要なことはできるし、結構守ってくれる」ことです。

ですので、これらで充分です。

…イギリスのとある街にある動物園のWebサイトでは、無料のWordFenceをWebサイト開設当初から使っており、アクセス数の多さから日々上記のような攻撃は受けますが、1回も突破されたことはないそうです。(友人談)

でも、無料ではなく有償が安心

とはいえ、無料で使えるからええやん!とはなりません。

何度も言いますが、100%防御できるわけではありません。

ですので、モーハチでは有償のセキュリティに加えて、日々のバックアップを取り、攻撃を受けた際も即座に(最短2時間)で通常モードに引き戻します。

また、「知らない間になんらかのファイルやコードを埋め込まれてしまう」こともあるため、モーハチでは(毎日バックアップ!)最低でも10日間のバックアップを取り、上記のセキュリティで確認できた「攻撃」を突き止め、その日までさかのぼり修成を行います。

この作業をご自身でできるのであれば、是非!

しかし、チェック項目が多いので、できましたらモーハチのような業者に依頼して下さい。

もし、現時点でWordPressをお使いであれば、製作会社に「セキュリティは、何を使っていますか?」とお聞き下さい。
 

サーバーのセキュリティも、「ま～、ええかな。」

おそらく上記のような知識がない業者は…、

「サーバーに搭載されているセキュリティで充分です。余計な出費は、必要ありません!」

「バックアップも、サーバーが自動的に行っているので、ご安心下さい。」

え…、まじかいや…。(何度か直面した▲案件っす。)

それでもいいんですよ。でも、駆除する時はどうするのかな?

バックアップって、それを元通りにするのに、どれだけ時間が必要かな?

余計な出費(=Webサイト運営代行)を抑えたい方は、是非今一度サーバーに搭載されたセキュリティの詳細とバックアップ作業の手順を確認して、一度試しにバックアップしてみてください。

皆様のWebライフが、より美しいものになることを願って…。

##マイメモ

#モードエイト　#セキュリティ　#スパムボット　#バックアップも重要