※※※※※※※※※
画像の「クリックで拡大」がうまく行かないんで、解像度の暴力で読みやすくすることにしました。
どうぞ、BOTからの、ろくでもないアクセスをご覧ください。
※※※※※※※※※
はじめましておひさしぶりですこんばんわ。
リベロエンジニアで社員として働きながら、藤波製作所で個人事業主(代表)という活躍の機会をいただいているドラゴン藤波です。
今日はホームページとレンタルサーバまわりのセキュリティの話です。
またセキュリティの話です。
またセキュリティの話かよ!って思った方。はい。またなんです。
いや、マジで、どんだけ多いねん。ってくらい、セキュリティ事故なくなりませんよね?まぁかく言う自分も過去にやらかしたことはあるんですが。
とまぁ、今日はちょっと、レンタルサーバ上でホームページ構築する際に実装すべきセキュリティについて
軽く書いていきたいと思います。
想定のロケーション
ロケーションは、、、そうですね、、、
太古の昔からある一般的なレンタルサーバと仮定しましょう。
AWSのようなダンプカーは使いません。
ホームページ制作屋さん界隈では現役ですね。レンタルサーバ。原付みたいに使えます。
さくらクラウドやAWSだとコスト感が合わないので、そういう需要があるんだと思います。
。。。という経済合理性の話は機会があったときに書くとして。
そもそもWEBサイトを作る手法について
まず、ホームページ、、、以降はWEBサイトとしましょうか。
WEBサイトを作る手法は下記の分類に分かれますよね。
※CSS/javaScriptのフレームワークについては一旦触れないでください。
- HTMLを手書きする。
- CMSで作る
- SSGで作る
- ウェブサイトビルダーを使う。
- ウェブアプリケーションフレームワークを使う
このあたりですね。自分の知識が古くて、まだある気もしないでもないですが。。。
注目したいのは「CMSで作る」です。ウェブアプリケーションフレームワークはもうQiitaかZenn見に行ってくれよ頼むよ
もうカンの良いヒトは気づいていると思いますが、、、、はい。WordPressです。
ユーザの多さが故に、狙われやすく、脆弱性の塊みたいな扱いを受けているCMSですね。
そういえば、なんで、ワープレだけここまで言われてんだっけ。。。
ヘイ!愛しのAI!
BLOGの記事を書いているので、コメントをください。
なんでWordPressだけ脆弱性の塊といわれていて、他のCMSより攻撃が目立ったり、脆弱性が目立つのでしょうか?
1. 圧倒的なシェア率
WordPressは全世界のウェブサイトの約40%以上で使用されているため、攻撃者にとって非常に魅力的なターゲットです。シェアが大きいほど、攻撃者は少しの労力で多くのサイトに影響を与えることができるため、WordPressを狙った攻撃が増えるのは必然です。
2. 多様なプラグインとテーマのエコシステム
WordPressの強みであるプラグインとテーマの豊富さは、同時にセキュリティの弱点にもなっています。公式のプラグインリポジトリには数万ものプラグインが存在し、その中にはセキュリティ対策が不十分なものや、更新が停止しているものも多くあります。これにより、脆弱なプラグインやテーマがサイト全体のセキュリティを危険にさらすことが少なくありません。
3. ユーザーのセキュリティ意識の低さ
WordPressは初心者にも使いやすい設計のため、セキュリティに関する知識が少ないユーザーが多く存在します。こうしたユーザーがデフォルトの設定のまま使用したり、プラグインやテーマを適切に管理しなかったりすることが、攻撃リスクを高める一因となっています。
4. オープンソースの性質
WordPressはオープンソースであるため、ソースコードが公開されています。これはコミュニティの協力によって迅速なセキュリティ修正が可能である一方、悪意のある攻撃者にとってもコードを分析して脆弱性を発見しやすい状況を作り出しています。オープンソースの性質は他のCMSでも同様ですが、WordPressの利用者が多いため、その影響も大きくなります。
5. 頻繁なアップデートとパッチ
WordPressは頻繁にアップデートとパッチをリリースしており、これ自体は良いことですが、ユーザーがこれらのアップデートを怠った場合、既知の脆弱性が残ることになります。攻撃者は古いバージョンのWordPressや未更新のプラグインを狙って攻撃を行うことが多いため、更新の習慣がないユーザーは非常にリスクが高いです。
6. 他のCMSとの比較
他のCMS、例えばJoomlaやDrupalも攻撃のターゲットになりますが、WordPressの圧倒的なシェアとプラグイン・テーマのエコシステムの規模に比べると、相対的に攻撃の件数や脆弱性の報告数は少ないです。これが「WordPressが脆弱性の塊」とされる理由の一つです。
あ、なんかもうコレだけで記事終わっちゃいそうで震えます。
えとー、はい。そうなんです。
- シェア率が凄い
- プラグインとテーマで改造が自由
- WordPressでECサイト作る事だってできちゃう。
- とっつきやすさが故に、初心者でも作れる。
- 結果セキュリティがおろそかになりがち。
そういうわけで攻撃側もヤル気マンマンなわけですね。本当に勘弁してほしいのですが。。。
一体どういう脆弱性があったかというのは、1個1個上げるとキリがないので引用します。
2022年から2023年に発見されたWordPressの脆弱性について、一覧を掲載します。記事記載時点(2023年9月)で879件
https://www.securify.jp/blog/2023_wordpress_vulnerabilities/
PluginとWordPress本体で脆弱性の温度感があり、本来分離すべき部分ではありますが、この脆弱性の多さは尋常じゃないです。
この記事を記載する発端
ドラゴン藤波の妻がWEB制作系の企業様にパートしていた時期があり、たまたま藤波製作所のサイトを見ていただいた機会があったのですが、、、
藤波製作所のサイト、アナリティクス見ると海外のLinuxからDirect流入多すぎなのなんで?
BOTやろ
はぇー。。。。
というやり取りがありました。
藤波製作所のサイト構造
立派なコンテンツもないので、WordPressを使わず、作り全体としてはだいぶシンプルです。
- 静的サイト(問い合わせ画面だけPHP)
- WAFを有効にしている
- FTP接続元は特定IP限定
- その他レンタルサーバ側で提供している防御機能は有効化している
というような状況です。
。。。にも関わらず、メチャクチャ海外から来ているらしいです。なんでやねん。
一体何が彼らをそうさせるのでしょうか。
WAFのログ
レンタルサーバ側のWAFログを見てみると、確かにWAFで検知しているようです。
WEBサーバのアクセス履歴を見るとアナリティクスの数量より全然少ないような。。。あれ。。。?
WEBサーバのログ
では、実際にWEBサーバのアクセスログを見てみましょう。
藤波製作所はWordPressを使ってないので、wp-admin等へのアクセスは意味がありません。
ムチャクチャ行儀の悪いアクセス多くてウケる。
WAFが効いててよかった
とまぁ、行儀の悪いアクセスは来ているものの、
WordPress使ってないですし、
WEBサーバの手前にWAFがあるので安心です。
とはいえ、
WAFをスルーされた場合、UTM(統合脅威管理)アプライアンスで弾くしかないんだけど、レンタルサーバ屋さん側にあるかどうか、不明です。
実際問題、行儀の悪いリクエストがWEBサーバまで来てますし。
ただ、基本静的サイトだし、メールフォームのPHPイタズラされるくらい。PHPにイタズラするときはWAFが働くので、まぁいいかーとしています。
一時期流行った攻撃手法
そういえば、お問い合わせ機能を踏み台にしてSPAMメールを送る手法がいっとき流行りましたね。
WAFが存在する現在、XSSやSQLインジェクションが効くとも思いにくいのですが。
ただ、レンタルサーバ上では実はWordPressがあって、ドラゴン藤波が使ってないだけの可能性は十分ありえるので
製作所のサイトも対応するか~~~面倒だけど~~~。
インフラ的な観点で防御手法を考えてみる。
WordPressを使うのであれば、インフラ的にどこで防御する構成にしようか?を考えてみます。
ジャストアイディアで「えいっw」ですけど、こんな感じが最低ラインな気がしますね~
ワードプレスのセキュリティをどこまで敷くか?については、
ユースケースや顧客のリテラシーの影響もあるので、最低ラインを敷くのは難しい都度設計ですね。
見直すのも、たまには悪くないでしょ?
とまぁ、今回は事の発端と、その周辺を記事にしました。
たまには足元を見直す内容も良いですね。
次回「【セキュリティ】ホームページとレンタルサーバ2/2」について
実例をもとに設定ポイントを見ていきたいと思います。
セキュリティって大事ですよね。もう怖くて怖くて夜しか眠れません。
そんなドラゴン藤波と一緒に働いてくれる方いませんか?
気軽にカジュアル面談に応募ください。
現場で待ってます。