料理系のYouTuber「リュウジ氏」の監修するカレーの販売ページが不正アクセスで乗っ取られた件が大きな話題になっています。
「リュウジ氏」がこれを機会にWordPress(ワードプレス)をやめてbaseに移転したこともあり、WordPressがトレンドいりまでしました。
今回はこの件でWordPressの危険性について考えてみましょう。
リュウジ氏のWEBサイト乗っ取り事件の概要
まずは今回の発端となったリュウジ氏のWEBサイトの乗っ取り事件について簡単に見ておきましょう。
料理系のYouTuber「リュウジ氏」はYou Tubeで390万の登録者、ツイッターで250万フォロワーと人気を集め、最近では食品の販売もはじめているんですよ。
そんな中起こってしまったのが今回の事件です。
乗っ取りでウィルスサイトにリダイレクト
簡単に言えばリュウジ氏のカレー販売サイトが乗っ取られウィルスサイトに転送される(リダイレクト)仕組みになってしまっていたようです。
乗っ取りなんて自分は関係ないって方も多いかもしれませんが、実は他人事ではないんですよ。(詳しくは後述)
WordPressがトレンド入り
また、リュウジ氏がこれをきっかけに対策としてWordPressをやめbassに移行したことで、WordPressがトレンド入りするほどの騒ぎに・・・
WordPressは危険なのか?
それではここからが本題。
WordPressは危険なのか?について考えてみましょう。
先に結論を言っておけば
対策をちゃんとしていれば危険じゃない。
対策を怠ると危険
ってことです。
WordPressとは
そもそもWordPressってなんぞや?って方もお見えでしょうからまずはWordPressについて簡単に解説しておきましょう。
WordPressは「ワードプレス」と読み、サイトやブログが簡単に作成できるCMS(コンテンツ管理システム)の1種です。
無料で簡単にかなり高レベルなWEBサイトまで構築できるため、世界中で利用されているんですよ。
ちなみに2023年1月時点で全WEBサイトの4割超がWord Pressで作られていたりします。
CMSだけでみれば6割超のシェアとなっているんですよ。
かなり高いシェアを誇っているのです。
それだけ狙われやすいってことですね・・・
ちなみにこのサイトもWordPressで作っています。
WordPressのセキュリティは基本管理者任せ
WordPressは無料で使えるCMSですから、管理もある程度自分たちで行う必要があります。
私のサイトにはセキュリティ系のプラグインを入れていますが、日々攻撃の履歴が貯まっているんですよ。
下記はうちのサイトのセキュリティ系のプラグインがブロックした攻撃数です。
とんでもない数の攻撃を受けているのがわかりますね。
ですから対策をしなければ乗っ取りにあっても不思議じゃないんですよ。
WordPressの基本設定のままならログインIDとパスワードが分かれば乗っ取れてしまうんですよ。
価値ないサイトも狙われる
自分のサイトはそこまでアクセスないし、乗っ取る価値ないから・・・
って思っている方もお気をつけください。
乗っ取られて犯罪に使われたりして厄介なことになってしまう可能性もあるのです。
ここまで聞くと怖い感じがしますが、いくつかの対策をしておけばかなりリスクを減らすことができます。
WordPressのセキュリティ対策
それではWord Pressのセキュリティ対策はどうすればよいのでしょう?
それほど難しくなく、無料でできるものがほとんどなんですよ。
WordPress、プラグインのバージョンを最新に
まず、意識したいのがWord Pressとそれに付随するプラグイン(追加機能)をできるだけ最新にしておくってことです。
WordPressやプラグインにセキュリティ上の穴があり、それを突いてくる系の乗っ取りが多いんですよ。
ですからできるだけ最新にすることでそのリスクを減らすことができるのです。
ただし、バージョンアップした直後はバグが潜んでいることも多いので私は少しだけ様子見をするケースが多いですが笑
また、WordPressのテーマ(テンプレート)によってはバージョンを隠す機能があったりします。
その機能があればぜひオンにしておきましょう。
セキュリティ上の穴のある古いWordPressを狙ってくるケースも多いそう。
使わないプラグインは消す
前述の話にも絡んできますが、プラグイン(追加機能)にセキュリティ上の穴があるってよくあるんですよ。
ですから最新にするのもそうですが、なんとなく入れたけどぜんぜん使ってないようなプラグインは消してしまうようにしましょう。
パスワードの管理は気をつける
また、前述のようにWordPressは初期設定ではログインIDとパスワードが分かれば乗っ取りが可能です。
ですからパスワードとIDは推測ができにくいものにすべきでしょう。
私のサイトにアタックしてる人のログを見るといろいろなIDで総当りしている感じです。
初期設定の「admin」とかだれもが使ってそうなIDは避けるべきです。
また、パスワードもできるだけ複雑にすることで乗っ取りのリスクはかなり減らせます。
さらにパスワードは定期的に変更するのが良いでしょうね。
二段階認証もおすすめ
さらに少し手間は増えますが、2段階認証を設定しておくと仮にパスワードとIDがバレてしまったとしてもログインできませんのでおすすめですね。
二段階認証はプラグインなどで設定が可能となっています。
管理画面のログインURLを変える
さらに管理画面のログインURLを初期設定から変えておくとさらにリスクを減らすことができるでしょう。
最近ではテーマによってはそのような機能が初めから備わっているものもありますね。
セキュリティ系のプラグインを入れる
ここまでやればよほど大丈夫ですが、さらに念を入れたい方はセキュリティ系のプラグインをいれれば完璧です。
様々なハッキングを未然に防いでくれるようになります。
私が使っているプラグイン(Wordfence)では攻撃されたログまでまとめて見れますから参考になりますね。
私もプラグインを入れてみて予想以上に攻撃されているのがわかりました。
なお、Wordfenceは細かい設定がたくさんありちょっと上級者向けですので「SiteGuard WP Plugin」や「All In One WP Security & Firewall」の方がわかりやすいかもしれません。
Cloudflareを通す
また、Cloudflare(クラウドフレア)を通すってのも有効な手段です。
Cloudflareとはサイト表示速度の改善に役立つコンテンツデリバリーネットワーク(CDN)の1種で世界シュア1位のサービスです。
Cloudflareって悪いサイトも利用していたりしてあまり良いイメージを持たれて無い方もお見えですが、サービスとしてはかなり良いものなんですよ。
Cloudflareを通すことでサイトの高速化ができたりもするのがウリなのですが、さらにサイトのセキュリティ対策も簡単にできるのです。
Webサイトの脆弱性を狙った攻撃を防ぐWAF機能なんかが標準でついています。
基本無料で簡単に使えますので、セキュリティを手間なく強化したい人にはCloudflareもおすすめですね。
まとめ
今回は「リュウジ氏のWEBサイト乗っ取り事件で露呈?。WordPressは危険なのか?」と題してWordPressのセキュリティについて見てきました。
基本的にWordPressも対策さえしっかりしておけば問題有りません。
しかし、放置状態ですとリュウジ氏のWEBサイトのように乗っ取りのリスクが出てきてしまうんですよ。
WordPressを使うならそのあたりはしっかり対策しておきましょう。
なお、今回リュウジ氏が乗り換えたBASEとかの方がセキュリティが高いというわけではないと思います。
BASEの方が自分で管理しなければいけない範囲が狭いって感じですかね。
