昨今、WordPressのウィルス感染の問題が多発しています。WordPressでのサイトのウィルス感染を回避するためにどういったことをしていけばいいでしょうか。

WordPressの感染原因は以下の用に多用です(他にもいろいろあると思いますが特にサイトのオーナーが注意すべき点をあげています)。

  1. WordPressやプラグインのセキュリティホールを破られて侵入される。
  2. フリーなどのテンプレートに初めからウィルスが仕込まれていたものを利用してしいる。
  3. 管理者パスワードがわかりやすいものを利用していたために破られてしまう。
  4. 同じサーバー上の他のサイトが感染しその影響を受ける。

それぞれ、サイトを検索するといろいろな対策が出てきます。それぞれにできる対策を考えていきたいと思います。

サイトにウィルスが仕込まれる原因と基本的な対策

100%回避できる対策はなかなかないのが現状ですが、いくつか基本的な対策を行うことができます。

WordPressやプラグインのセキュリティホールを破られて侵入される。

最も重要な対策は、「WordPress」および「プラグイン」を最新の状態に保つことです。

ただ、プラグインの作者でセキュリティホールを作りたいと思っている開発者はほとんどいません。しかしながら、人の手で作り出すものなので見落としや、ミスは残念ながらあるのです。このため、どんなに最新に保っても、全てのリスクを排除できるわけではありません。

このため、日々何らかのチェックを行う必要があります。

また、定期的にアップデートが出ているプラグインを利用することも重要です。

弊社ではWordPressアップデート作業の際に、プラグインに最新のアップデートが出ているかをチェックします。出ていない場合はアップデートが必要ないか、更新が行われていないかなので、中身を検討し、利用を継続するかどうかを判断します。

フリーなどのテンプレートに初めからウィルスが仕込まれていたものを利用してしいる。

残念ながらこの問題には、テンプレートの中身を全てチェックするか、出処がはっきりしないテンプレートは利用しないという方法しかないと思います。

弊社では基本的にフリーのテンプレートは利用しないようにしております。

管理者パスワードがわかりやすいものを利用していたために破られてしまう。

パスワードは忘れないように、簡単なものにしてしまいがちです。また、サイトのオーナー様は最初に渡されたパスワードをそのまま利用し続ける傾向があります。そこで、サイトの作成を行った会社が複雑なパスワードを顧客へ納品するように注意していくべきだと思います。

また、ログインの履歴をとってくれる「Crazy Bone」という素晴らしプラグインもあります。

同じサーバー上の他のサイトが感染しその影響を受ける。

これは、サーバー運営会社を信頼するしかないのですが、FTPなどでアップロードしたファイルのアクセス権が何で運用されているかは見ておいた方がいいかもしれません。

FTPのソフトによりますが、アクセス権は3つの数字または、drwxの組合せで表現されていることが多いです。

数字の場合:755など

この3つの数字は左から

  • 「ファイルの所有者」
  • 「ファイル所有者のグループ」
  • 「全てのユーザー」

の3種類のユーザーに対するアクセス権になっています。また数字は(よく利用されるものだけ記載すると)

  • 0:アクセス権なし
  • 4:読取りOK
  • 5:読取りと実行OK(フォルダの場合はフォルダ内の一覧参照)
  • 6:読み書きOK
  • 7:すべてOK

文字列の場合は

  • 最初の1文字目はフォルダかどうか
  • 次の3文字がファイルの所有者
  • 次の3文字がファイル小勇者のグループ
  • 次の3文字が全てのユーザー

となっており、それぞれの3文字rwxの文字で表されています。その意味は

  • 「r」読取りOK
  • 「w」書き込みOK
  • 「x」実行(フォルダの場合は一覧参照)OK

です。

どういう設定で運用されているかはサーバーによるため一概にいえないのですがアクセス権が777やdrwxrxwrxw(全てのユーザーが読み書き実行OK)になっているファイルで運用されているサイトは危険度が高いケースが有ります。

上にも書きましたが、残念ながらこれらの対策を実施しても100%安全というわけではありません。そこで、弊社サービスでは、各種初期パスワードなどは弊社側で複雑なものを設定しお送りしています。また、固定IPをいただければ管理画面へその固定IPからしか接続できないように設定することもご要望により対応致します。毎度宣伝になってしまいますが、ご興味のある方は無料お試しをどうぞ。