脱WordPress! 使わないという不正アクセス対策
コンテンツは現場にあふれている。会議室で話し合うより職人を呼べ。営業マンと話をさせろ。Web 2.0だ、CGMだ、Ajaxだと騒いでいるのは「インターネット業界」だけ。中小企業の「商売用」ホームページにはそれ以前にもっともっと大切なものがある。企業ホームページの最初の一歩がわからずにボタンを掛け違えているWeb担当者に心得を授ける実践現場主義コラム。
宮脇 睦(有限会社アズモード)
心得其の366
世界標準というリスク
世界的に利用されているブログツール「WordPress」への不正アクセスが頻発しています。当社においては、WordPressを利用しているサイト、すべてが攻撃されていました。幸いにもクラッキングは免れましたが、そのたびに対策に追われます。
他のCMSも標的となり得ますが、今やWordPressはブログツールのトップシェアといって過言ではなく、CMS的なアプローチも充実しています。個人はもとより、企業でもWordPressをベースにサイトを構築するケースがあり、もはや一般的ですらあるのです。だから狙われるのは当然です。
不正アクセスの目的はそれぞれでも、攻撃対象の多さは成功したときのリターンを保証し、攻撃対象を探す手間も省けます。この春、サポートが終了された「Windows XP」が狙われていた理由と同じです。
WordPressは世界で使われているツールであるため、バージョンアップ対応などもすばやいのですが、オープンソース故に管理者のスキルが問われるもの。セキュリティ対策をはじめとした運用のリソースを割けないのであれば、利用実態に合わせた他の選択肢が必要です。
そこで“使わない”という対策を紹介します。
攻撃のリスクも24時間365日
たいていの不正アクセスの手口は単純です。WordPressを利用しているとわかれば、表示上隠していてもログインページの特定は容易。そこに推定したログインIDとパスワードを引き渡し、両者が合致すればログイン成功です。外れても諦めることなく、それぞれを変化させて攻撃を繰り返します。ブルートフォースアタック(総当たり攻撃)と呼ばれる攻撃手法で、“総当たり”の名が示すように、4桁の数字の「ダイヤル錠」を、「0000」から「9999」まで総当たりするイメージです。
気の遠くなるほど多くのパターンでも、プログラムによる自動処理ですから、理論上1兆回を超えるアタックを、わずかな時間とほぼ0円で実現できます。さらにログインIDを、デフォルト設定である「admin」や、執筆者名などにしていると、解読対象はパスワードだけになるので、攻撃の成功率が高まるため注意が必要、というまでもなく厳禁です。
24時間365日営業を続けてくれるWebサイトですが、視点を変えれば、常に攻撃のリスクにさらされているともいえます。Web担当者にとってセキュリティ対策は他人ごとではなく、第三者のツールを多用する昨今は、自社サイト内だけの問題とも限りません。
不正アクセスが成功してサイトの管理権限を奪われると、サイトの改ざんが自由自在となります。イタズラ目的なら更新し直せば済みますが、営利など特定の目的がある場合、サイトの閲覧者に被害を与えたり、パソコン遠隔操作事件のように、踏み台にされたりする可能性もあるので、いずれにせよ侵入を許さないに越したことはありません。
最も難しい心得
対策の基本はパスワードをこまめに変更すること。単純ですが、これがもっとも難しい方法です。
パスワードを考え変更し、それを覚える手間は、一度や二度ではなく永遠です。毎週なら煩雑で、毎月なら後回しにしてしまい、そのうち「問題が発生しなければ問題がない」と考える心根が問題である気づきながらも「放置」してしまいます。わずかな手間の遵守こそ、現場においてもっとも難しく、重要というのも今回の「現場の心得」です。
サーバーの機能を利用して、外部からのアクセスを制限する方法もあります。サーバーによって設定方法が異なるので、細かい方法を割愛しますが、IPアドレス単位で管理画面へのアクセスを限定することができます。ただし、設定と異なるIPアドレスからは接続できなくなるので、接続のたびにIPアドレスが変わる方法でネットを利用している場合、ログインするたびに再設定が必要となります。
社内PCや指定の取引先など、IPアドレスは複数設定が可能で接続プロバイダ名でも制限できますが、その分だけリスクが高まります。
更新されないサイト
その他にも不正アクセス対策のプラグインの導入や、二重認証など、対策を講じることもできます。しかし、セキュリティ全般に通じることですが、対策を厳格にすれば不自由になり、緩めればリスクが高まるというトレードオフの関係にあるということです。そこで利用実態によっては、
WordPressを使わない
という方法に達します。
そもそも、WordPressでサイトを構築するのは、コストを抑えつつ、ブログに投稿する感覚でコンテンツを追加できるといった保守の容易性が理由です。ところが、コンテンツを追加することなく、放置している事例は少なくありません。また、利用していたとしても「ブログ」としての機能か、「お盆休みのお知らせ」ぐらいしか使っていない会社を私はいくつも知っています。
大手サービスという対策
WordPressをブログとして利用するのは、正しい利用法です。しかし、コンテンツを追加しないのなら、「ブログ」は「アメブロ」など「大手の外部ブログ」を利用し、企業サイトは静的な、いわゆる「ホームページ」にするのも不正アクセス対策としては有効です。
技術知識・スキルを持たない個人でブログを管理するのであれば、大手のサービスを利用する方が、サイト全体が改ざんされるリスクを低減することができます。また、企業に関連する情報を、分散して公開するのはBCP(事業継続計画)にも通じます。ところでBCPの備えはできていますか?
そして「お盆休みのお知らせ」程度ならば「掲示板」で十分です。念のため、掲示板を知らないWeb担のために説明すれば、掲示板とはphpやPerlで作成されたCGI(プログラム)で、所定の投稿フォームに記述した内容を、サイトに公開する機能全般を指します。ブログが普及する前、Web業界を席巻し「BBS」とも呼ばれていました。
ブログと掲示板の違い
WordPressのような高機能を要求しない、長期休暇の告知程度のサイト更新なら「掲示板」で十分。そして実際に「掲示板」で運用しているいくつかのサイトは、一度も不正アタックを受けていません。掲示板が不正アクセスの対象になりにくいのは、見つかりにくいからです。特にCGIの名前(ファイル名)が独自で、静的に表示する掲示板なら、砂浜に落ちたビーズを探すより困難で、攻撃される確率は限りなく低くなります。
ブログの普及期は「トラックバック」を「優れた双方向性」と礼賛し、それを持たない掲示板を卑下するWeb有識者も散見しました。ところが今、スパム排除の流れや、他のソーシャルメディアの台頭を背景にトラックバックはあまり使われなくなりました。そもそもWebで果たす「機能」で捉えたときブログと掲示板は同じで、ならば「攻撃されにくい掲示板」のチョイスとは、いわば「逃げるが勝ち」です。
オープンソースのWordPressは、コストを抑えてサイトを構築できるというメリットがあります。ただし、冒頭でも述べたように自己の管理能力が問われます。ツールはタダでも、運用コストはかかるもの。Web担当者として、自社に合わせた選択を行います。
今回のポイント
ブログと掲示板はおなじ
利用実態に合わせた選択を
- 電子書籍『マンガでわかる! 「Web担当者」の基本 Web担当者・三ノ宮純二』
- 企業ホームページ運営の心得の電子書籍
「営業・マーケティング編」「コンテンツ制作・ツール編」発売中! - 『完全! ネット選挙マニュアル』
現場の心得コラムの宮脇氏が執筆した電子書籍がキンドルで2013年6月12日発売! - 『食べログ化する政治』ネット選挙が盛り上がらなかった理由はここにある(2013年8月1日発売)
ソーシャルもやってます!