こんにちは。
TERUです。
今日も質問がありました。
「先日ワードプレスのバージョンに脆弱性があるということでアップデートをするよう通知が来ました。自分もワードプレスを使ってますが、サイトが改ざんされたなんて例があり、怖くなってしまいました。アップデートは終わりましたが、自分のサイトは大丈夫なんでしょうか??」
ということでした。
確かにハッキングやサイト改ざんは怖いですよね。
私もペラサイト含め、いくつかワードプレスでサイトを作成してます。
今回、脆弱性があると発表されたので、私も同じく全てのサイトをアップデートしました。
ということで今回は「ワードプレスの脆弱性問題」についてまとめました。
スポンサードリンク
合わせてチェック↓
目次
ワードプレスの脆弱性問題とは?
システムやプログラムなどの難しいことはわかりません。
私システム屋でもプログラマーでもありませんので。
だから私レベルでも理解ができた内容を噛み砕いてまとめました。
ワードプレス脆弱性問題を簡単にまとめた
WordPressバージョン4.7と4.7.1のREST APIという機能に脆弱性が見つかりました。
※REST API・・・ワードプレスとアプリケーションを連携させる機能のこと。プラグインなどに組み込まれてる。
REST API機能はワードプレスをインストールすると標準で有効化されてます。(※無効化してれば、脆弱性の影響を受けないが設定が必要)
つまり、解決する方法はリリースされたバージョン4.7.2にすればOKです。
解決策をしないと、改ざんができ外部のユーザーから投稿が可能になってしまいます。
実際に多くのユーザーが深刻なハッキング被害にあってしまったようです。
今回のワードプレス脆弱性問題対象者
- 企業やお店(個人事業含む)
- ブロガー
- アフィリエイター
企業のホームページ
最近は企業やお店のホームページもワードプレスで作成されてることも多くなりました。
実は企業やお店を経営してる方は結構深刻に捉えた方がいいです。
企業のワードプレスサイトにハッカーはマルウェアを仕込むことも可能です。
マルウェア・・・悪質なウイルス。
企業やお店側のパソコンで自社のサイトにアクセスすることでマルウェアに感染するわけです。
そこから顧客個人情報の流出に発展することも珍しくありません。
私たちのようなブロガーやアフィリエイターには直接関係ありません。
ただし、顧客情報をパソコン管理してる場合は注意が必要です。
ブログ・アフィリエイトサイト
では私たちアフィリエイター(ブロガー)はどうでしょうか?
多くの人がワードプレスでブログやサイトを作ってますよね。
実は今回の件、私も結構ビクビクしてました・・・。
だってもしアフィリエイトリンクを改ざんされたらどうですか?
サイトを削除されたり、新しいページを作られたりしたら気付く可能性が高いです。(※これも大問題ですが)
でも器用にアフィリエイトリンクだけ改ざんされても気付きにくいですよね。
報酬が激減したり、クリックが激減して初めて気付きます。
広告収入を生業にしてるブロガーやアフィリエイターにとっては死活問題です。
急いで、すべてのサイトにアクセスして異変がないか確認しました。
この作業だけでも半日はかかりました。
ブロガーよりもアフィリエイターは危険
さらに言うと、ブロガーよりもアフィリエイターの方が深刻かつ危険です。
ブロガーは基本的に1つのブログだけなので、異常があっても感知しやすいですから。
ただワードプレスで複数サイトもしくはペラサイトしてると、確認することが大変ですし、気づきにくいです。
ペラサイトなんて基本的に作成後は放置ですからね。
私の場合は、ワードプレスサイトはペラサイト含め30サイトのみなので確認は簡単にできました。
それでも半日かかりましたが・・・。
これが100サイト以上になると考えるといろいろと恐ろしいわけです。
対策方法
今回の対策方法はバージョンアップで解決します。
バージョンアップ後は、一度自分のサイトに異変がないか確認しておきましょう。
ただワードプレスのCMSを利用してる以上、外部から誰でもアクセスすることが可能です。
今後の不正アクセスなどの対策も真剣に考えて置く必要があります。
セキュリティのプラグイン
もっとも簡単にできるプラグインでセキュリティ強化です。
※「プラグイン」>「新規追加」>「SiteGuard」と検索かければ、導入できます。
最低限やっておいた方が良い対策です。
ただし、これで万全ではないため最低限のレベルでやっておきましょう。
私もすべてのサイトでセキュリティプラグインは導入してます。
TERUが使ってるセキュリティプラグイン
- SiteGuard
SiteGuardです。
これは無料のセキュリティプラグインです。
SiteGuardの機能
- ログインページのURL変更
- ログイン時のひらがな目視入力認証(ソフトによるアクセス対策)
- ログイン時にログイン報告メール送信
↑の3つです。
ソフトを使っての不正アクセスをある程度予防できます。
SiteGuardのデメリット
- パスワード自体解析されてしまったら、元も子もない
セキュリティプラグインは他にもあります。
最低限1つだけは有効化しておくといいと思います。
有料のセキュリティサービス
有料のセキュリティサービスですね。
GMOクラウドがやってるSiteLockなんかはワードプレスにも特化したセキュリティで有名です。(HTMLサイトもできる)
月350円〜から始められるので、コスパは良い気がしますし、セキュリティ面でも安心できそうですね。
ただし、デメリットもあります。
SiteLockのデメリット
- 1契約1ドメインまで
- プランによって診断対象のページは限られる(※350円プランは50ページまで)
といった感じです。
ブロガーの方や数サイトしかもってないアフィリエイターの方にはおすすめです。
ただし、ペラサイトアフィリエイターには絶対に向きません!
コスパが高過ぎます。
ブロガーの方でも最安値のプラン(月換算350円)は50ページまでです。
このサイトでも50ページ以上あるので、月換算1,200円のプラン(200ページまで)になります。
理想としては50サイト以下のサイトを数個運営する感じですかね。(セキュリティ費用:350円×◯個)
本格的にブログで一本化する場合は、記事が増えてきます。
その都度プランの変更を余儀なくされます。(ビジネスプランやエンタープライズプラン)
まぁ、記事数が増えれば収益も増加するためセキュリティ費用は回収できちゃうと思いますが。
ブロガーでやってる人は、ブログが財産なので入っておいた方が良さそうですね。(※不動産で言えばセコムで、記事という宝を守ってくれる感じです)
公式サイト:SiteLock
ペラサイトはHTMLサイトで作成する
アフィリエイターの場合、ペラサイト作りますよね。
ペラサイトと言わなくても、ある程度複数のジャンルを作ると思います。
そうなると、↑のようなSiteLockを全てに導入するのは大変ですし、コスパが高い気がします。(※ベテランの方ならペラサイトでも余裕で回収できるかもですが。)
まぁそうなるとワードプレスのようなCMSでサイトを作成せず、ペラサイトならHTMLサイトで作る方法もあります。(いわゆる手打ちサイトです)
簡単解説〜CMSサイトとHTMLサイトの違い〜
CMSサイトの場合
ワードプレスのようにサーバーにブログシステムをインストールします。
ブログシステムなのでネット上から管理ができます。
ネット環境があってログイン管理画面に入れれば、誰でもサイトの編集が可能です。(簡易的に編集ができることがメリットであり、デメリットでもある)
アメブロなどの無料ブログもCMSです。
HTMLサイトの場合
HTMLやCSSなどを構成して、ホームページを作る方法。(インターネットが登場した当時はこれが当たり前でした)
システムはないので、レンタルサーバー上にログインできなれけば改ざんはできません。
(更新する時は都度、データを上書きしてサーバー上にアップロードしていきます。)
今はHTMLの知識が無くても作れちゃいますからね。
ホームページ作成ツールとかもありますし。(SIRIUS、ホームページビルダーなど)
ホームページ作成ツールは、簡単な操作でHTMLやCSSを構成して完成させてくれます。
ただし、作成ツールのソフトが入ったパソコンでないと編集ができません。
ネット上でも「ペラサイト テンプレート」なんて検索すれば、無料のテンプレがダウンロードできます。
ペラサイトくらいならこれでもありだと思います。
TERUの個人的な意見
個人的にはサイト数は最小限にしたい派なんで、HTMLサイトを今から作ろうとは考えてません。(^_^;)
オウンドメディアを中心に、キュレーションメディアを数個運営してければと考えてます。
今後もワードプレス中心のCMSサイトを作成していく考えです。
サイト数が少なければ、セキュリティ対策にお金をかけてもコスパがよくなりますからね。
まとめ
ワードプレスの脆弱性問題と対策についてまとめました。
今回の件で、驚いた人も多いと思います。
少しでもこの記事が参考になればと思います。
ポイントまとめ
- ワードプレスの脆弱性問題は4.7.2にバージョンアップで解決
- 過去に作ったワードプレスサイトは全て確認しておくべき
- CMSを使ってる以上、セキュリティ対策は永遠のテーマ
- セキュリティプラグインだけでもしておくべき
- ガッツリ作り込んだブログやメディアサイトは有料セキュリティ対策もするといい
↑のようになりました。
スポンサードリンク
昨日の報酬
2月9日のアフィリエイト報酬:0円