年末年始、夏休みなど長期休暇前にチェックしておきたいWordPressのセキュリティについて
年越し、年末年始、夏休みなど長期休暇に向けて忙しい日々が続いてしまうと、セキュリティに関するチェックを怠りがちです。
特に年末年始や夏休みなど休暇のタイミングを狙って、悪意のある第三者によるサイバー攻撃が増えるという懸念もあります。新年度を迎える前に、今のうちに最低限のセキュリティチェックと対策を行っておきましょう。
今回は新年度を迎える前にWordPressのセキュリティをチェックすべき理由、WordPressのセキュリティでチェックすべき項目、チェックした項目を元に具体的にすべき作業、そしてWordPress以外の部分でチェックすべき項目とその対策についてお話しします。
Contents
年度末や新年度に向けてWordPressのセキュリティをチェックすべき理由
はじめに年度末や新年度に向けてWordPressのセキュリティをチェックすべき理由について解説します。
長期休暇を狙ってサイバー攻撃が増えるため
国内外問わず、年末年始、夏休みおよびお盆などは長期休暇になる企業が増えてくるため、社内や組織内に人がそもそもいないという状況が生まれてきます。そのため、悪意のある第三者によるサイバー攻撃も増加傾向にあるのです。
また、長期休暇に向けて忙しくなることもあり、ギリギリまで仕事をしてしまうケースですと、セキュリティにまで意識が向かず、いつもよりもセキュリティが甘くなってしまうこともあります。同じく休暇明けに仕事に戻った時、ほんの少しの気の緩みによって普段なら注意していたメールやURLを開いてしまうようなケースも考えられます。
同様に休暇明けに溜まった仕事の量が多い、または急ぎの依頼があったなど、慌ててしまうことで普段ならしないようなセキュリティリスクに引っかかってしまうこともありえます。
長期休暇中は障害に対応できない可能性があるため
24時間365日、年中無休で人が常駐しているケースを除けば、長期休暇中に障害が発生すると対応する人がいないために被害が拡大することもあります。通常であれば検知できたようなサイバー攻撃であっても、対応できず放置されてしまうことで悪意のある第三者の好き勝手にされてしまうということです。
同様にセキュリティ関連を外部に任せている場合においても、通常よりも人がいない、人的リソースが足りないという状況でサイバー攻撃が重なってしまえば、ホームページが表示されなくなったり、思わぬ脆弱性が発生してしまうこともありえます。
悪意のある第三者は年末年始や夏休みのようなわかりやすい隙を狙ってくるということ、対応できないことを見越していることを覚えておき、セキュリティインシデントが起きないよう前もって対策しておかなくてはなりません。
年末年始や夏休みは休暇の人からのアクセスが増えるため
年末年始や夏休みはホームページへのアクセスが増加する傾向にあります。理由としては長期休暇の余裕によって、潜在的な顧客層やユーザーが興味のあることに時間を費やすことができるからです。
本来であればアクセスの増加は大変喜ばしいことですが、アクセスの増加とサイバー攻撃が重なってしまうことによりサーバーがダウンしたり、やはりホームページが表示されなくなったりする可能性が高まってしまいます。
同時に通常のアクセスであれば発生しなかったような脆弱性が生まれることもあり、最悪の場合、情報漏洩やデータの書き換えのようなセキュリティインシデントが発生する可能性も高まるのです。
ユーザーや顧客、クライアントと連絡が取りにくい可能性があるため
年末年始や夏休みは、社内や組織内の人と連絡が取りづらいだけでなく、ユーザーや顧客、クライアントと連絡が取りにくい可能性も考えられます。通常であれば連絡や注意喚起で防げたようなサイバー攻撃であっても、連絡が取れない、発信した情報を見てもらえないということになれば被害が拡大する恐れがあるのです。
例えば、ユーザーアカウントのような情報が漏洩した場合において、ユーザーにパスワードの変更を促すことができれば不正アクセスを防ぐことができますが、ユーザーが気がつかない事によって不正アクセス、ユーザーが気がつかない事によって不正アクセスや不正ログインをされてしまうようなことも想定されます。
対策として強制的にパスワードを変更しなければログインできないというような対応をした場合、休み明けにユーザーからログインできないというクレームや苦情が大量に発生する可能性が高まってしまいます。結果的に、企業や組織としての信頼を失ってしまえば、顧客離れやユーザー離れという形で利益や売り上げにネガティブな影響を与えてしまうでしょう。
年末年始や夏休みの複合的な理由が重なってしまうことで思わぬ被害に遭うことも
休暇中を狙ってサイバー攻撃が増える、休暇中で人がいない、休暇中で対応できない、休暇中でアクセスが増える、休暇中で連絡が取れないなど、複合的な理由が重なってしまうことで通常では考えられないような思わぬ被害まで拡大することもあり得ます。
もちろんサイバー攻撃による被害は、悪意のある第三者が一番悪いことは間違いありませんが、企業や組織としてセキュリティ対策をしていないという形でマイナスイメージを持たれてしまうことも事実です。
年末年始や夏休みだから、忙しかったからということも理由にはならないため、セキュリティインシデントを起こさない、セキュリティインシデントが発生したとしても最小限の被害に留めることは企業や組織としての責任ということも忘れてはなりません。
WordPressのセキュリティでチェックすべき項目
次にWordPressのセキュリティでチェックすべき項目について解説します。
WordPress本体のバージョン
まずはWordPress本体のバージョンをチェックしましょう。WordPress本体のバージョンが古いと、セキュリティ関連のアップデートが行われておらず、脆弱性が存在する可能性があるためです。悪意のある第三者は外部から自動で機械的にサイバー攻撃を行ってくるため、脆弱性が存在してしまえばホームページの乗っ取りやデータの改ざん、情報漏洩に繋がってしまうことも考えられます。
年末年始や夏休みの前はは余裕がなくなってくることもあり、ホームページの更新や管理と共に、WordPressのアップデートも忘れがちです。しかし、「WordPressのアップデートを忘れていたから、怠っていたからサイバー攻撃に遭いました」では企業や組織としての信頼を損ねてしまうだけでなく、顧客を失ってしまう可能性があることも考えられるでしょう。
導入しているテーマのバージョン
WordPressに導入しているテーマのバージョンのチェックも行いましょう。テーマのバージョンをアップデートしない理由に「デザインが崩れてしまい、修正できないから」という言い訳がありがちですが、サイバー攻撃を受けてしまっては元も子もありません。
デザインが崩れてしまうのであれば、早い段階で専門家に任せて対応してもらうこと、普段からデザインが崩れるなどの理由で放置しないことが大切です。実際に業界や業種によっては、技術的リソースがないために対応できないこともあるでしょう。
セキュリティインシデントが発生した場合の被害と比べれば、セキュリティに投資するコストの方が格安になるのが現実です。そもそもにセキュリティインシデントが発生しにくくなることを忘れず、セキュリティに対する投資をしっかりと行なっておく事をおすすめします。
導入しているプラグインのバージョン
WordPressに導入しているプラグインのバージョンもチェックしましょう。特にプラグインは人気で便利なものでもアップデートされていないものが存在しています。同様にそのプラグインでしか実現できないような機能、デザインであることもあり、手放せなくなってしまうのです。
しかし、テーマと同様に機能やデザインを実現できないからといってもしてしまえば、セキュリティリスクに遭遇する可能性は高まりますし、セキュリティリスクを軽視していると言っても過言ではありません。
テーマやプラグインのような機能はとても便利だからこそ、ユーザーが多い、ユーザーが多いということは悪意のある第三者に狙われやすいということを覚えておきましょう。
サーバーにインストールしてあるプログラムのバージョン
サーバーにインストールしてあるプログラムのバージョンのチェックも重要です。サーバーとして稼働するためのOSやプログラム、WordPressを動かすためのPHPなど高度な技術と経験が必要であることから、一般的な業界や業種ですと対応しきれない部分ではありますが、サイバー攻撃に遭遇してしまった場合の言い訳にはなりません。
もちろん、大手かつ有名なレンタルサーバーであれば、サーバーの提供元が対応する部分でもあります。それでも念のためチェックしておき、サーバーにおける脆弱性がないかしておくこと、安全であることを確認しておくことが重要であると覚えておいてください。
また、レンタルサーバーの種類によっては、サーバーの領域や容量のみをレンタルしているだけで、セキュリティは自社で行わなければならないケースも考えられます。どのような契約で、どのようなサービスを受けられるのかを再確認しておくと良いでしょう。
WordPressに関するセキュリティリスクや脆弱性について情報収集を行う
WordPress本体やテーマ、プラグイン、サーバーなどのチェックが終わったら、その他にセキュリティリスクや脆弱性がないかの情報収集をしましょう。同時にサイバー攻撃の手法や、最低限のセキュリティ対策として何をすべきかなども調べておくことが重要です。
業界や業種によっては、技術的な意味でもセキュリティに対して興味が薄い、意識が向かないためにセキュリティを甘く考えてしまうことがあります。だからこそ実際にどんな被害が起きているのか、どんなセキュリティインシデントが発生しているのか、どんなセキュリティリスクがあるのかを知っておくこと、従業員に周知していくことでセキュリティに対する意識を向上させる必要があるのです。
同様に経営陣や上司がある程度年配の方の場合、そもそもデジタルに対する苦手意識があり、その上でセキュリティに対する意識が低いと、セキュリティに関するコストや予算が削られがちです。セキュリティとは物理的な防犯と同じであり、オンラインで曲がった悪意のある第三者によるサイバー攻撃から身を守るために必須な技術であることを理解してもらい、しっかりとセキュリティ対策を行える予算を確保することも進めていきましょう。
チェックした項目を元に具体的にすべき作業
次にチェックした項目を元に具体的にすべき作業について解説します。
WordPress本体・テーマ・プラグインのバージョンを最新にする
WordPress本体、テーマ、プラグインのバージョンをチェックし、もし古いバージョンのままであれば、最新のバージョンにアップデートします。このタイミングでWordPress本体については自動でバージョンアップされるように設定を見直しておくと良いでしょう。
最新のバージョンにアップデートした時、デザインが崩れる、プラグインが使えなくなったなどの不具合が発生する可能性もありますので、バックアップを取っておくことも忘れてはなりません。同時にバックアップから元の状態に戻せるように練習しておくと良いでしょう。
これらは忙しい時ですとなかなか集中してできない作業ですので、忙しい中でも作業時間や作業日を設けるか、前もって対応することをおすすめします。
テーマやプラグインを最新のバージョンにできないなら切り替える
最新のバージョンにアップデートしたタイミングで、テーマやプラグインに不具合が出るようであれば、そのまま使い続けるのではなく切り替えることを検討しましょう。
注意点としてはテーマを切り替える場合は、同じようなデザインを実装するには時間がかかる可能性があることです。プラグインも同様であり、同じような機能を実装するためにいくつかのプラグインを試してみたり、組み合わせたりするのは時間がかかります。
技術的リソースがない場合はさらに時間がかかる可能性もありますので、対応が難しいと感じたタイミングで専門家に任せた方がスムーズで、かつ質の高いホームページが手に入ることも覚えておきましょう。
この段階で、セキュリティ性を確保できないようであれば、別のデザイン表現に切り替えること場合によっては削除することも検討するべきです。
サーバーの管理者や提供元に現在のセキュリティ対策が安全かチェックする
自社サーバーであればサーバーの管理者に現在のセキュリティ対策が安全かチェックしてもらい、安全でなければすぐに対応してもらいましょう。特に人的リソースが足りないような状況ですと、サーバーの管理と通常の業務を兼務していることで、セキュリティ対策がおろそかになることも考えられます。しっかりと時間的なリソースを確保し、セキュリティ対策に対応できる余裕を作り出すことが重要です。
レンタルサーバーであればサービスの提供元の情報をチェックし、安全な状態かを確認した上で、安全でなければ対応してもらえるか問い合わせしてみてください。サービスの提供元がセキュリティ性を確保してくれるのであれば非常に安心です。場合によってはこのタイミングでレンタルサーバーの切り替えなども視野に入ってきますが、アクセスやPVの事を考えると忙しい年末年始や夏休みにサーバーの切り替えは大変ですので落ち着いた時期に進めることをおすすめします。
全体的にバージョンが最新で脆弱性かないかをチェックする
セキュリティ対策のためのアップデートを行ったら、全体的にバージョンが最新で脆弱性がないか最終的なチェックを行いましょう。セキュリティ対策については、一部分だけ対応するだけでは抜き穴を使ってサイバー攻撃をされてしまう可能性があるためです。
ホームページを構成するシステムやプログラム全般のバージョンが最新であるかどうか、既知の脆弱性に対して穴がないかどうかをチェックするイメージを持ちましょう。また、対応できなかった部分についても、まずは把握してリストアップしておくこと、自社で対応できるのか、それとも外部の専門家に任せるのかを判断するための情報収集をすることが重要です。
自社で対応できない場合は外部の専門家に任せる
技術的なリソースが足りず、自社で対応できない場合は早めに外部の専門家に任せましょう。また、技術的リソースが足りない状態ですと、そもそもセキュリティリスクのある箇所や脆弱性の把握すらできないことも考えられます。早くできないということは対策もできないということ、対策の検討すらできない状況でもあるため、言い換えれば非常に危険です。
セキュリティインシデントによる被害の方が確実にコストが上回ること、同時に無理に社内で対応しようとすれば時間的なリソースを浪費してしまうだけでなく、結局セキュリティ対策に穴があり、セキュリティインシデントが発生してしまうということを覚えておきましょう。
セキュリティ対策はセキュリティインシデントを起こさないためにあり、自衛や防衛のためであること、利益は売上を守るためでもあり、顧客やユーザーを守るためでもあるということを再認識しておくことが大切です。
WordPress以外の部分でチェックすべき項目とその対策
次にWordPress以外の部分でチェックすべき項目とその対策について解説します。
普段からIDやパスワードを使い回ししていないかどうか
前提として、普段からIDやパスワードを使い回していないかどうかをチェックしましょう。そもそもIDやパスワードを使い回ししてしまうこと自体が非常に危険であると理解しておくべきです。また、IDやパスワードを使い回ししているということは、誰がIDやパスワードを持っているか、どこに保存されているのか把握しきれていない状況とも言えます。
保存されている箇所が多い、知っている人が多いとなればIDやパスワードが流出する可能性も高まってしまうのです。どこからIDやパスワードが流出したのかわからないような状況でもあり、セキュリティを軽視していると言っても過言ではありません。このような状況で流出してしまうと、IDやパスワードを変更したとしても同じような流出が再度発生する可能性が高いため、普段からIDやパスワードの使い回しを絶対にしないようにルールを定めておきましょう。
同様にブラウザなどのオートログインの機能を利用しないこと、オフにしておくことも検討すべきです。理由としてはパソコンが乗っ取られた場合に、簡単にクリックだけで各種ログイン画面からログインされてしまう可能性があるためです。
パソコンが乗っ取られればメールも閲覧されてしまう可能性があり、残ったメールから何のサービスを利用しているのかも把握されてしまいます。WordPressだけでなく、各種オンラインサービスを悪用されてしまう可能性があるということも覚えておいてください。
WordPressやサーバーの管理者権限のログイン情報が安易に保管されていないか
ほとんどのサイバー攻撃は、最終的に管理者権限を奪うことを目的としています。なぜなら、管理者権限があればWordPressやサーバーを自由に操ることができるからです。データの改ざんも自由、情報の略も自由、マルウェアも埋め込み放題となれば、さらに被害が拡大する恐れがあります。
そのため、普段利用するデバイスや共有サーバーなどのわかりやすいフォルダに管理者権限のログイン情報を安易に保管してしまうと、それだけでもセキュリティリスクが非常に高まってしまいます。例えば何らかのメールを開いて、添付されたファイルをクリックしてしまいパソコンを乗っ取られてしまえば、パソコンの中にメモしたIDとパスワードを見られたり、ネットワークでつながる共有サーバーから管理者権限のログイン情報を盗まれたりする可能性が高まってしまうのです。
管理者権限のログイン情報については、厳格に取り扱うこと、誰もが見られるような場所に置かないこと、セキュリティについて理解が深まっている人に任せることをおすすめします。
場合によっては、二要素認証のような、IDとパスワードの組み合わせだけではログインできないようにしておけば、IDとパスワードが流出した場合においてもログインされる可能性を低くできます。同じくIPアドレス制限のような仕組みを導入すれば、特定のIPアドレス以外からのログインをしてあげるようになるので、いくつかのセキュリティ対策を組み合わせると安全であるということも知っておいてください。
WordPressにログインするデバイスが安全かどうか
WordPressを狙ったサイバー攻撃の一つに、WordPressにログインするデバイスを狙う手法があります。WordPressの管理者権限のログイン情報が分からなくても、ログインしているデバイスから操ってしまえば好き勝手し放題だからです。
WordPressにログインするデバイスのOSが最新の状態にアップデートされているか、同時にインストールしてあるプログラムが最新の状態か、脆弱性を含んだプログラムがインストールされていないかなど念入りにチェックしましょう。
また、見落としがちなのがパソコン以外のデバイス、例えばスマートフォンやタブレットの他、無線LANやLANのハブなどの通信機器のアップデートです。乗っ取られた場合にネットワークでつながるデバイスは全て悪意のある第三者の標的になってしまうこと、サイバー攻撃を受けやすいことを考えると、パソコン以外のデバイスについてもチェックしておくことを忘れないようにしてください。
その他、業界や業種によっては専用の基幹システムが新しいOSに対応していないため、OS自体が最新ではない、もしくはサポートが切れているようなことも考えられます。完全にオフラインであれば別ですが、サポートが切れたOSやプログラムは非常に危険ですので、セキュリティに対するコストと同様に各種デバイスの物理的なアップデート切り替えも進めていきましょう。
リモートワークや在宅ワークのセキュリティは安全かどうか
昨今ではリモートワークや在宅ワークもかなり普及してきました。しかし、急に対応したようなケースですと、セキュリティが確保できていないまま、すなわちセキュリティリスクが存在したまま仕事をしていることも考えられます。社内や組織内であれば把握できたようなサイバー攻撃についても、自宅やワークスペースであるために把握しきれず、セキュリティリスクが高まってしまうのです。
リモートワークでつながるネットワークやデバイスの安全性が確保できているか、最新の状態が保たれているのかどうかを必ずチェックしましょう。VPNなどを利用したり、セキュリティ対策を行なったデバイスを貸与したりするなど、雇用する側から安全性を高めるための政策を行うことが重要です。
その他にもリモートワーク先の無線のWi-Fi機器や有線LANで繋がるようなデバイスについても、最新の状態にアップデートするようにルール作りをしたり、実際にどのようにセキュリティ性を保つかを明文化しマニュアルにして配布したりするなど、具体的に何をすれば良いかしーできるようにしておくと良いでしょう。
また、リモートワークの際に無料のWi-Fiを利用することは絶対に避けるように指示しましょう。リモートワークは安全性を確保した上で進めていかないと、セキュリティに穴がある所か、情報自体が筒抜けになってしまうということを覚えておいてください。
セキュリティチェックシートを活用しよう
セキュリティチェックシートとは、総務省やIPA(独立行政法人情報処理推進機構)が公開しているセキュリティに関する基本的な項目をまとめてチェックできるシートです。上手に活用することでセキュリティの基礎を学ぶこともできますし、把握できなかった対策についても理解できるようになります。
業界や業種によっては「そもそもセキュリティがよくわからない」ということもありがちですので、セキュリティチェックシートを用いて具体的に何をするかを把握しておけば、普段のちょっとした行動で気をつけるべきことが理解できるようになり、セキュリティリスクの高い行動に注意できるようになります。
参考①:総務省|テレワークセキュリティに関する手引き – https://www.soumu.go.jp/menu_kyotsuu/important/kinkyu02_000479.html
参考②:セキュリティチェック|ここからセキュリティ!情報セキュリティ・ポータルサイト – https://www.ipa.go.jp/security/kokokara/quiz/
例えば上記は一例ですが、これらのURLの内容を参考にして必要な部分を社内の規則やルールで明文化すること、場合によってはセキュリティのテストを定期的に行なったり、セキュリティに関する研修を開けるように情報収集したりするなど、企業全体としてセキュリティに興味を持ち、具体的にセキュリティを高めるための行動をとっていくと良いでしょう。
まとめ:普段から定期的にセキュリティのチェックをして安全性を高めておこう
今回は年度末までにWordPressのセキュリティをチェックすべき理由、WordPressのセキュリティでチェックすべき項目、チェックした項目を元に具体的にすべき作業、そしてWordPress以外の部分でチェックすべき項目とその対策についてお話ししました。
年末年始や夏休みなどのタイミングは、忙しいあまりにセキュリティがおろそかになってしまうのも仕方がないことといえます。同時に、基本的なセキュリティ対策はしているものの、WordPressのセキュリティについては技術的な部分がわからず、対策しきれていないということもあるかもしれません。
当社リップルネットでは、月額14,300円(税込)でホームページの更新管理を承っております。年末年始や年度末など忙しいタイミングでも、安心してWordPressを使えるようセキュリティ対策も行いますので、ぜひともこの機会にご相談お問い合わせください。
最後までお読みいただきありがとうございました。
この記事が年末年始や夏休みのセキュリティ対策に不安な方のお役に立てれば幸いです。