投稿者: mochiko

ロリポップのCR(Customer Reliability)チームでエンジニアをやっています。
趣味はF1観戦で、インドアなので基本的に引きこもっているのですが、健康維持のために頑張ってジム通いを続けています。
便利に楽しく安全にサイト運営していただけるヒントになるような記事を書いていきたいと思います!

カテゴリー
未分類

備えが大事!WordPressのセキュリティ対策

こんにちは、ロリポップCRチームエンジニアのmochikoです。今回は、今すぐチェックしてほしいWordPressのセキュリティ対策についてまとめていきます。

セキュリティ対策を怠って攻撃を受けると、あなたのサイトが被害を受けるだけではありません。
そのサイトが悪用されてまったく無関係な人への攻撃に使われてしまったり、個人情報などを管理している場合は、個人情報が抜き取られてしまったりと、被害を拡大させるリスクもあります。

セキュリティ対策で「絶対安心な方法」というものは、残念ながら存在しません。攻撃手法も日々進化しています。だからこそ、いろいろな対策を組み合わせることで、少しでもリスクを減らしていただきたいと思います。

対策だけ知りたい方は、最後にこれだけは確認してほしい!という対策をまとめていますので、ぜひそちらをご覧ください。

WordPressが狙われている

WordPressは世界中でもっとも多く利用されているCMS(Contents Management System、コンテンツ・マネジメント・システム)です。W3Techsの調査によると、インターネット上のすべてのサイトの41.8%がWordPressで作られています。

これは悪意のある攻撃者から見れば格好の標的です。WordPressを使っているサイトに対して、ある1つの攻撃手法が確立できれば、インターネット上の40%超のサイトに対して同じような攻撃を仕掛けることができる可能性があるからです。

WordPressを使ってサイトを運営している方には、ぜひこのことを意識して運営していただきたいと思います。

WordPressの改ざんってなに?

改ざんとは?

「改ざん」という言葉は本来、故意や悪意のあるケースも過失のケースも含む言葉です。文書や記録などに本来なされるべきでない変更が加わることを意味します。

今回の記事で「改ざん」という言葉を使うときには、悪意のある第三者(=攻撃者)から変更が加えられることを意味します。

たとえば、攻撃者によって下記のようなことが引き起こされる可能性があります。

  • WordPressのプログラムの中身を書き換える
  • 攻撃を行うような不正なファイルをサーバー上に追加する

では、攻撃者はどのようにして改ざんしているのでしょうか。攻撃の方法はさまざまですが、共通しているのは、なんらかの脆弱性をついて、そこを足がかりにしているということです。

脆弱性とは?

脆弱性とは、プログラムの不具合や設計上の不備などによって生じる情報セキュリティ上の欠陥のことです。攻撃者はそこを狙ってきます。攻撃者は専用のプログラムを作ったりして、日々いろいろな手法で脆弱性をつく方法を考えています。あなたのサイトも狙われているかもしれません。

サイトの改ざんのイメージ

改ざんされたファイルや不正に設置されたファイルのプログラムは、あなたのサイトから情報を抜き取ろうとしたり、更なる攻撃の起点になったりします。

もちろんせっかく作って運営していたサイトが壊されてしまうのは大変辛いことですが、それだけではなく他の人への攻撃のために自分のサイトが悪用されてしまう可能性があるのです。

では、実際になにが起こるのか、具体的な事例を見ていきましょう。

事例1. WordPress管理画面への不正アクセス

どんなことが起こるの?

ドメイン名/wp-admin.phpドメイン名/wp-login.phpというURLに対して直接アクセスして大量のIDとパスワードの組み合わせを試してログインできるものがないかが試みられるようなケースです。

たとえば、使っているパソコンがウイルスに感染していたり、複数のサービスでパスワードを使いまわしていたり、予測されやすいパスワードを使ったりしている場合に、この手法で不正ログインされてしまい、被害に遭うことがあります。

攻撃による影響は?

WordPressの管理画面にログインできるということは、サイト管理者と同じことができるということを意味します。

具体的には、サイトのデータを改ざんされたり、データベースからデータを抜き取られたりするということです。データベースに個人情報を含む場合は、このような不正ログインによって個人情報流出が起こります。

改ざんされたサイトはどうなるの?

見た目はまったく正常でも、裏で不正なプログラムが動作していることもあるので、どのような状態であるかは一概にいえません。しかし、見た目上でもエラーが出て正常に閲覧できなくなったり、ファイルの更新がうまくいかなかったりなど、なんらかの不具合が発生しているケースが多いようです。

事例2. WordPress本体やプラグインの脆弱性をついた攻撃

どんなことが起こるの?

WordPress本体やプラグインのプログラムの脆弱性をついた攻撃では、その手法はさまざまです。攻撃者は脆弱性をつくことで管理画面にログインしたり、データベースへアクセスしたりということが可能になります。

しかし多くの場合、プログラムの脆弱性はWordPressやプラグインの配布元で速やかに修正されて公開されています。つまり、プログラムをしっかりアップデートしておくことで、脆弱性をついた攻撃にある程度対処できることになります。

WordPressやプラグインのアップデートを怠っていると、このような脆弱性に対処するための修正が適用されないまま、サイトを公開していることになります。これは大変危険なことです。

攻撃による影響は?

脆弱性をついて不正アクセスをすることで、攻撃者は管理画面のIDとパスワードを手に入れることができます。そうなると、サイトの改ざんやデータベースの情報を盗まれたりすることにつながるのは、事例1で紹介したとおりです。

事例3. コンタクトフォームの悪用

どんなことが起こるの?

これまでの事例とは少し違って、これはコンタクトフォームの正常な動作を悪用した事例です。

フォームの利用者あてに確認メールを送るための自動返信機能を悪用します。攻撃者は他人のメールアドレスを使ってフォームを入力することで、そのアドレスにスパムメールを送り付けます。

自動返信機能を使わない設定にするか、不正投稿を防止するreCAPTCHAなどを使うことで防ぐことができます。

攻撃による影響は?

フォームを悪用されるということは、サイト運営者がスパムメールの送信元になってしまうということです。これは、サイトを運営している会社やあなた自身の信頼性に関わることです。

繰り返しになりますが、これはフォーム自体の正常な動作を悪用されているものなので、プログラムの脆弱性についての話ではありません。対策をするにはサイトの運営者による設定の変更や見直しが必要です。

WordPressのセキュリティ向上のための最低限の対策

3つの事例を通して、どのようなことが起こるのかを見てきました。

セキュリティ向上のための対策は多岐にわたります。WordPressの提供元のサイトでは設定ファイルの権限などについて、詳しく紹介されています。一度目を通してみて、できそうだなと思う項目はぜひ対応しましょう。

とはいえ、コンピュータやネットワークに詳しくない人にとっては、難しくてハードルが高いと感じることも多いと思います。最低限の対策として、いくつか簡単にできるものを下記にまとめました。

管理画面について

  1. wp-admin配下にBASIC認証を設定してアクセスを制限する(ロリポップではユーザー専用ページから手軽に設定できる方法を提供しています)
  2. セキュリティ系のプラグインを導入して管理画面のログインURLを変更する

ログインユーザーの管理

  1. adminなどの予測されやすいユーザーIDを使わない
  2. アクセスが不要になったユーザーIDを削除する

パスワードについて

  1. ドメインやユーザーIDを含む予測されやすいものにしない
  2. 少ない文字数や繰り返しの文字列にしない
  3. パスワードを複数のサービスで使い回さない

WordPressとプラグインの管理

  1. WordPress本体とプラグインのアップデートを適用する
  2. プラグインを新しく導入する際は信頼できるものか確認する
  3. 不要になったプラグインは削除する

コンタクトフォームの対策

  1. 不正投稿をブロックするような仕組み(reCAPTCHAなど)を導入する
  2. 自動返信機能を使わない

レンタルサーバーを利用している場合は、サービス側から提供されている機能を活用するのも効果的です。たとえばロリポップでは、以下のような機能を提供しています。ご利用中のサービスでも確認してみると良いでしょう。

最後に、もっとも基本的なことですが大切なこととして、定期的にサイトをチェックすることをおすすめします。

  • サイトにアクセスしてみて正常に表示されるかどうかを確認する
  • FTPソフトなどを使ってサーバー上に不審なファイルが置かれていないかを確認する

被害にすぐに気づけるかどうかは、サイトのデータを復旧できるかどうかの分かれ目になることもあるので、できるだけこまめに確認をするようにしましょう。

もし改ざん被害にあったら

セキュリティの対策をしていても、残念ながら被害にあってしまうことはあります。もしも被害に気付いたら、自分のサイトが攻撃者に悪用されないようにするためにも迅速な対応が必要です。

  • 使用しているパソコンのウイルスチェックを行う
  • 管理画面にログインできる場合はただちにパスワードとログインIDを変更する
  • 管理画面にログインできない場合はFTPソフトなどからWordPressの設定を変更する
  • FTPやSSHのログインパスワードを変更する
  • バックアップデータでサイトのデータを改ざん前の状態に戻せる場合は戻す

もしもの時に備える意味でも、サイトのデータは定期的にバックアップを取っておきましょう。ロリポップではバックアップオプションも提供しています。

まとめ

いつ自分が攻撃者から狙われてもおかしくないということを認識して、普段からセキュリティに対する意識を高めて対策を行いましょう。対策は1つではなく、複数組み合わせて行うのがポイントです。

また、いざというときのためにバックアップで備えておくことと、できるだけ被害を迅速に把握することが大切です。自分のサイトを定期的にメンテナンスするように心がけましょう。

カテゴリー
サイト開設しよう

複数人でメールアドレスを共有するときの注意点

共有メールアドレスの注意点

ロリポップCRチームのmochikoです。今回は、会社の代表メールアドレス、部署内で共有しているメールアドレスなど、複数人がひとつのメールアドレスを使う際に起こるよくある問題とその対策についてご紹介します。また、知っておくと便利なメールの仕組みについても詳しく解説します。

複数人での共有メールアドレス運用のトラブル

会社の営業所でinfo@example.comというメールアドレスを複数人で使っているケースを思い浮かべてみてください。このメールアドレスを営業所の全員で共有している場合、各々のパソコンでメールを確認閲覧できたり、営業チームは外出先からスマートフォンで確認することもありそうです。

そんなとき、次のようなトラブルが発生することがあります。

  • 誰に聞いても削除した形跡がないのに、メールサーバーにあるはずのメールが見当たらない!
  • 営業所のパソコンでは確認できたメールが、外出先でスマートフォンから確認できなかった
  • 削除したはずなのに、同じメールが復活している?

上記のようなケースは、メールを受信する際の接続方式の違いと、その設定によって発生する可能性があります。

今回は、メールの送受信の仕組みを説明しながら、大切なメールのデータを失わずに、できるだけ安全に運用するための注意点についてまとめていきます。

メールのしくみ

メールのしくみを理解するために、まずは専門用語の説明をします。この記事では以下の用語を次のような意味で使います。

  • クライアント
    メールソフトが動いている機器のことや、そこで動作しているメールソフトのことを指します。サーバーとの対比で「クライアント」というキーワードを使用していますが、難しく感じる方は、この後の説明ではおおむねメールソフトと同じ意味として読み替えてもらっても構いません。
  • メールソフト
    クライアント上でメールの送信や受信、閲覧を行うためのソフト(OutlookやThunderbird、Macやiphoneの標準メーラーなど)
  • メールサーバー
    メールを送信したり受信したりするサーバー(本記事では受信時と送信時のサーバーを区別せずにメールサーバーと表記します)

まずは、実際にメールが送られる時の流れを簡単に見てみましょう。

例)ロリポップのメールサービスを使っているAさんがBさんあてにメールを送る場合の図
  1. Aさんが自分のPCからBさん宛にメールを作成して送信する
  2. Aさんのメールソフトからロリポップのメールサーバーにメールのデータが届く(SMTP)
  3. Bさんが使っているメールサーバーにメールのデータが届く(SMTP)
  4. Bさんのメールソフトがメールをメールサーバーに取得しにいく(POPまたはIMAP)
  5. Bさんがメールソフト上でメールを確認する

かっこの中に書かれているSMTP(Simple Mail Transfer Protocol)やPOP(Post Office Protocol)、IMAP(Internet Message Access Protocol)などは「プロトコル」と呼ばれるものの種類を表しています。プロトコルとは、通信するときの約束事やルールのことです。
メールにはメールの、WebにはWebのルールがあって、メールソフトなどのアプリケーションが通信をするときは、そのルールを守る決まりになっています。

ここではひとつひとつのプロトコルに対する詳しい解説は割愛しますが、SMTPはメールを送信する時に使うルールで、POPとIMAPはメールを受信する時に使うルールであるということだけ覚えていただければ大丈夫です。

なんとなく全体像を把握したところで、Bさんのメールサーバーにメールが届いてからBさんが実際にメールを確認するまでを、さらに詳しく見てみましょう。

Bさんから見ると、Aさんからのメールは自分のスマートフォンまで自動的に届いているように感じるのですが、実はそうではありません。
スマートフォン上で動いているメールソフトはメールサーバーからメールが送られてくるのを待っているのではなく、自らメールサーバーにアクセスしてデータを取得しにいっています。

つまりメールサーバー側がクライアントに「メールが届いたよ」と送ってくれているのではなく、クライアント側からメールサーバーに「メールはありますか?」と問い合わせをしているのです。

POPとIMAPの違い

メールソフトでメールを受信する方法は、POPとIMAPの2種類があります。 それぞれクライアントからメールサーバーにアクセスするという点は共通していますが、 以下のような違いがあります。

POP

  • メールデータをダウンロードしてメールソフト上で閲覧することが前提の方法
  • 基本的にメールサーバーにメールが残らない(※1)

IMAP

  • メールサーバーにあるメールデータをメールソフト上からそのまま閲覧、管理する方法
  • メールサーバーの容量を気にする必要がある

※1 メールサーバーにデータを残す設定も可能です。

スマートフォンなどのモバイル機器で動くメールソフトやWebブラウザ上で使うメールソフトなどは、 メールデータをダウンロードできないため、IMAPが使われています。

共通メール運用のトラブルの原因と対処方法

ここで最初に出てきたケースについて、改めて考えてみましょう。何が起こったと考えられるのでしょうか。

  • 誰に聞いても削除した形跡がないのに、メールサーバーにあるはずのメールが見当たらない!
  • 営業所のパソコンでは確認できたメールが、外出先でスマートフォンから確認できなかった
  • 削除したはずなのに、同じメールが復活している?

メールを受信するときのPOPとIMAPの違いを踏まえて、順番に見ていきましょう。

誰に聞いても削除した形跡がないのに、メールサーバーにあるはずのメールが見当たらない!

考えられる要因

  • 新しいパソコンAで新たにメールソフトの設定を行った際の設定ミスが考えられる
  • POPにてメールサーバーにデータのコピーを残さない設定にして、メールを受信した

メールデータをパソコンAでダウンロードしてしまうと、別の時にパソコンBでメールを閲覧しようとしてもメールサーバーにメールデータがないので、メールを閲覧することができません。

ただし、パソコンAでメールデータをダウンロードするよりも前に、パソコンCでPOPで接続しメールデータをダウンロードしていた場合は、パソコンCではメールの内容を確認することができます。

対処方法

  • POPでメール設定をする際に「メールデータのコピーの残す」という設定にチェックが入っているか確認する
  • POPを使わずにIMAPで設定する

POPでは基本的にメールデータをダウンロードするため、メールサーバーに残しません。メールソフトによっては「メールデータのコピーの残す」という設定がデフォルトで有効になっていないケースがあるので、必ず確認するようにしましょう。
また、POPを使う理由が特にないのであれば、メールソフトの設定をIMAPで統一することで防ぐことが可能です。

営業所のパソコンでは確認できたメールが、外出先でスマートフォンから確認できなかった

考えられる要因

  • 営業所のパソコンのメールソフトをPOPでメールサーバーにデータのコピーを残さない設定にして、メールを受信した

最初の例でも説明したとおり、メールが確認できた営業所のパソコンは、メールサーバーからデータが削除される前にメールをダウンロードしていたと考えられます。
もしかしたら、このパソコンのメールソフトの設定がメールサーバーにデータのコピーを残さない設定になっているかもしれません。

スマートフォン上で動くメールソフトはほとんどがIMAPを使っています。IMAPでは、メールサーバー接続した時点でそこにデータがなければメールは確認できません。

対処方法

  • 該当のメールが閲覧できるパソコンのメールソフトの設定を確認する

POPでメールの設定を行う場合は、「メールデータのコピーの残す」という設定に必ずチェックが入っているか確認を行います。

こちらも、POPを使う理由が特にないのであれば、メールソフトの設定をIMAPで統一することで防ぐことが可能です。

削除したはずなのに、同じメールが復活している?

考えられる要因

  • 削除したのはPOPでダウンロードしたパソコン上にあるメールのデータであり、メールサーバーからは削除されていなかった
  • メールサーバーにメールデータが残っている状態なので、別のクライアントには同じメールが届いた

POPは基本的にダウンロードしかできないので、メールソフトでメールを削除してもメールサーバー上のデータを削除することはできません。

そのため、別のパソコンやスマートフォンがメールサーバーにアクセスすると、メールサーバーにはメールのデータが残っているので、パソコンで消したはずのメールが復活したようにみえてしまいます。

対処方法

  • メールのPOP設定を見直す

POP接続であっても、メールソフトの設定で削除操作と同時にメールサーバー上のメールデータを削除することが可能です。また、IMAPでメールを削除すると、メールサーバーのデータを削除することになるので、同じメールが再び届いてしまうということがありません。

複数人でのメール管理の落とし穴

POPによる接続であっても、設定さえ正しくしておけばメールサーバーにメールデータを保持しておくことは可能です。
しかしPOPの基本的な考え方は、「クライアントにメールデータをダウンロードして管理する」というものでした。
複数人でメールアドレスを共有する場合、メールサーバーにはメールデータを残しておく必要があるので、POPの基本的な考え方とは少し異なる使い方をすることになります。

また、POPを使ってメールソフトの設定をする際には、メールアドレスを共有する人全員が設定を正しく行う必要があります。
1台でも設定を誤ると、メールサーバーからメールのデータを削除してしまう事態になる危険性があることが先程あげた例でお分かりいただけたと思います。

こういったことを起こさないためにも、普段はメールのデータをメールサーバー側で管理する、IMAPによる接続を使うのが安全かもしれません。

ただし、残しておきたい大切なメールは、必ず定期的にメールサーバーからダウンロードしてメールデータのバックアップを取るようにしましょう。
メールサーバーにデータを残し続けることで、データ容量やメールの数が増えすぎてしまうケースもあります。メールサーバーの上限を超えないようにデータを整理しながら利用することが大切です。

共有メールアドレスでのよくあるトラブルと、POPとIMAPというメールを受信する際のルール(プロトコル)の違いについて簡単に説明してきました。
最後に、POPとIMAPにはそれぞれメリットとデメリットがありますので、利用用途に応じておすすめなケースを紹介します。

POPがおすすめなケース

  • メールの送受信をひとつのクライアントのみで行う場合
  • インターネット接続ができない環境で過去のメールを確認する必要がある場合
  • メールサーバーのディスク容量が少ない場合

IMAPがおすすめなケース

  • 複数人で管理する共有メールアドレスを使う場合
  • 外出先と自宅など、複数のクライアントからメールを使う場合
  • メールが到着し次第、新着メールとして常に確認しておきたい場合(一般的にPOPより早く確認ができます)
  • モバイル機器などクライアントのディスク容量が少ない場合
  • パソコンを買い替えた時にメールデータの移設をせずにそのまま使いたい場合

まとめ

  • 基本はIMAPで利用してサーバーのデータを複数クライアントから閲覧するのがおすすめです
  • 新しくメールソフトを設定する時は設定に間違いがないか特に注意しましょう
  • 定期的にメールサーバーのデータの容量やメールの数をチェックして、バックアップを取るなどメールデータを適切に管理するようにしましょう

メールの設定内容を理解して、正しく安全に共有メールアドレスを運用しましょう。