• W3Q(ウェブサンキュー)
      • 読み込み中...
    k/Rlkt2022年9月29日
    wordpressを使ったサイトのセキュリティ

    wordpressを使ったサイト制作経験が少なく、
    ふとセキュリティ的な知識は不要なのかと不安になりました。

    ここでいうセキュリティとは、パスワード等を突破され、wordpressにログインされ、サイトを壊されたりしないかどうか
    という意味です。

    そのような経験があるエンジニアさんいますでしょうか?
    13 2
返信の受付は終了いたしました。
      • 読み込み中...
    cMSG1d2022年9月29日
    答えになってなくて申し訳ないけどセキュリティを気にするならWordPressはあんまりな気がします(ゆるいし狙われやすいし)。別のcms使うのは今さら無理なのかな?
    1
      • 読み込み中...
    svfqPY2022年9月29日
    必要です。
    ワードプレスって誰でも使える関係上、何の対策もしていないものがチラホラありますが...
    1
      • 読み込み中...
    NW6DBM2022年9月29日
    ・セキュリティ系プラグイン導入
    ・適切なバージョンアップ(プラグインも)
    ・WAF
    ・パーミッション
    が簡単に設定できることかな~。
    あとはセキュリティじゃないけど定期バックアップ取っておけば、最悪改ざんされても全消しで復活できる。
    絶対はないので、個人情報を扱うようなサイトや会員制サイトでの利用はやめたほうがよいです。
    1 1
      • 読み込み中...
    Csvc2O2022年9月29日
    簡単なIDとパスワードならもちろん突破されるが、複雑にするだけでだいぶ破られにくい。その上ログインURL変更、複数回ログイン失敗のロックなどをかければ堅牢になる。後は海外IPのシャットアウト。これが一番効くかな。
    1
      • 読み込み中...
    nOZuM82022年9月29日
    wordpress.comの方を使えば?
    2
      • 読み込み中...
    スレ主(k/Rlkt)2022年9月30日
    みなさま

    親切に教えて頂いてありがとうございます。
    頂いた投稿を元に、調べてみます。

    ありがとうございました。
    2
      • 読み込み中...
    nOZuM82022年9月30日
    質問に回答してなかったので追記
    ログインを突破されたり改ざんはないけど、お問い合わせフォームから大量のスパムメールが管理者宛に送信されてサイトが激重になるというのはあった
    中国からのIPを遮断して対応

    WPとは関係ないけど、/var/log/secureを見ると、割とどんなサーバーでもIPを紐付けた瞬間からSSHでログインを試みようとする輩はアホほどいるので、鍵認証+rootログイン禁止は必須
    1 1
      • 読み込み中...
    WoRyJ72022年9月30日
    古いOS入れたVPSに古いMTが、おそらく脆弱性突かれて突破された案件なら身近にある。担当じゃなかったけど、事後の復旧を手伝った。
    入ってたのがMTだったけど、突破後設置された悪意のあるプログラムがWP向けのもので踏み台とかにはならなかったが、サイトは正常に動作しなくなった。(おそらく、というのは素のFTP使ってたので、そこを突破された可能性もある)

    このように、WordPressだから、ではなくサーバーやミドルウェア、入ってるWebアプリ、さらに素のFTPなど気をつけないといけないポイントは山ほどある。

    あんまりWordPressに捉われすぎず、常に全方位でセキュリティには気を配るぐらいじゃないと、この世界は何があるかわからんよ。
    2
      • 読み込み中...
    WoRyJ72022年9月30日
    返信先: @NW6DBMさん けど、便利だからって言って、お問合せフォームプラグインの機能使って、問い合わせ内容をDBに保存する機能実装する輩とかおるのよ。
    まあ、クライアントがリスク承知でやってんなら何も言わんけど、普通はそこ「ほんとに大丈夫?」って確認するのが、プロの仕事だよね。
    1 1
      • 読み込み中...
    s7SPzP2022年9月30日
    返信先: @WoRyJ7さん 無知で申し訳ないですが、これって良くないんですか?
    mw wp formならmwf〇〇(ショートコードID)でカスタム投稿に保存されていますが...
    1 1
      • 読み込み中...
    WoRyJ72022年9月30日
    返信先: @s7SPzPさん そうそう、そのプラグインのことを念頭に置いて言ったんだけど。
    主さんが言うように、もし管理画面突破されたら、カスタム投稿見られちゃうよね? マズくない?
    DBサーバー侵入されても内容を読めちゃうよね。暗号化されてないんだし。
    メール見なくてもWPにログインしたらみんな問い合わせフォームの内容見れるから便利だね、って話なんだろうけどだけど、それとトレードオフってことだよ。

    誤解しないで欲しいのは、そのプラグインの機能自体が良くないのではなく、WPのログイン画面が突破されたりMySQLを不正に覗かれたりした時にリスクがあるって話なので、プラグイン自体が悪いわけじゃないよ。

    大手企業やちゃんとした企業なら、セキュリティポリシーの中に「他社のサーバー内に個人情報を保管しない」とか定めてたりする。
    これ、思いっきりポリシー違反になるから、逆にクライアントの情シスとかから怒られたりするよ。
    気をつけようね。
    1 1
      • 読み込み中...
    s7SPzP2022年9月30日
    返信先: @WoRyJ7さん そういうことですね、プラグイン自体に問題があるのかと思いました。
    確かに個人情報はすべて暗号化して表示する情報は復号化しろってスクラッチのときはなりますもんね。
    不思議なことにWordPressの場合は一切そういう指示は聞かないですが...
    1
      • 読み込み中...
    Csvc2O2022年9月30日
    返信先: @nOZuM8さん フォームは recaptcha 入れときゃスパム対策はかなり有効よ。