株式会社グルコム
Web関連

ロリポップ!上で稼働しているWordPressのセキュリティに関して


2013年8月29日の時点で、レンタルサーバのロリポップ!で稼働するWordPressサイトへの大規模な攻撃を確認したとの告知がありました。ロリポップ!では『サイト改ざんへの対策をお願いいたします』というページを用意されていますので、心当たりのある場合はこのページをご確認いただくのがよろしいかと思われます。

今回のロリポップ!への攻撃と直接関係する記事ではありませんが、ロリポップ!上で稼働しているWordPressのセキュリティに関して、ロリポップ上のWordPressをWAFで防御する方法という記事も参考になります。この記事を執筆された徳丸 浩という方は、情報セキュリティについてのコンサルティングをされている方で、「体系的に学ぶ安全なWebアプリケーションの作り方」という書籍も執筆されています。この「ロリポップ上のWordPressをWAFで防御する方法」という記事によると、
(以下引用)

ロリポップ!のプランのうち、WordPressが利用できるのはロリポプラン以上ですが、この場合共有SSLを使うことができます。このため、以下のようにすればよいと考えました。

  • 閲覧用のドメインはHTTPとして、独自ドメインかロリポップ!の用意したサブドメインで運用する。このドメインはWAFで防御する
  • 管理用のドメインは共有SSLとして、BASIC認証で保護し、WAFの設定は外す

いい感じですね。管理画面をSSLで運用すると、スタバでコーヒーを飲みながらWi-FiサービスでWordPressのメンテンスをするなんて際も安心です。WAFの件がなくても、そうしたほうがいいですね。

(引用終わり)
とのことです。具体的な手順に関してはリンク先をご覧いただくとして、これは是非とも導入を検討するべきだと思います。

現在、ロリポップ!の方でも対策をしてくださっているようですが、それでもセキュリティを厳重にするという意味で導入を検討すべきでしょうし、たまたま今回被害に遭わなかったからといって、今後も無事であるとは限りません。Web、というかインターネットの利点は「(インターネットに接続できれば)どこからでもアクセスできる」というところにありますが、これは同時に「どこからも攻撃される可能性がある」ということでもあります。

この対策を導入すると「WordPressへのログインの際に、BASIC認証のIDとパスワードを入力した後にWordPressのログインとパスワードを入力しなければならない」という事になってしまいますが、記事内で触れられているように「安全のために支払うべきコスト」だと思いますし、逆に言えばこのコストを容認すれば安全性を高められるのですから充分“安い”と考えられます。

もちろん、これだけで全て大丈夫という事ではありませんが、充分に効果があるものですので、もしロリポップ!でWordPressを稼働させているのであれば、検討する事を強く推奨します。

株式会社グルコムについて

私たちは、2007年創業17年900サイト以上の実績がある会社です。 グルコムでは、集客から見込み客の開拓・既存客との関係構築・維持、土台であるウェブ制作まで、一気通貫できる視野・サービスを提供できることが強みです。