世界で最も利用されているCMSであるWordPress。豊富なプラグインの存在、Webサイトを効率的に運用できる点がメリットながら、最近ではセキュリティリスクもはらむようになっている。この記事では、WordPressを利用するにあたってバックアップが必要な理由と、関連するセキュリティリスクについて詳しく解説していく。
WordPressにはバックアップが必要か
結論から言うと、WordPressを利用するにあたり、バックアップは必要不可欠だと言える。WordPressはWordPress本体、プラグイン、PHP、データベースなどのプログラム群で構成されている。これらのプログラムは、脆弱性の解消や機能追加などのために、定期的にアップデートが行われている。
こうしたアップデートを適用した際、以前のバージョンとの互換性の問題から表示崩れなどが生じてしまうケースも少なくない。また、プログラムにエラーが生じてしまうことで、WordPressを利用して制作したWebサイトそのものが表示されなくなるといったケースもある。
仮に、上記のような不具合の発生を考慮してアップデートを行わない場合、セキュリティリスクを伴うことにもなりかねない。昨今、WordPressがプラグインの脆弱性を突かれ、不正アクセスされる被害が発生している。このようなインシデントが生じた例では、アップデートの放置が原因であることが少なくない。
インシデントが生じた際には、復旧に向けた迅速な行動が求められるが、そのような場合にバックアップデータがあれば速やかに対処することが可能となる。
WordPressは攻撃者から狙われやすい
WordPressにバックアップが必要な理由はほかにもある。WordPressはそもそも攻撃者に狙われやすいとされている点だ。以下にその要因を解説する。
1)世界的に利用されているCMSであること
WordPressは、世界で最も利用されているオープンソースのCMSとして知られている。Webサイトの技術利用などに関する調査を行う、W3Techsが公表している統計データでは、2023年5月時点で6割以上の利用率となっており、ほかのCMSを圧倒している。
ユーザー数が多いということは、攻撃者にとってはそれだけ攻撃対象が多く、攻撃を行うにあたっての費用対効果が高まりやすいことになる。また、オープンソースであることから、インターネット上に技術情報が数多く掲載されていることも結果的に攻撃者のメリットとなっている。
2)プラグインなどに脆弱性が生じやすいこと
WordPressを採用するメリットの1つに、豊富なプラグインの存在がある。WordPress本体ではカバーしきれない追加機能が提供されており、利便性の高い機能を容易に導入することが可能だ。こうした恩恵を受けるべく、何かしらのプラグインを利用しているユーザーがほとんどだろう。
しかし、これらのプラグインは配布元の信頼性が定かではないケースも少なくない。また、数クリックで簡単に導入できてしまうがゆえに、ユーザー側で適切に管理されていないことも多い。たとえ無効化しているプラグインであっても、脆弱性を悪用されるリスクは残る。このように、結果的に放置された脆弱性も攻撃者がWordPressを狙う理由の1つとなっている。
WordPressで起こり得るセキュリティリスク
セキュリティリスクをはじめ、Webサイトの効率的な運用のためにもバックアップが求められる。先述のように、WordPressでWebサイトを運用していく中では、さまざまなセキュリティリスクが生じ得る。以下に想定されるセキュリティリスクについて解説する。
1)WordPressに不正アクセスされ、情報が漏えいする
WordPressの管理者情報などが何かしらの理由で漏えいしてしまうことで、管理画面にログインできてしまう。その結果、サーバー上に格納されている個人情報や機密情報の漏えいに至るリスクがある。
2)Webサイトが改ざんされ、マルウェアの配布元になる
WordPressを設置しているサーバーへ不正にログインされた結果、Webサイトが勝手に改ざんされ、マルウェアを配布したり、攻撃者のWebサイトへユーザーを自動転送(リダイレクト)したり、といった事態を招いてしまうことになる。
3)スパムメール配信やDDoS攻撃の踏み台にされる
攻撃者がWordPressに不正なプラグインをインストールすることなどで、スパムメールの送信やDDoS攻撃の踏み台にされてしまう。
4)フォームからの個人情報抜き取り
Webサイト内に設置されたフォームが書き換えられることで、そこから個人情報が抜き取られてしまう。また、フォームを経由した攻撃手法として、XSS(クロスサイトスクリプティング)やCSRF(クロスサイトリクエストフォージェリ)などがある。情報漏えいにつながるだけでなく、場合によっては詐欺サイトへの誘導など、意図せず攻撃に加担してしまう可能性も否定できない。
なお、ほかにもサーバーやレンタルサーバー会社のトラブル、作業ミスによるアクセス不能など、外的要因に基づくリスクも想定される。WordPressにはさまざまなリスクが伴うことを前提に、利用する際にはそうしたリスクを事前に把握・整理しておくとよいだろう。
WordPressで起こったインシデント
実際にWordPressで起こったインシデントをいくつか紹介する。
1)WordPressプラグインの脆弱性を突いた攻撃
ある自治体が運営するWebサイトが不正アクセスを受け、Webサイトが改ざんされた。当該Webサイトとはまったく関係のない外部データを読み込む状態になっていた。不正アクセスの原因は、WordPressのプラグインにおける脆弱性であった。Webサイトの閲覧により、サイトへの訪問者がマルウェアに感染するリスクも生じていたという。
2)WordPress格納サーバーへの不正アクセス
大学の同窓会組織のWebサイトが不正アクセスを受け、サイバー攻撃の踏み台となった。同WebサイトにおけるWordPressのインストールファイルが外部から参照できる状態にあったことが要因で、WordPressにバックドアが設置され、外部のWordPressを利用するWebサイトへの攻撃の踏み台にされていた。
WordPressのバックアップ方法
WordPressのバックアップ方法は大きく分けて3つある。以下に解説する。
1)プラグインを利用したバックアップ
WordPressの特徴であるプラグインを利用することで、容易にバックアップが行える。以下のようなプラグインがその代表例だ。
- BackWPup
サーバーとデータベースそれぞれを定期的に自動バックアップできるプラグインだ。バックアップのタイミングについて、自動・手動から選択可能なため、用途に応じて柔軟な運用が可能だ。 - UpdraftPlus
BackWPup同様に、サーバーとデータベースのデータをそれぞれバックアップする。ワンクリックでバックアップやWebサイト自体の復元が可能な点が特徴のプラグインだ。 - All-in-One WP Migration
バックアップに加え、Webサイトの移行などにも対応するプラグインだ。データのエクスポートやインポートが可能だ。
ただし、先述のようにプラグインには脆弱性を伴うものも少なくない。実際、過去にはプラグインにゼロデイ脆弱性が生じたことで大きな問題となったものも存在する。くれぐれも選定時には中長期利用を前提に、信頼できる配付元が提供しているプラグインを選ぶようにしたい。
2)レンタルサーバーの自動バックアップを利用
レンタルサーバーには自動バックアップ機能をサービスとして提供しているものもある。レンタルサーバーやその契約するプランによってバックアップの方法や保管期間などは異なる。こうした機能を利用することで、手軽にバックアップを行うことが可能なケースがあるため、WordPressでWebサイトを構築する予定がある場合、サーバー事業者の選定の際に考慮に入れてもよいだろう。
3)手動でのバックアップ
プラグインを用いることで容易にバックアップが可能ではあるものの、先述のようにデメリットもある。最も基本的なバックアップの方法は、手動にて行うことだ。WordPressは基本的に以下のようなデータで構成されている。
- ファイル:WordPress本体、CSSや画像ファイル
- データベース:管理画面の設定や、投稿記事のデータ
ファイルはFFFTPなどのFTPソフトでダウンロードすることで、パソコン上に保存できる。また、データベースはレンタルサーバーの所定の方法に従って操作することで、パソコンに保存することが可能だ。
また、こうしたバックアップと併せてWAF(Web Application Firewall)の導入も検討したい。WAFを導入することでSQLインジェクションなど、脆弱性を狙った攻撃を防ぐことができる。
WordPressを利用する上で、万一のインシデントが生じた場合を見据えたバックアップは、もはや必須と言ってよいだろう。しかし、バックアップを行うだけでなく、Webサイトを運営していくにあたって、さまざまなセキュリティ対策が求められる時代となっていることも忘れてはならない。自社の事業においてWebサイトはどれほどの重要性を占めているだろうか。そうした観点に立ち、最適なセキュリティ対策を検討していく必要があるだろう。
