【WordPress】SQLインジェクション対策を行う方法【サーバー・プラグイン】

Wordpress

WordPressを乗っ取る手法の一つとして SQL インジェクション攻撃があります。

SQL インジェクション攻撃は、Wordpress本体やテーマ・プラグインに脆弱性(セキュリティ上の欠陥)があると受ける可能性のある攻撃で非常に危険です。

エリナ
エリナ

SQLインジェクション攻撃は年々増加しているよ

スポンサーリンク

SQLインジェクションとは?

SQLインジェクションとは、アプリケーションのセキュリティ上の不備を意図的に利用し、アプリケーションが想定しないSQL文を実行させることにより、データベースシステムを不正に操作する攻撃方法のこと。また、その攻撃を可能とする脆弱性のことである。

引用:Wikipedia

かんたんにWordPress で例えると

  1. WordPressで使用しているテーマやプラグインに欠陥(脆弱性)があった
  2. その欠陥を利用してサイトの乗っ取りを試みる
  3. 成功したらデータベースの改ざんや破壊などを行う

みたいな感じです。

エリナ
エリナ

せっかく書いた記事が全部消されたり、フィッシング詐欺に利用される可能性もあるよ

SQLインジェクション対策はWAF導入がベター

SQL インジェクション攻撃を未然に防ぐには、セキュリティリスクのあるテーマやプラグインの使用を控えることが大切です。

ですがどのテーマやプラグインが安全かは分かりませんし、いつ脆弱性が発見されるのかもわかりません。

そういった不測の事態に備えるにはWAF(Web アプリケーションファイアウォール)の導入が一番です。

WAFとは?

  • 万が一SQL インジェクション攻撃を受けても防ぐことができる

WAFを導入するだけでWordpressのセキュリティをより強固にすることができます。

エリナ
エリナ

WAF有効化中にSQLインジェクション攻撃らしいものを検知するとこのようにアクセス拒否して防いでくれるよ。

WAFを導入しておくと、万が一脆弱性のあるプラグインを使い続けていてSQL インジェクション攻撃の対象になったとしても、攻撃を防御することができます。

エリナ
エリナ

サイトを運営する上で必須に近いよ

WordPressサイトの被害も急増しているので、自分は大丈夫という謎の自信は持たないほうが安全です。

WAFが使えるプラグイン

WordPressならプラグインをインストールするだけでWAFを導入できます。

サクッとWAFを導入してSQL インジェクション攻撃に備えたいのであれば以下のプラグインを使ってみると良いでしょう。

これらプラグインを使えばWAFを導入できますが全て知っている必要はなく一つあれば十分です。

逆に同じ機能を持つをセキュリティプラグインをたくさん入れてしまうと、逆に不具合が起きる可能性があるのでお勧めしません(私は過去にやって痛い目見た覚えがあります)。

可能ならWAF機能があるサーバーを使うのが良い

プラグインでWAFを導入するのが一番手軽です。

ですが、できる限りWAF機能を搭載しているサーバーを使うほうが安全です。

プラグインの場合、Wordpress本体の脆弱性に備えられるかどうかはわかりませんし、Wordpressで管理されていないファイルはWAFで保護されない可能性があります。

それにWAFを導入できるプラグインそのものに脆弱性があると話になりません。

WAFを提供しているレンタルサーバー増えているので、これから新規に申し込む・引っ越しを考えている方は以下のようなWAF提供済みレンタルサーバーの利用をお勧めします。

  月額料金 初期費用 お試し期間
ConoHa WING 1200円~ 無料 なし
エックスサーバー 900円~ 3000円 14日
WPXクラウド(WordPress専門) 500円~ 無料 14日
ColorfulBox 480円~ 無料 30日
エリナ
エリナ

私はConoHa WINGを使っているよ(CPU・メモリを占有できるのが最高!)

凛

WordPressを使わずにホームページを運営している人でも使えるよ。

ハッキングされないようにWAFを導入しておこう

WAFは万が一使用中のテーマプラグイン、Wordpress本体に脆弱性があったときに役立つ保険です。

導入もWordpressであれば特にお金がかかるわけでもないので、何か理由がない限りは導入しておきましょう。

コメントを残す

avatar
  コメントが来たら通知するようにする  
通知
タイトルとURLをコピーしました