CMSを使って構築されたサイトの6割だか8割だかがもうWordPressによるものらしい。
それだけシェアがあって使われるようになると、OSにおけるWindows、IEやMS-Officeなどと同様に、攻撃対象になりやすくもなっているようで、WPも構築と同時にセキュリティ対策が求められる。これだけWordPressの情報量が多ければ、セキュリティの脆弱性に関する情報も、攻撃者側としても得やすいのではないか。
もちろん最低限あるいは一定の対策はされているはずであるが、さらにユーザが行うべきこともある。おそらく、そんなに詳しくない人や初めて構築する人などはきちんと対策は取っていないと思われ、そういうサイトが狙われるとのこと。
必要と言われている対策は、例えば次のような物だろうか。
- パスワードの強化と管理
- 管理画面、ログインページの保護
- ユーザのログインアカウント隠蔽
- コメントスパムの防止
- 不必要プラグインの削除
- プログラム・プラグイン・テーマの最新化
- バックアップの取得
- ログ類の確認
WordPress側で設定すべきであるもので思い付く物はひとまずこういうようなことなのではないかと思われる。
この辺は、ほとんど標準機能では実現できないので、セキュリティ対策のためのプラグインを導入してそれらの対策を行う必要がある。たいてい、有名な物に関する情報はすぐに入手できると思うので、ユーザが多い物を使っておくのが安心なのではないか。
他にも、サーバ側に関連してサイトのSSL化や適切なパーミッションの設定、.htaccessによる適切な制御とか、アクセス解析、アクセスログの確認、バックアップ手段の確保、などがあるのではないか。
MTを使っていたこともあるので、結局Webの他のシステムでも、概ね対策が必要なことについては想像が付くというものである。