WordPressが遅い!プラグインだけでなく不正アクセスも疑うべき

昨日マルウェアの感染と復旧方法について記載しましたが、大切なことなのでもう少し書き留めておこうかと思います。

「WordPress 遅い」で検索すると、様々なプラグインを利用して高速化を試みようとする記事ばかり出てきますが、WordPressを高速化させたいのであれば、プラグインでは無く、ウェブサーバーの環境をApacheからNginxに変更するだけで十分高速化が可能です。

様々なプラグインをWordPressにインストールさせるのではなく、もともとの環境を改善させるということが、WordPress高速化への抜本的な対策へとつながります。

また、様々なプラグインを複数インストールするということは、脆弱性の脅威にさらされる確率が高まるという事も意味します。

具体的には、動作はするけれど、古くなってしまっているプラグイン。つまりサポートが終了してしまっているプラグインに該当するのですが、サポートが終了してしまったプラグインを利用するという事は、インターネット上に脆弱な部分をさらけだすことになるため、サイトの改ざん、不正ログイン、総当たり攻撃など様々な悪のアクセスを受けるトリガー(引き金)になっています。

WordPressをインストールした時はこんなに遅くなかったのに、なんで今はこんなに遅いんだろう?

  • WordPressの管理画面が遅く、更新しているだけで日が暮れる。
  • アクセスがとてつもなく遅くなりサイトの表示に5秒~10秒ぐらいかかる。

こんな時は、マルウェアや、外部からの不正アクセスも疑うべきです。

WordPressを安全に運営し続けるという事は、そう容易い事では無いです。

具体的な攻撃のアクセス例

昨日はマルウェアに感染することで、外部の攻撃ファイルを自身のWordPressが受け入れ、不正メール送信によりキューを増大させ、システムをダウンさせるという攻撃内容について記載しましたが、不正ログインを繰り返し実施しているアクセスログについても本日はあわせて記載しておきます。

マルウェア感染時のアクセスログ

見覚えのない「autoconf.php」というファイルに対して、短時間に複数回200ステイタス(アクセス成功)で攻撃をしかけてきています。

不正ログインを試みるアクセスログ

短時間のうちに複数回WordPressのログイン画面にFireFoxでアクセスしてきています。aaa.bbb.ccc.dddにて表現していますが、本来この部分にアクセス元のIPアドレスが記載されており、不審者のアクセス元を把握することができます。

上記ログは、404ステイタス(アクセス失敗)となっていますが、もともと200ステイタス(アクセス成功)で不正ログインを仕掛けてきていたので、セキュリティ対策を施し、404ステイタス(アクセス失敗)でアクセスを遮断したログになっています。

WordPressを運用するという事は、ただ単にブログで情報を発信するという事だけでなく、健全な状態でサイト運営ができているのか?という点を常にアクセスログの監視、WordPress本体やプラグイン、テーマの最新化を常に実行していかなくてはなりません。

運営にかかるコスト、サイトのデザインなどの見た目、SEO対策。そんな事は後回しで、それ以前にそもそも「安全で健全な運用ができているか?」という視点がとても大切な事です。

不正アクセス防止に向けた対策

不正アクセスを受けないために実施する対策を記載しておきます。以下の内容で一つでも該当するようであれば、現在WordPressで運用中のサイトが不正アクセスを受ける脅威にさらされている事を意味します。いや、既に攻撃を受けているかもしれません。

立ち上げ当初は高速だったWordPressが、今はとても遅い…攻撃を受けている可能性は十分に考えられます。

プログラムは常に最新化を実施する

以下のプログラムは全て最新化しておく必要があります。なぜプログラムを最新化する必要があるのか?それは、常に新しく世の中に誕生してくる不正なプログラムから我が身を守るためです。

  • WordPressの本体
  • 各種プラグインファイル
  • テーマファイル

WordPressの公式テーマ以外は利用しない

サイトを立ち上げる際に、ほとんど全ての人が「見た目」だけにこだわる人がほとんどだと思います。

「このテーマかっこいいし、おしゃれだから。」

という理由だけでテーマを選定していませんか?例え有料であったとしても、選定したテーマがWordPressの公式テーマで無い場合は、外部からの不正侵入を許す脆弱性を持っている可能性が十分にあります

以下は、WordPressの厳しい審査を通過した公式テーマが格納されているテーマディレクトリです。

ご利用されているテーマ名をアクセス先サイト、「テーマを検索…」の入力ウィンドウに入れて検索してみてください。

ヒットしなければ、現在利用されているテーマはWordPressの非公式テーマです。

脆弱性を潜めている可能性があり、既に攻撃されているかもしれません。もしくは、攻撃を受け入れるマルウェアが既に潜んでいる可能性も十分にあります。

セキュリティ対策が万全なサーバー環境を選定する

「安い」という観点だけでサーバー選定をしていませんか?

安いサーバーはセキュリティ対策が不十分なため、WordPressの万全な運用体制が取れない限り、外部からの攻撃に耐えられない可能性が十分にあります。

たとえば、WordPressの利用環境でメジャーなエックスサーバー

エックスサーバーを運営する株式会社エックスサーバーにはエックスサーバーシックスコアの2種類が存在する事はご存じでしょうか?

価格の観点でいくと、エックスサーバーの方が安く、シックスコアの方が高いです。

でもシックスコア側は、「WAF:Web Application Firewall」が採用されており、運用中のサイトの脆弱性を突いた外部攻撃からサイトを保護するためのセキュリティ対策が施されています

不正アクセス対策を十分配慮したレンタルサーバー選定を行うのであれば、エックスサーバーではなく、多少金額が高くてもシックスコアを採用するべきです。

更にWordPressの高速化を行いたいのであればNginxを採用するべき

ウェブサーバーにおける主力なソフトウェアは、ApacheとNginxの2種類に分かれます。

安いレンタルサーバーで運営されいるウェブサーバーは、ほぼ100%、Apacheになります。Apacheは旧来から存在するウェブサーバーで、扱いが簡単なのが特徴です。

でも、Apacheはキャッシュ機能が甘いため、自らWordPressに高速化を行うためのキャッシュプラグインをインストールさせなくてはなりません。

一つでも多くのプラグインをインストールするという事は、それだけインターネット上に、脆弱性に晒さす事を意味します。

Nginxを採用すれば、ウェブサーバー自体に強靭なキャッシュ機能を保有しているため、不必要にWordPressにキャッシュ系プラグインをインストールする必要がなくなります。

以下は、セキュリティ対策も万全で、Nginxに対応したサーバー(クラウド)を提供しているサービスの一覧です。

WordPressを高速化できるNginxを採用しているサーバー(クラウド)一覧

AWS

超上級者および、ヘビーユース向けの環境です。システムを安定運用するための、ありとあらゆる環境がAWSには整っています。すべてのアクセスログ管理も自ら実施する事が可能なので、万が一問題が発生した場合の対処など、自ら迅速に対応する事が可能です。

AWS

AWS

AWSの詳細を確認する

コアプレスクラウド

WordPressを高速化させる環境のために提供されているGMOが提供するNginxを採用したクラウド環境です。アクセス状況に応じて、環境をスケールアウトさせる事も可能です。DNS操作等は、バリュードメイン上で実施します。

コアプレスクラウド

コアプレスクラウド

コアプレスクラウドの詳細を確認する

wpXクラウド

WordPress環境提供において実績がある株式会社エックスサーバーが提供するNginxを採用したクラウド環境です。セキュリティ対策も万全なので、現在エックスサーバーを利用されている方で、WordPressの更なる高速化、セキュリティ向上を目指したいのであれば、wpXクラウドを選定した方が将来的にもベストな選択です。

wpXクラウド

wpXクラウド

wpXクラウドの詳細を確認する

ただ単純に「安い」という観点だけで、システムを選定すると、後々取り返しのつかない事態に追いやられる可能性は十分にあり得ます。

個人サイトであったとしても商売を見越しているサイトや、企業サイトを動かすのであれば、ベースの環境は、シッカリと選定し、構築しておくべきです。

WordPressを高速に、健全な状態で運営したいと考えている方は、AWSコアプレスクラウドwpXクラウドのいずれかの環境を選定するべきです。

不正アクセス防止のため、コメント入力いただいた方の送信元ホスト名、IPアドレスを記録しています。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

新着記事

全ての記事を確認する