【ワードプレス】サーバーのWAFってなに？メリットとデメリット比較

WAF（Web Application Firewall）とは？

ワードプレスは、オープンソースのブログソフトなので、誰でも無料で利用できることから、多くの人からの支持を得られ、利用率がかなり高くなっています。

使いやすさ、管理のしやすさから個人から企業まで多く利用されているのが特徴ですが、オープンソースが故に脆弱性を指摘されることが多々あります。

実際にワードプレスの脆弱性が狙われ、大規模な被害が出たこともありました。

なので、ワードプレスを利用するにあたってセキュリティに関してはしっかりと気を配らなければなりません。多くのセキュリティの中で今回はWAFについてご紹介します。

ワードプレスのURLから情報を盗み見られないようにする

WAFとは、Web Application Firewallの略語で、一般的にはワフと呼ばれます。Webアプリケーションの保護に特化しているという特徴があり、サイトを保護するには必須です。

例えばワードプレスのURLから、情報を盗み見られないようにすることも可能です。

実際に他者のパソコン操作を盗み見することはあまり難しいことではなく、今この時も被害は生まれています。

盗み見されることによって、自身のID、パスワードを知られてしまうことになります。

それが不正アクセスに繋がり、管理画面に侵入されることによって、本人しか見られないはずの情報も取得されてしまいます。

WAFを導入することによって、URLから盗み見されるのを防がれるようになります。

脆弱なプラグインやテーマからファイル変更されないようにする

ワードプレスは、プラグインをうまく利用することで、自分の好きなようにサイト構築ができることでも人気です。

しかし、実はこのプラグインも攻撃の対象となります。

脆弱なプラグインやテーマからファイルを変更され、Webページを改ざんされると、サイト利用者がサイトを閲覧中に意図しないサイトに飛ばされてしまったり、あるいは飛ばされたサイトで情報を不正に奪われる可能性もあります。

こうしたWebページ改ざんは、自分の分からないところで、自身のサイトの信用を低くしてしまい、サイト利用者に迷惑をかけてしまうこともあるため、必ずや未然に防ぎたいものです。

MySQLやphpmyadminも守れる

そしてWAFでは、MｙSQLやphpMyadminを守れることも大きなメリットとなります。

MySQLはオープンソースのデータベースであり、管理画面で登録したIDやパスワードの情報も保存されます。

phoMyadminにも同様に、ログイン情報等を知られてしまうとかなり危険です。これには、個人情報などの情報なども含まれています。

これらを守るためにもWAFの導入は必須であると言えるでしょう。

WAFの欠点と対処法

WAFは上記の様に、ワードプレスでサイト運営している方にとっては必須のセキュリティです。

しっかりセキュリティ対策をすることで、サイト利用者、閲覧者からの信用も得られるため、長く続けていくのであれば、WAFの導入は考えざるを得ません。

しかしWAFにも欠点は存在します。悪い部分を知っておくことで、上手に利用することができるので、欠点についてもご紹介しておきます。

攻撃パターンが変わると対処しにくい

WAFはWebアプリケーションの保護に特化しています。これはかなり細かいレベルでのセキュリティなのですが、細かいところをカバーしている反面、攻撃パターンが変わってしまうと対処しづらい、というところがデメリットです。

全てを防ぎきれるわけがない、というのはWebセキュリティでは理解しておかなければならない点ですが、やはり出来る限り多くの攻撃に対応してほしいものです。

ワードプレスのプラグイン挙動や管理者が弾かれることもある

実はWAFを導入することで、プラグインがうまく作動しなくなったり、管理者が弾かれてしまうこともある、というケースも報告されています。

他にもウィジェットの編集ができなくなってしまう、ということもあるようです。

これらは選んでいるサーバーによるところもあるようですが、WAFの導入によって、セキュリティを強くしてしまうことによって、ワードプレスの通常動作に干渉してしまうようです。

解決策はある程度はあるようですが、一時的にWAFをOFFにしたりする必要もあるため、セキュリティ的には危険に晒されてしまうことにもなります。

セキュリティを高めたいのに、サイトとうまくかみ合わない、というのは本末転倒なのではないでしょうか。

管理者手動のアップデートやファイル変更が許されなくなるかも

さらに上記の点と多少被りますが、管理者による手動のアップデートやファイル変更など、管理者が行う操作に制限がかかってしまうことも考えられます。

WAFをOFFにすることで一時的な回避ができますが、時間的にもロスが多いため、あまりオススメはできません。

根本的な解決策を調べてから、導入する必要があるでしょう。

これらのようにWAFは高いセキュリティ効果を発揮する反面、まれに、ワードプレスの動作に干渉してしまうこともあるため、若干ストレスを感じることもあるようです。

しかしワードプレスの脆弱性は広く知られているため、セキュリティの甘いサイトは日々狙われていると言っても過言ではありません。

万が一の被害に遭わないためにも、WAFは是非とも導入すべきものと言えるでしょう。