はじめに:なぜアップロードが危険なのか
WordPressでは画像やPDFを簡単にアップロードできますが、攻撃者がこれを悪用すると不正スクリプト(Webシェル)を仕込まれ、サイトが乗っ取られる危険があります。
不正ファイルアップロードのリスク
- Webシェル設置:不正コードでサーバー制御を奪われる
- マルウェア感染:閲覧者にウイルス配布
- SEO被害:不正ファイルからスパムページ生成
実践的な防止策
- アップロード可能な拡張子を制限
→ 画像はjpg, png, gif のみにする。 - アップロードディレクトリを実行不可に
→.htaccessでPHP実行を禁止。
<FilesMatch "\.php$">
Deny from all
</FilesMatch>
- ファイルサイズ制限
→ 大容量ファイルでサーバーを圧迫させない。 - WAF(Web Application Firewall)導入
→ 不正リクエストをサーバー前で遮断。 - 定期的なスキャン
→ WordfenceやSucuriで不正ファイルを検知。
SMB実例
- 飲食店サイト:ファイル制限なし → Webシェル設置でサイト改ざん
- 士業事務所:拡張子制御導入で不正アップロードを防止
- ECサイト:WAF導入で攻撃をブロック
チェックリスト
- ✅ 拡張子を制御しているか
- ✅ アップロードディレクトリでPHP実行禁止にしているか
- ✅ 定期スキャンを実施しているか
まとめ
ファイルアップロードは便利ですが、リスクも大きい機能です。
拡張子制御・実行禁止・WAFの3点セットで不正アップロードを徹底的に防ぎましょう。
FAQ
Q1. WordPress標準で安全ではないのですか?
ある程度制御されていますが、追加対策が必要です。
Q2. PDFやExcelのアップロードは安全ですか?
中身にマルウェアが仕込まれる場合があるため注意が必要です。
Q3. WAFは必須ですか?
必須ではありませんが、導入すると防御力が大幅に高まります。
How-To:不正ファイル防止5ステップ
- 拡張子を制御する
- ディレクトリを実行不可にする
- ファイルサイズを制限する
- WAFを導入する
- 定期的にスキャンする
📂
WordPressの「便利さ」を「安全さ」に変えませんか?
Kumidiaは不正ファイル対策からWAF導入まで、堅牢な運用を支援します。
活用ガイド-300x300.jpeg)
