SPIRALマネージドクラウドの記事
ARTICLEWordPressのセキュリティ強化と事例について解説
WordPressはセキュリティが脆弱なため、強化するための対策を講じなければなりません。この記事では、WordPressの脆弱性、実際の被害事例、セキュリティの診断方法および強化方法、おすすめのプラグインについて解説します。
目次
WordPressのセキュリティが脆弱な理由
WordPressのセキュリティが脆弱な理由は、下記の3点です。
- 利用しているサイトが多いため狙われやすい
- ユーザーのセキュリティ意識が低い
- 脆弱性が低いプラグインが潜んでいる
では、それぞれについて解説します。
利用しているサイトが多いため狙われやすい
WordPressを利用しているサイトが多いことが理由で、ハッカーから狙われやすくなっています。
なぜなら、利用者の多いシステムを狙った方が効率が良いためです。
WordPressのシェア率は、世界で公開されているサイトのうち、約50%と言われています。
膨大な数のサイトがWordPressによって作成されているため、狙われやすくなるのは必然です。
ユーザーのセキュリティ意識が低い
WordPressのユーザーは、全体的にセキュリティ意識が低いです。
なぜなら、WordPressは利用のハードルが低いため、あまりセキュリティリスクを認識していないケースが多いからです。
そのことが原因で、ハッカーにとって格好の攻撃の的となってしまうのです。
脆弱性が低いプラグインが潜んでいる
WordPressのプラグインは多機能ですが、それが脆弱性の隠れ家となりうるのです。
プラグインは第三者によって作られ、すべてが厳密な審査を経るわけではありません。不十分なコードの監査や古いプラグインの更新の怠りが、攻撃者に悪用される可能性を高めます。
これらのプラグインを利用する際には、信頼性と更新履歴を確認することが不可欠です。
WordPressが受ける被害の事例
WordPressが受ける被害の事例で特に多いのが、下記の3つです。
- 詐欺サイトに自動転送される
- 大量のメールが勝手に送信される
- コンテンツが改ざんされる
では、それぞれについて解説します。
詐欺サイトに自動転送される
WordPressは、サイバー攻撃によって詐欺サイトへの自動転送プログラムが組み込まれてしまう恐れがあります。
このような攻撃は、2019年春頃から特定のプラグインに対しておこなわれ始めました。
このケースで狙われたプラグインは「Yuzo Related Posts」という、ログページの下に関連記事を表示させる機能を持つものです。
大量のメールが勝手に送信される
WordPressはセキュリティが脆弱だと、メール送信プログラムが埋め込まれるというサイバー攻撃を受けてしまうことがあります。
これにより、不特定多数のメールアドレスに宛に、勝手に大量のメールが送信されてしまうのです。
このような攻撃は問い合わせフォームなどのプラグインだけではなく、WordPressのコメントフォームに対しておこなわれることがあります。
コンテンツが改ざんされる
コンテンツの改ざんも、WordPressに対する攻撃として多く見られます。
コンテンツの改善がおこなわれると、改ざんされた記事を1つ1つ確認して修正したり、不正に設置されたファイルを調査して削除したりするなど膨大な作業が発生してしまいます。
数年前にはWordPressで記事の書き換えが行えてしまう脆弱性があり、約150万のサイトが改ざん被害に遭いました。
過去にはWordPressに対する「攻撃キャンペーン」がおこなわれ、その際はWordPressの脆弱性を悪用するためのコードがインターネット上に公開されました。
このときは、結果として155万以上のサイトが被害に遭っています。
WordPressのセキュリティをチェックする方法
WordPressのセキュリティをチェックする方法は、次の3つです。
- WPScans.comを使う
- WPdoctorを使う
- Wordfence Securityを使う
では、それぞれについて解説します。
WPScans.comを使う
WPScans.comは、WordPressのセキュリティ状態を診断してくれるサービスのひとつです。
使い方は簡単で、「Your WordPress URL」にURLを入力し、下のチェックボックスにチェックを入れて「START SCAN」ボタンをクリックするだけです。
もし「Your WordPress website is safe !」と表示されたら、セキュリティ的には問題ありません。
ここまでは無料でできますが、有料プランに加入することによって、より詳細なレポートを受け取れます。
WPdoctorを使う
WPdoctorは、WPScan.comよりも無料でかなり詳しくWordPressのセキュリティ状況を診断してくれます。
使い方はWPdoctorページを開いて、下の方にあるフォームに診断したいURLを入力し、「サイトを検索」をクリックします。
そうするとレポートが表示されるのですが、緊急対応を要する項目と、注意が必要な項目が表示されます。
これらに1つ1つ対応していくことで、より高度なセキュリティ対策が可能です。
また他にも、使用しているWordPressのバージョンやテーマ、導入されているプラグインなどのバージョン情報も表示されます。
Wordfence Securityを使う
Wordfence Securityは、WordPressの総合的なセキュリティ対策が可能なプラグインです。
インストール後、ScanボタンをクリックすることでWordPressのセキュリティの脆弱性の有無をチェックできます。
無料でも使えますが、有料版にすることでよりセキュリティ対策機能が向上します。
難しい設定も必要ないため、初心者の方でも安心して利用可能です。
WordPressのセキュリティを強化する方法
WordPressのセキュリティを強化する方法は、次の7つです。
- ユーザー名やパスワードを複雑にする
- WordPressのバージョンを常に最新の状態にする
- プラグインやテーマを常に最新の状態にする
- 不要なテーマやプラグインは削除する
- レンタルサーバーのセキュリティ対策機能を使う
- セキュリティ対策用のプラグインを導入する
- 外部から重要な設定ファイルにアクセスできないようにする
では、それぞれについて解説します。
ユーザー名やパスワードを複雑にする
WordPress管理画面のユーザー名やパスワードは、可能な限り複雑にしましょう、
よく面倒くさがってユーザー名とニックネームを同じにしてしまったり、パスワードを誕生日などわかりやすいものにしてしまったりするケースがありますが、このような場合簡単に情報が盗まれて不正ログインを許してしまいます。
ユーザー名とパスワードの変更は、下記のとおりのステップでおこなえます。
- WordPressの管理画面で「ユーザー」メニューから「ユーザー一覧」をクリックする
- ユーザー名にマウスを当てて「編集」をクリックする
- パスワードはユーザー名と異なるものを設定し、画面下部にある「プロフィールを更新」ボタンをクリックする
- 「ブログ上の表示名」からプルダウンで設定したユーザー名を選び、「プロフィール更新ボタン」をクリックする
よりWordPressのセキュリティを高めるためには、定期的にパスワードを変更することが好ましいです。
また、複雑なパスワードを自動生成してくれるツールの活用も有効でしょう。
WordPressのバージョンを常に最新の状態にする
次に挙げられるのが、WordPress自体のバージョンを常に最新の状態にしておくことです。
バージョンアップを行わない場合、脆弱性を突かれやすくなりセキュリティリスクが高まります。
特に近年はWordPressサイトの増加により、その脆弱性を狙った攻撃が増えているため、WordPress公式も下記のように最新版を利用することを前提としてる旨を発表しています。
WordPress を常に最新版にアップグレードするようにしてください。新バージョンが利用できるようになると、WordPressの管理画面に更新メッセージが表示されます。このメッセージ内のリンクをクリックして更新画面へ移動しましょう。
このことからも、セキュリティ対策のうえでWordPressのバージョン更新は必ず対応するようにしましょう。
WordPressのバージョンアップに関しては、以下の記事で詳しく解説しています。ご興味のある方はぜひご一読ください。
関連記事:「WordPressは最新版にバージョンアップすべき?リスクも解説」
プラグインやテーマを常に最新の状態にする
WordPressのプラグインやテーマは定期的にアップデートし、最新の状態を保ちましょう。
なぜなら、WordPressのプラグインやテーマは古くなるにつれてセキュリティの脆弱性が増していくためです。
しかしアップデートをし、最新の状態にすることで、セキュリティリスクは軽減されます。
プラグインやテーマの更新情報は管理画面に表示されるため、こまめにチェックし、アップデートをしましょう。
一応WordPressにはプラグインやテーマを自動更新してくれる機能がついていますが、全てが漏れなく更新されるわけではないため、過信は禁物です。
不要なテーマやプラグインは削除する
使っていないテーマやプラグインは、こまめに削除しましょう。
なぜなら、使用していないテーマやプラグインも攻撃に利用されてしまう恐れがあるためです。
これは無効化していても変わりませんので、削除が必要です。
使用していないテーマやプラグインの削除は、WordPressの管理画面からおこなえます。
レンタルサーバーのセキュリティ対策機能を使う
利用しているレンタルサーバーによっては、WordPressのセキュリティ対策機能を提供しています。
無料でセキュリティ対策機能が用意されていることもあるため、コスト面での心配も必要ありません。
実際にどのようなセキュリティ機能を用意しているかは、各レンタルサーバー業者が公開しています。
セキュリティ対策用のプラグインを導入する
WordPressのプラグインには、セキュリティ対策用のものもあります。
無料でも機能が高いものがあるため、おすすめです。
特におすすめなセキュリティ対策用のプラグインは後ほどご紹介します。
外部から重要な設定ファイルにアクセスできないようにする
WordPressは先述のとおり、管理画面などの重要なデータに外部から侵入できてしまいことにもセキュリティの脆弱さの原因があります。
そのため、このようなデータやファイルには外部からアクセスできないようにすることが望ましいです。
その方法としては、FTPソフトで設定できる「ファイルの属性(パーミッション)」を400にすることが有効です。
その他には、wp-config.phpと同じディレクトリにある「.htaccess」というファイルへ「order allow,deny deny from all」という文字列を追記することをおすすめします。
WordPressのセキュリティを強化するのにおすすめのプラグイン
今回ご紹介する、WordPressのセキュリティを強化するのにおすすめのプラグインは、次の5つです。
- Solid Security
- SiteGuard WP Plugin
- All-In-One Security (AIOS)
- Google Authenticator
- Akismet
では、それぞれについて解説します。
Solid Security
Solid Securityは、WordPressに対して様々なセキュリティ対策を施せるプラグインです。
管理画面が見やすく、直感的に操作しやすいことが魅力。
Solid Securityの主な機能は、下記のとおりです。
- セキュリティチェック
- 404の検出
- 退席中モードの設定
- 禁止ユーザーをブロック
- データベースのバックアップ
- ファイル変更の検出
- ローカルのブルートフォース保護
- SSLの設定
- 強力なパスワードの設定
SiteGuard WP Plugin
SiteGuard WP Pluginは、WordPressの管理画面とログインページ保護に特化しているプラグインです。
日本語対応しているため、日本人でも使いやすいです。
SiteGuard WP Pluginを使うことで、常にWordPressを最新の状態にし、ログインページを保護できます。
SiteGuard WP Pluginの具体的な機能は、次のとおりです。
- WordPress管理画面のログインページURLの変更
- ログイン情報の入力に画像認証の追加
- WordPress本体やプラグインのアップデート情報をメールに配信
SiteGuard WP Pluginのの使い方は、まず「SiteGuard」メニューをクリックして、ダッシュボードを表示させます。
そうすると設定状況が表示されるため、どのようなセキュリティ対策をしているのかが一目でわかります。
All-In-One Security (AIOS)
All-In-One Security (AIOS)は、下記のことができるプラグインです。
- WordPress管理画面ログインページURLの変更
- ブログ記事のコメントへの簡単な計算をさせるフォームの追加によるスパムメールの防止
All In One WP Security & Firewallの使い方ですが、インストールしたら管理画面左側メニューから「WP Secutiry」をクリックしましょう。
そして、その中にある「User Login」をクリックします。
そうしたら、上2つのチェックボックスにチェックを入れて、画面下にある「Save Settings」ボタンをクリックしましょう。
User Loginでは、パスワードを数回間違えたときに、一定時間ログインページにアクセスできなくなるようにする設定をします。
チェックボックスの数字は、上から順に「ログイン試行回数」「ログインできる時間(分)」「ロックがかかる制限時間(分)」です。
また、海外からのWordPress管理画面へのアクセスの遮断もできます。
その設定方法ですが、まずWP Securityメニューから「Brute Force」クリックします。
そうしたら「Enable Rename Login Page Feature:」にチェックを入れ、「Enable Rename Login Page Feature:」の入力欄に任意の文字列を半角英数字で入力し「Save Settings」ボタンをクリックしましょう。
Google Authenticator
Google Authenticatorは、不正アクセス防止を強化したいという場合ににおすすめのプラグインで、二段階認証を導入できる点が魅力です。
二段階認証とは、ID・パスワードの他に、セキュリティコードを追加するシステムのことです。
二段階認証を導入しておくことで、もしログインIDやパスワードが漏れてしまっても、サイトへの不正アクセスを防げます。
Akismet
Akismetは、スパムコメントをフィルタリングしてくれるプラグインです。
すべて自動化されているため、ご自身でコメント内容を確認する必要はありません。
もしも不正アクセス被害にあったら
ここでは、もし不正アクセスの被害にあった際の対応について解説します。
ネットワークから端末を遮断する
不正アクセスされた場合は、ネットワークを通じて被害が拡大する恐れがあるため、被害発生が疑われる端末をネットワークから遮断しましょう。
LANの場合はLANケーブルを抜く、Wi-Fiの場合はWi-Fiを無効にするなどして、被害がさらに拡大することを予防します。
パスワードを変更する
一度不正アクセスされたパスワードは、再度不正アクセスを受ける可能性が高いです。
不正アクセスを受けた場合は、すぐに、英数字や記号などを利用した推測されにくいパスワードに再度設定しましょう。
WordPress以外のサイト構築方法
本記事では、WordPressで構築したサイトのセキュリティ対策に関して説明をしてきましたが、最後にWordPress以外のサイト構築方法についてもご紹介します。
これから新たにWebサイトを構築する際、セキュリティを最重要視する場合は、WordPress以外のサイト構築方法も選択肢の一つとして検討するのもよいかもしれません。
ホームページ制作会社に依頼する
ホームページ作成にかかる費用は、WordPressで運用するよりも大きくなってしまいますが、ホームページ制作会社に依頼するという方法もあります。
WordPressは非常に人気なCMSであるため、不正アクセスなどの被害に受けやすいというデメリットがあります。
その点、ホームページ制作会社であれば、一からコードを書いてホームページを作成します。セキュリティ対策も万全に行なってもらえるため、安心して運営をまかせることができるでしょう。
WordPress以外の有料のCMSを利用する
セキュリティを重要視するなら、有料のCMSを使用するという選択もあります。
有料のCMSであれば、ホームページ制作会社よりも比較的費用をかけずにすみます。WordPressのように自らプラグイン等でカスタマイズしなくても、制作会社によってセキュリティ対策がとられているため安全です。
ホームページに機能性を求めないのならHTLMだけでもOK
「自社の信用のために一応ホームページが欲しい」など、ユーザー情報をサイト内で扱わず、予約等のサイト内機能がいらない場合は、HTMLだけのシンプルなサイトでもい。いでしょう。
このようなサイトの場合は、WordPressにこだわる必要はありませんし、ホームページ制作会社に依頼する場合でも、シンプルな構成、デザインのため制作費用もあまりかからずに依頼できるでしょう。
手放しで安心安全にサイト運用・管理するなら、SPIRALマネージドクラウド
当社のご提供する 「SPIRALマネージドクラウド」は、最高水準のセキュリティを誇るCMSホスティングサービスと、セキュリティのプロフェッショナルによる脆弱性診断・アップデート対応などの保守運用サービスの両方を提供し、手放し運用を実現するフルマネージドサービスです。
Webサイトの運用に必要な対策をオールインワンでご提供。サーバーの各種設定や、パッチインストール作業、不正アクセス調査など、脆弱性対応から万が一のトラブル解決まで、豊富な経験を持つ専任のエンジニアが運用業務を全て代行します。
ローコード開発プラットフォーム スパイラル®と連携するプラグインを用意。官公庁、金融機関も採用する信頼のデータベースで、機密性の高い情報も安心して管理いただけます。個人情報などデータの登録、変更フォームはスパイラル®でセキュアに簡単導入可能。ログイン認証関連の機能も標準装備しており、サイト構築の工期を大幅に短縮できます。
セキュリティ設定チェックシートの用意や安全なWordPressプラグインの管理表など、豊富な運用実績によるノウハウでハイレベルなセキュリティ要求にも対応します。
また、メガバンクを始め100以上の金融機関に導入されている個人情報運用に最適なセキュリティを備えています。総務省のセキュリティ対策にも準拠。また、第三者機関のセキュリティ診断でも高いセキュリティを評価されています。様々な業界・用途・シーンで延べ11,000以上のご利用実績がございます。
サービスの詳細については「SPIRALマネージドクラウド」のページをご覧いただくか、サービス導入をご検討中の方はこちらからぜひお問い合わせください。
まとめ
WordPressはセキュリティが脆弱なため、対策を講じる必要があります。しかし、その対策はプラグインによって簡単かつ無料で可能です。WordPressが悪用されたときのダメージは非常に大きいため、面倒くさがらずに対策しておきましょう。
