会員管理WordPressプラグインの記事
ARTICLEWordPressのセキュリティは安全?仕組みや対策方法を解説
WordPressはプログラミングの知識がない人でもWebサイトを作成・更新できるツールです。WordPressは利用者が多い分、脆弱性も指摘されています。WordPressのセキュリティ性を高める4つの対策方法を解説します。
目次
WordPressとは?仕組みは?
WordPressとは2003年にリリースされた、Webサイトを構築するためのオープンソースのCMS(コンテンツ管理システム)です。
CMSにはさまざまな種類がありますが、WordPressは最もシェア率の高いCMSであり、世界中の多くのWebサイトがWordPressを使って作られています。
ここではWordPressとは何か、特徴や仕組みについて見ていきましょう。
利用者が多くネット上に情報が多いCMS
WordPressは最も利用者の多いCMSです。実際に全世界にあるWebサイトの3分の1がWordPressで構築されていて、日本国内では500万人以上の利用者がいます。(参考:https://webst8.com/blog/wordpress-cms-share/)
利用者が多いだけあって、WordPressについてインターネットで検索すると大量の情報がヒットします。
そのためWordPressを使っていてわからないことや困ったことがあっても、ネットで検索すればかんたんに解決策を探せるようになっています。
知識がない人でもWebサイトを作成・更新できる
Webサイトを構築するために高度なプログラミング知識が必要なのでは、と不安に思う人もいるでしょう。しかしWordPressはプログラミングの知識がない人でも問題なく操作でき、比較的容易にWebサイトを構築できます。
ページを作る際もブログを更新するようなイメージで行えるので、初心者の人からも高い支持を得ています。
プラグインで容易に機能を追加できる
WordPressには、Webサイトを構築するために必要な機能がある程度標準装備されています。しかしより多機能・高機能なWebサイトを構築しようと思うと、標準機能だけでは物足りなくなってくるでしょう。
そこでWordPressでは「プラグイン」と呼ばれる拡張機能を55,000以上も提供しています。
プラグインを使うことで機能性がグッと高まり、よりユーザーが使いやすいサイトを構築できるようになります。
WordPressのセキュリティは安全なのか?
WordPressは、知識の少ない初心者でも比較的容易にWebサイトを構築できるとても便利なCMSですが、セキュリティ面ではやや不安が残ります。
実際にWordPressにはさまざまな脆弱性が確認されています。
ここではなぜWordPressのセキュリティ面が不安視されるのか、その理由について詳しく解説していきます。
WordPressが狙われやすい理由
WordPressで作られているサイトは、悪意のあるハッカーから標的になりやすいです。
その理由としては、WordPressは世界の全ウェブサイトの43%のシェア率を獲得しており、攻撃者からすれば、シェア率が低いCMS(コンテンツマネジメントシステム)を利用するよりも、シェア率が高いCMSを狙う方が効率的だからです。
以下に人気のあるCMSの比較表がありますが、WordPressが圧倒的な人気があることが一目瞭然となっています。
| シェア率(%) | |
| WordPress | 43% |
| Joomla | 2.6% |
| Drupal | 1.7% |
| Squarespace | 1.5% |
| Wix | 1.3% |
WordPressのセキュリティ面が不安視される理由
オープンソースのソフトウェアであるため
WordPressはオープンソースソフトウェアであり、プログラムの内容が記述された「ソースコード」が公開されています。この公開されたソースコードは、誰でも閲覧・利用できるため、脆弱性を見つけやすい状態になっています。攻撃者は公開されたコードを解析して脆弱性を発見し、それを悪用することで攻撃を仕掛けることが可能です。
脆弱性を抱えるプラグインもあるため
WordPressは豊富なプラグインを利用できることが魅力ですが、その中にはセキュリティに脆弱性を抱えているものも少なくありません。プラグインは多くの場合、第三者が開発しており、セキュリティ対策が不十分なものも存在します。脆弱性のあるプラグインをインストールすると、サイト全体のセキュリティが脅かされるリスクが高まります。
世界中の人が利用するため
前述したとおり、WordPressは世界中で最も利用されているCMSの一つであり、非常に多くの利用者がいます。利用者が多いということは、攻撃者にとっても狙う価値が高いターゲットとなります。多くのサイトが同じプラットフォームを利用しているため、攻撃手段や脆弱性が広く共有されやすく、結果として攻撃のリスクが高まります。
セキュリティに詳しくないユーザーが多いため
WordPressは初心者でもかんたんに使えるCMSとして人気があり、多くの初心者ユーザーが利用しています。これにより、セキュリティに詳しくないユーザーが多く、適切なセキュリティ対策がとられていないサイトが増える傾向にあります。初期設定のまま使用する、プラグインやテーマを適切にバージョンアップしないなどの行動が、サイトを攻撃者の標的にしやすくしています。
実際にどんな被害があるのか?
以下にWordPressサイトの被害について解説します。
Webサイトの改ざん
Webサイトの改ざんとは、Webサイトに不正にアクセスされ、そのWebサイトのページが書き換えられてしまうことを言います。特に大企業などアクセスが集まるサイトや信頼性の高いサイトなどがその対象になる場合が多く、一度被害にあえばユーザーからの信頼を大きく損なってしまうことになります。
個人情報の流出
この個人情報の流出も不正アクセスに基づいた被害の1つで、個人情報を扱うサイトでは特に注意が必要です。
個人情報が流出する仕組みとしては、偽サイトなどに遷移させ、そこでユーザーに個人情報を入力させる方法などがあります。
検索結果に表示されなくなる
Webサイトが悪意のある第三者からの被害にあい、危険なサイトとしてGoogleに認識されてしまうと、検索結果に表示されなくなる場合があります。
サイトからの流入が主な集客手段であった場合、かなり大きな損害になりますし、一度損なってしまった信頼を取り戻すのは非常に困難です。
また、ハッキングからWebサイトを復旧させたとしても、SEOに影響がでることは避けられないでしょう。
詐欺サイトへの自動転送サイトになる
不正アクセスにより、正規のWebサイトが悪意のある第三者によって詐欺サイトへの自動転送元にされるケースがあります。これにより、流入したユーザーが意図せず詐欺サイトに誘導され、個人情報や金銭に関する被害を受ける危険性があります。被害を受けたサイトは、ユーザーからの信頼を失うだけでなく、場合によっては法的な責任を問われる可能性もあります。
WordPressのセキュリティ対策方法
WordPressのセキュリティ面に不安が残ると聞くと、利用するのが怖くなってしまう人もいるでしょう。
確かに脆弱性の多いWordPressですが、しっかりセキュリティ対策をすれば安全に使えます。
ここではWordPressのセキュリティ対策について詳しく解説していきます。
セキュリティ対策プラグインの導入
WordPressのセキュリティ性を高めるためには、以下のようなセキュリティ対策用のプラグインを導入しましょう。
・総合的なセキュリティ対策ができる「All In One WP Security & Firewall」
・管理画面をしっかり守る「SiteGuard WP Plugin」
・WordPressで構築したサイトのバックアップを取得できる「Backup Guard」
・管理画面に対する海外からのアクセスをブロックする「IP Geo Block」
・悪意あるスパムコメントをフィルタリングする「Akismet」
プラグインに対する知識がない人は、ひとまず上記のプラグインを導入検討することをおすすめいたします。
ユーザー名・パスワードの強化
WordPressの管理画面にログインするためには、ユーザーIDとパスワードを入力します。WordPressに対する攻撃は、このログイン画面で多く実行されます。
ユーザーIDやパスワードが流出すると管理画面に不正ログインされてしまい、Webサイトを乗っ取られる・改ざんされるなどの危険性があります。
そのためWordPressの管理画面にログインするためのユーザーIDとパスワードは、単純なものではなく英数字を組み合わせた意味を持たないものにするなど複雑なものにしてください。
定期的なバックアップ、セキュリティチェック
WordPressのセキュリティ性を高めるために、定期的にバックアップをとりセキュリティチェックも行いましょう。
セキュリティチェックをするためには、無料のセキュリティ診断ツールを利用しましょう。
有名なセキュリティ診断ツールに「WPdoctor」があります。WPdoctorではセキュリティチェックしたいWebサイトのURLを入力すれば、詳しく診断してくれるのでおすすめです。
プログラム、プラグインの最新化
WordPressのプログラムやプラグインはバグや不具合が見つかることがあり、バグや不具合が見つかるとアップデートされます。
アップデートするかどうかは自由ですが、アップデートせずそのままにしておくと攻撃者に狙われやすくなります。
そのためプログラムやプラグインのアップデートに関する通知があったら、できるだけ早めにアップデートを行いましょう。
合わせて読みたい記事「WordPressで会員サイトを構築する時のセキュリティ対策を解説」
使わない機能は無効化する
セキュリティ対策の一環として、使わない機能やプラグインは無効化することも重要です。無効化することで、不要な脆弱性を減らし、悪意のある攻撃者が利用できる攻撃ポイントを最小限に抑えることができます。
また、機能が多ければ多いほど管理が煩雑になり、セキュリティ更新の漏れなどのリスクも増加します。シンプルで必要最低限の機能だけを有効にしておくことで、セキュリティを強化し、サイト全体の管理も容易になります。
WordPressのセキュリティプラグインの導入手順
ここでは、WordPressサイトのセキュリティ対策をする上でおすすめのプラグインとその導入手順を解説していきます。
管理画面をしっかり守る「SiteGuard WP Plugin」
「Siteguard wp plugin」とはWordPressの無料プラグインで、インストールするだけでWebサイトのセキュリティを向上させてくれます。
その具体的な内容は、WordPressのログインページのURLを毎回自動的に変更することで不正ログインや不正アクセスを防止を自動的に行ってくれます。
「Siteguard wp plugin」の導入手順
■まずはWordPressの管理画面の【プラグイン】から【新規追加】をクリックします。
■キーワードに「Siteguard wp plugin」と入力し(①)、【今すぐインストール】をクリックします。(②)
■【有効化】をクリックしてインストール完了となります。
これだけで、毎回自動的にログインページのURLを変更し、不正アクセスを防止してくれます。
悪意あるスパムコメントをフィルタリングする「Akismet」
「Akismet」は、ブログ記事になどにくるスパムコメントを自動的にスパムフォルダに移動し、自動で削除してくれる無料のプラグインです。
「Akismet」をインストールしないと、botから自動的に送られてくるスパムコメントを手動でごみ箱に入れなければならなくなってしまうため無駄な作業に時間を奪われてしまいます。
「Akismet」の導入手順
■まずはWordPressの管理画面の【プラグイン】から【新規追加】をクリックします。
■キーワードに「Akismet」と入力し(①)、【今すぐインストール】をクリックします。(②)
■【有効化】をクリックします。
■【有効化】をクリックすると、以下のが画像が表示されるので、
【Akismetアカウントを設定】をクリックします。
■一番左の【personal】の【Get Personal】をクリックします。
■まずは画面右の価格を一番左に設定します。(①)
次に上から順にメールアドレス(②)、氏名(③)、WebサイトのURL(④)、チェック欄にチェックを入れ(➄)【CONTINUE WITH PERSONAL SUBSCRIPTION】をクリックします。(⑦)
■すると、入力したメールアドレスにパスワードコードが届くのでコピーします。
■コピーしたパスワードコードを入力し(①)、【Continue】をクリックします。(②)
■すると、メールでAPIキーが送られてきますのでコピーしておきます。
■次にWordPressの管理画面【設定】から【Akismet Anti-Spam】をクリックします。
■【手動でAPIキーを入力】をクリックします。
■APIキーを入力し(①)、【APIキーを使って接続する】をクリックします。
■これで設定は完了になります。
定期的にバックアップを取得できる「BackWPup」
「BackWPup」とは、あらかじめ指定したスケジュールでWordPressのデータのバックアップをとってくれる無料のプラグインです。
このプラグインを導入しておけば、万が一Webサイトが改ざんされてしまったとしても、自動でバックアップをとってくれているので、改ざんされる前の状態に戻すことができます。
「BackWPup」の導入手順
■まずはWordPressの管理画面の【プラグイン】から【新規追加】をクリックします。
■キーワードに「BackWPup」と入力し(①)、【今すぐインストール】をクリックします。(②)
■【有効化】をクリックします。
■WordPress管理画面に【BackWPup】が追加されているので、その中の【新規ジョブを追加】をクリックします。
■【このジョブの名前】に任意のバックアップ名を入力します(①)
■【このジョブは..】にサイトの何のデータのバックアップをとるのかを選択します。(②デフォルトのままで大丈夫です)
■【アーカイブ名】にバックアップファイルのアーカイブ名を決めます。(③デフォルトのままで大丈夫です)
■【アーカイブ形式】にバックアップの保存形式を選択します。(④)
■【バックアップファイルの保存方法】にバックアップを保存先を選択します。(➄)
■【ログの送信先メールアドレス】に自分のメールアドレスを入力することで、バックアップが保存された時にログを送信してくれます。
■【変更を保存】をクリックします。(⑦)
■次に【スケジュール】のタブをクリックします。(①)
■【ジョブの開始方法】で【WordPressのcron】を選択します。(②)
■【スケジューラ―の種類】で【基本】を選択します。(③【高度】を選択することでより細かい設定を行うことができます。)
■【スケジューラ―】でバックアップのスケジュールをカスタマイズすることができます。(④)
■【変更を保存】をクリックします。(➄)
■【宛先:フォルダー】のタブをクリックします。(①)
■【バックアップを格納するフォルダー】にバックアップを保存するWordPressのフォルダを指定します。(②デフォルトのままで大丈夫です)
■【ファイルを削除】にバックアップを何件残すかを設定します。(③設定した数以上になると古いバックアップから削除されます。)
■【変更を保存】をクリックします(④)
■【DBバックアップ】はWordPressのどのテーブルをバックアップの対象にするかの設定になります。
(デフォルト設定のままで問題ありません。)
■【ファイル】はWordPressのバックアップする各フォルダーを選択することができます。
(デフォルト設定のままで問題ありません。)
■【プラグイン】はバックアップをとるプラグインの一覧のファイル名とファイルの圧縮について設定できます。(デフォルト設定のままで問題ありません。)
これで設定は完了になりますので、次の実際にバックアップをとっていきたいと思います。
■自動バックアップの設定は完了していますが、ここでは、手動でバックアップを取っていきたいと思います。
まずWordPress管理画面の【BackWPup】から【ジョブ】を選択します。
■【今すぐ実行】をクリックします。
■すると、バックアップが開始されて、このように【ジョブ完了】と表示されます。
■バックアップの確認をするためには、【BackWPup】から【バックアップ】を選択します。
■すると、これまでバックアップされたデータ一覧をみることができます。
【ダウンロード】をクリックすることで、バックアップをダウンロードすることができます。
WordPressを導入する際の手順
WordPressを導入するには、ただWordPressをインストールすればよいわけではありません。
WordPressは事前にレンタルサーバーの契約やドメインの取得を行う必要があります。
ここではWordPressの導入方法について詳しく解説していきます。
レンタルサーバーを契約する
WordPressを導入するには、まずレンタルサーバーを契約しましょう。
レンタルサーバーにはさまざまな種類があり、それぞれのレンタル会社によってプランや価格が異なります。
自分のWebサイトの規模や予算、口コミなどを参考にして最適なものを選んでください。
ドメインを取得する
次にドメインを取得しましょう。ドメインとはWebサイトの住所のようなものです。
ドメインには「.com」「.jp」「.net」「.info」などさまざまな種類があります。
そのドメインを選んでもよいですが、それぞれのドメインには特徴があります。たとえば「.com」は最も利用者が多く個人や法人の商用サイトにおすすめです。
自分のサイトの内容や目的にあったドメインを選ぶとよいでしょう。
WordPressで初期登録を行う
ドメインを取得しWordPressをインストールしたら、初期設定を行います。済ませておきたい初期設定としては
・一般設定
・投稿設定
・表示設定
・ディスカッション設定
・メディア設定
・パーマリンク設定
の6つがあります。
合わせて読みたい記事「WordPressで会員サイトを作る方法|導入メリットや作り方も」
WordPressサイトで高セキュリティな会員管理を行うならSPIRAL®
当社のご提供する 「WordPressプラグイン 会員管理」は、WordPressで作られたWebサイトと会員管理システムSPIRAL®を連携するためのWordPressプラグインです。
多くの金融機関も採用するSPIRAL®で会員情報を安全に管理。プログラミング不要で会員認証やメール配信可能なサイトを構築できます。
会員登録・ログインフォーム作成、会員データ管理などの基本機能から、会員限定ページの作成、ウィジェット表示、メール配信、問い合わせ管理、決済システムや外部システムとの連携まで、会員管理・運営に必要な機能が充実。また、金融機関・官公庁でも採用されている高いセキュリティで会員の大切なデータを管理します。
SPIRAL®はファンクラブやユーザーサポートサイト、学会・協会サイト、申請受付サイト、キャンペーン受付サイト、イベント受付管理、入居者サイトなど様々な業界・用途・シーンで延べ11,000社以上のご利用実績がございます。
サービスの詳細については「WordPressプラグイン 会員管理」のページをご覧いただくか、サービス導入をご検討中の方はこちらからぜひお問い合わせください。
まとめ
WordPressは操作がしやすく拡張性も高いため、初心者から上級者にまで利用者が多いCMSです。
そんなメリットの多いWordPressですが、人気がある故に脆弱性が多いのも事実です。具体的な攻撃事例には、Webサイトの改ざんや個人情報の流出など、場合によっては賠償責任を問われる可能性もある深刻なものも存在します。
こうした攻撃からの被害を防ぐためにもWordPressを利用する際は、自分にできるセキュリティ対策は徹底して行うことが大切です。
本記事を参考に、WordPressのセキュリティ対策について、今一度見直してみましょう。
