月額定額制(サブスク)ホームページ制作 | ビズサイ
お役立ちコラム

WordPressのセキュリティ対策法【プラグイン・サービスサイトも紹介】

  
セキュリティー対策法

W3Techsの調査によると、2022年3月時点でWordPressはWebサイトのシェアの約43%を占めています。
多くの企業・団体・個人がWordPressを使ってWebサイトを立ち上げています。

近年、WordPressに対する攻撃が急増しており、しっかりとしたセキュリティの管理をしなければなりません。

『WordPressのセキュリティはどうすればいいの?』
『セキュリティを強化するプラグインは?』
『WordPressはどうしてセキュリティが弱いの?』

今回のコラム記事では、上記のような質問に答えます。
WordPressがセキュリティに弱い理由を明らかにし、基本的なセキュリティ対策を解説します。

また、基本的なセキュリティ対策にくわえて、セキュリティプラグインやセキュリティチェック・診断サービスも紹介します。

このコラム記事を読んで、WordPressのセキュリティ向上に取り組みましょう。

WordPressのセキュリティが弱い理由

WordPressへの攻撃にはいろいろな事例があり、近年でも不正改ざんや乗っ取り、踏み台といった被害が報告されています。
WordPressがセキュリティに弱い理由は以下のとおりです。

  • 利用するユーザーの多いメジャーなCMSだから
  • 使いやすいため初心者ユーザーが多い
  • オープンソースなので、セキュリティホールが発見されやすい

利用するユーザーに初心者が多いと、セキュリティ対策が甘くなります。
くわえて、オープンソースはソースコードが公開されているため、脆弱性も発見されやすいのです。

セキュリティが弱い印象のWordPressですが、しっかり対策すれば決して弱くはありません。

WordPressへのハッキング事例

WordPressのハッキング事例について紹介します。

攻撃の手段はさまざまです。
「ゼロデイ攻撃」「ブルートフォースアタック」「辞書攻撃」などのほかに、古いWordPressやプラグインの脆弱性を突いた攻撃手法もあります。

ここで紹介するのは、その一部の事例です。

【事例①】サイトを踏み台にメール送信

サーバーやWebサイト、パソコンが踏み台にされることがあります。
踏み台とは、サーバーやWebサイト、パソコンを乗っ取って攻撃の中継地点として利用することです。

WordPressで作られたWebサイトも例外ではありません。
不正なプラグインが仕込まれたり、問い合わせフォームの脆弱性を利用されたりして踏み台にされます。

踏み台にされると、自分のWebサイト経由で知らない人に大量のメールが送信されることもあります。

自身のWebサイトだけでなく、ほかのWebサイトやユーザーにまで被害が広がります。

【事例②】スパムサイトへのリダイレクト

スパムサイトへのリダイレクトは、Webサイトに不正なスクリプトを仕込むことで行われます。
自分のWebサイトからまったく知らないURLにリダイレクトし、その後、次々といろいろなスパムサイトへリダイレクトを繰り返します。

Webサイトを訪れたユーザーが被害に遭うため、Webサイトの管理者は一刻も早く対策しなければなりません。

対策としては「スクリプトの除去」「ログインユーザー名、パスワードの強化」などが考えられます。

仕込まれたスクリプトの書き換えには「Search Regex」や「Better Search Replace」といった一括置き換えのプラグインを活用しましょう。

【事例③】不正なページ改ざん

WordPressへの攻撃では、不正なページの改ざんが多いです。
不正なページの改ざんは、管理者アカウントをハッキングしたり、プラグインにバックドアを仕込んだりして行われます。

不正なページの改ざんでは、データベースやファイルを勝手に置き換えられ、Webサイトが意図しないページに書き換えられます。

「リダイレクトスクリプトを仕込まれる」「特定サイトへの誘導リンクが貼られる」といった被害が発生することもあります。

ログインユーザー名・パスワードの強化やWordPressの更新、ブルートフォース攻撃対策といった対策が必要です。

WordPressのセキュリティ対策

毎月、世界中のWebサイトの1~5%が不正改ざんや乗っ取りの被害を受けているといわれています。
こういった被害の大半は、古いバージョンのWordPress運用や脆弱性のあるプラグインの導入が原因です。

基本的なセキュリティ対策だけでも、WordPressのセキュリティは格段に向上します。

WordPressのセキュリティ対策を6つ解説します。

  • ログインユーザー名・パスワードの強化
  • WordPress・プラグイン・テーマのアップデート
  • 利用してないプラグイン・テーマのアンインストール
  • セキュリティプラグインの利用
  • パーミッションを適切に設定
  • レンタルサーバーのセキュリティ機能の活用

ログインユーザー名・パスワードの強化

もっとも基本的なセキュリティ対策が、ログインユーザー名とパスワードの強化です。

ユーザー名とニックネームを同じにしている人がいます。
ニックネームとは「この記事を書いた人」としてWebサイトに表示される名前です。

ユーザー名とニックネームが一緒だと、ログインユーザー名が外部からわかってしまうことになり脆弱性が増します。

ユーザー名とニックネームは別にしましょう。
ニックネームの変更は以下の手順で行ってください。

ニックネームの変更

WordPressの管理画面から「ユーザー」→「ユーザー一覧」を開き、該当するユーザーの「編集」をクリックします。

ニックネームの編集

「名前」の欄で「ニックネーム」を入力し「ブログ上の表示名」をニックネームに変更しましょう。

パスワードの変更

なお、同じ画面でパスワードも設定できます。
「アカウント管理」の欄で「新しいパスワードを設定」をクリックすると、自動生成されたパスワードが表示されます。

パスワードはコピーして保存しておきましょう。

最後に、最下部の「変更を保存」をクリックして完了です。

WordPress・プラグイン・テーマのアップデート

WordPress本体やプラグイン、テーマは脆弱性を修正するために更新されます。
古いバージョンのWordPressほど脆弱性が修正されておらず、攻撃されやすいです。

WordPressやプラグイン、テーマの更新通知がきたら小まめに更新しましょう。

プラグインが多い場合、自動更新を有効にすると手間が省けます。

プラグインの更新

自動更新にする方法は、WordPressの管理画面から「プラグイン」→「インストール済みプラグイン」を開き「自動更新を有効化」をクリックするだけです。

関連記事

WordPressを安全に更新する方法は、以下のコラム記事をご覧ください。

WordPressの安全な更新手順【更新できない原因と対処法】

利用してないプラグイン・テーマのアンインストール

利用していないプラグインやテーマは、アンインストールしましょう。

使っていないプラグインやテーマも攻撃対象となりますし、更新するのにも手間がかかります。
プラグインやテーマに対して「無効化してから1週間使わないならアンインストール」とルールを決めておくのがおすすめです。

プラグインをアンインストールする手順は以下になります。

プラグインのアンインストール

WordPressの管理画面から「プラグイン」→「インストール済みプラグイン」をクリックします。
次に、アンインストールしたいプラグインにある「削除」をクリックします。

プラグインの削除

本当にプラグインを削除するか聞かれるので「OK」をクリックすれば、アンインストールは完了となります。

一方、テーマをアンインストールする手順は以下になります。

テーマのアンインストール

WordPressの管理画面から「外観」→「テーマ」をクリックします。
次に、アンインストールしたいテーマから「テーマの詳細」をクリックします。

テーマ詳細

「テーマの詳細」をクリックしたら、画面の右下にある「削除」をクリックします。

テーマの削除

本当にテーマを削除するか聞かれるので「OK」をクリックすれば、アンインストールは完了となります。

セキュリティプラグインの利用

WordPressには、セキュリティを強化するプラグインがいくつもリリースされています。
これらのプラグインを活用して、セキュリティを強化しましょう。

国産のセキュリティプラグインも存在し、導入から設定画面まですべて日本語で扱えます。

セキュリティプラグインは主に、以下のような機能を備えています。

  • 管理ページへのアクセス制限
  • ログインページのURL変更
  • ログイン失敗を繰り返す接続元のログインロック
  • WordPressの更新通知

セキュリティプラグインは後述しますので、自身にあったプラグインを導入しましょう。

パーミッションを適切に設定

パーミッションとは、ファイルやフォルダにアクセスする権限のことです。

所有者(Owner)、所有者のグループ(Group)、そのほかのユーザー(Other)に対し、それぞれ「書き込み」「読み込み」「実行」の権限を与えるかどうか設定できます。
設定は「755」といった数字が用いられ、数字の順に「所有者」「グループ」「その他ユーザー」の権限を表しています。

.htaccessが「606」、wp-config.phpが「600」、そのほかのファイルは「604」、ディレクトリは「705」といったバーミッションの設定が推奨されています。

ただし、上記のパーミッション設定だと不都合が生じることもあります。
「themes」「uploads」のディレクトリは「707」にするなど、柔軟に対応しましょう。

パーミッションの設定変更は、FTPソフトを活用しましょう。

レンタルサーバーのセキュリティ機能の活用

レンタルサーバーには、さまざまなセキュリティ機能が備わっています。
SSLやファイアウォール、WAF、Web改ざん検知などです。

また、バックアップ機能が搭載されているレンタルサーバーも多く、もし攻撃されても速やかに復旧できます。

レンタルサーバーを選ぶ際には、セキュリティ機能が充実しているかどうかも検討しましょう。

WordPressのセキュリティに役立つプラグイン

セキュリティをさらに強化するには、プラグインの導入がおすすめです。

「設定画面が日本語かどうか」「どんな機能が搭載されているか」「プラグイン自身の信頼性があるか」などのポイントをチェックしてプラグインを選びましょう。

以下では、セキュリティプラグインの特徴や機能を解説します。

SiteGuard WP Plugin

SiteGuard WP Plugin

出典:SiteGuard WP Plugin

SiteGuard WP Pluginは、完全国産プラグインで設定画面がすべて日本語です。
人気が高く、多くのユーザーがSiteGuard WP Pluginを利用しています。

SiteGuard WP Pluginは、ブルートフォース攻撃対策に特化したプラグインで「管理画面へのアクセス制限」「ログインURL変更」「ログインする際の画像認証」「ログインロック」といった機能を備えています。

そのほかにも、SiteGuard WP Pluginには「ログインアラート」「ピンバックの無効化」「更新の通知」といった機能も搭載されています。

関連記事

SiteGuard WP Pluginの使い方は、以下のコラム記事で解説中です。

SiteGuard WP Pluginの設定方法【ログインできない場合の対処法も】

Google Authenticator

Google Authenticator

出典:Google Authenticator

Google Authenticatorは、2段階認証をWordPressに追加するプラグインです。

もともとはGoogleが開発した認証システムで、通常のユーザー名とパスワードの認証にくわえ、セキュリティコードによる認証を行います。
仮にWordPressのユーザー名とパスワードが流出しても、Google Authenticatorを利用していれば安全です。

Google Authenticatorのセキュリティコードは、スマートフォンアプリで通知されます。
そのため、Google AuthenticatorをWordPressに導入したあと、スマートフォンアプリをインストールする必要があります。

関連記事

以下のコラム記事では、セキュリティプラグインをくわしく紹介しています。

WordPressにおすすめのセキュリティプラグイン6選【初心者向け】

WordPressのセキュリティチェック・診断サービス

WordPressのセキュリティチェックや診断サービスを紹介します。

  • WP SEC
  • WPdoctor
  • Sitecheck
  • KYUBI

WP SEC

WP SEC

出典:WP SEC

WP SECは、オンライン上でWordPressの脆弱性をスキャンしてくれるサービスです。
操作はWP SECでWebサイトのURLを入力するだけです。

WordPressのバージョンやリスク要因をスキャンで分析してくれます。
手軽でかんたんに実施できるので、すぐにでも試しておきましょう。

WPdoctor

WPdoctor

出典:WPdoctor

WPdoctor(ワードプレス・ドクター)の「WordPress(ワードプレス)脆弱性診断 セキュリティースキャナ」は、セキュリティチェックの対象となるWebサイトのURLをフォームに入力するだけで診断してくれるサービスです。

ただし、免責事項に書いてあるとおり、結果の正確性について保証されていません。
WP SECと違い、日本語で表示されるのが嬉しいポイントです。

Sitecheck

Sitecheck

出典:Sitecheck

Sitecheckは、フォームにURLを入力すると、数十秒でWebサイトをスキャンしてくれるSucuriが提供するサービスです。
セキュリティリスクが「Minimal」「Low」「Medium」「High」「Critical」で表示される、とてもわかりやすいユーザーインターフェースをもったセキュリティチェックです。

セキュリティ企業であるSucuriが作っている診断サービスですので、信頼性は高いでしょう。

KYUBI

KYUBI

出典:KYUBI

KYUBIは、メールアドレスや名前を登録することで毎月WordPressのセキュリティチェックを行えます。
WordPressの本体やプラグイン、テーマに脆弱性がないかどうか診断可能です。

無料プランでは毎月1回の診断ですが、有料プランに変更すると「Proプラン」で月5回「Adminプラン」で無制限に変更できます。

まとめ

WordPressのセキュリティ対策を解説しました。

多くのユーザーがWordPressを利用しており、初心者やセキュリティ意識の高くない人も多いです。
そのため、WordPressは攻撃されやすくセキュリティに弱い印象があります。

WordPressを安全に運用するためには、以下のことに気を付けましょう。

  • ユーザー名やパスワードの強化
  • WordPress本体やプラグイン、テーマのアップデート
  • 利用していないプラグインやテーマのアンインストール
  • セキュリティプラグインの利用
  • パーミッションを適切に設定
  • レンタルサーバーのセキュリティ機能の活用

基本的な対策に気を付けるとともに、セキュリティプラグインを導入して安全にWordPressを運用してください。

WordPressに関する記事

まずは無料でご相談ください。

※年末年始・土日祝は休業日となります
※受付時間 9:00~17:30
※担当者:佐藤 順規