SPIRALマネージドクラウドの記事
ARTICLEWordPressのセキュリティ強化と事例について解説
WordPressはセキュリティが脆弱なため、強化するための対策を講じなければなりません。この記事では、WordPressの脆弱性、実際の被害事例、セキュリティの診断方法および強化方法、おすすめのプラグインについて解説します。
目次
WordPressのセキュリティが脆弱な理由
WordPressのセキュリティが脆弱な理由は、下記の3点です。
- 利用者が多いため狙われやすい
- ユーザーのセキュリティ意識が低い
- 管理画面がインターネット上に存在している
では、それぞれについて解説します。
利用者が多いため狙われやすい
WordPressは利用者が多いことが理由で、ハッカーから狙われやすくなっています。
なぜなら、利用者の多いシステムを狙った方が効率が良いためです。
WordPressのシェア率は、世界で公開されているサイトのうち、約50%と言われています。
膨大な数のサイトがWordPressによって作成されているため、狙われやすくなるのは必然です。
ユーザーのセキュリティ意識が低い
WordPressのユーザーは、全体的にセキュリティ意識が低いです。
なぜなら、WordPressは利用のハードルが低いため、あまりセキュリティリスクを認識していないケースが多いからです。
実際に日本の家庭では、約20%の世帯がセキュリティリスクを感じていないと言われています。
そのことが原因で、ハッカーにとって格好の攻撃の的となってしまうのです。
管理画面がインターネット上に存在している
管理画面は、Webサイトの最も重要な部分です。
しかしWordPressの管理画面である「ダッシュボード」は、インターネット上に存在しています。
そのため、ログインIDやパスワードを盗めれば外部からもログインできてしまい、個人情報などの入手やコンテンツの改ざんなどもできてしまいます。
WordPressが受ける被害の事例
WordPressが受ける被害の事例で特に多いのが、下記の3つです。
- 詐欺サイトに自動転送される
- 大量のメールが勝手に送信される
- コンテンツが改ざんされる
では、それぞれについて解説します。
詐欺サイトに自動転送される
WordPressは、サイバー攻撃によって詐欺サイトへの自動転送プログラムが組み込まれてしまう恐れがあります。
このような攻撃は、2019年春頃から特定のプラグインに対しておこなわれ始めました。
このケースで狙われたプラグインは「Yuzo Related Posts」という、ログページの下に関連記事を表示させる機能を持つものです。
大量のメールが勝手に送信される
WordPressはセキュリティが脆弱だと、メール送信プログラムが埋め込まれるというサイバー攻撃を受けてしまうことがあります。
これにより、不特定多数のメールアドレスに宛に、勝手に大量のメールが送信されてしまうのです。
このような攻撃は問い合わせフォームなどのプラグインだけではなく、WordPressのコメントフォームに対しておこなわれることがあります。
コンテンツが改ざんされる
コンテンツの改ざんも、WordPressに対する攻撃として多く見られます。
コンテンツの改善がおこなわれると、改ざんされた記事を1つ1つ確認して修正したり、不正に設置されたファイルを調査して削除したりするなど膨大な作業が発生してしまいます。
数年前にはWordPressで記事の書き換えが行えてしまう脆弱性があり、約150万のサイトが改ざん被害に遭いました。
過去にはWordPressに対する「攻撃キャンペーン」がおこなわれ、その際はWordPressの脆弱性を悪用するためのコードがインターネット上に公開されました。
このときは、結果として155万以上のサイトが被害に遭っています。
WordPressのセキュリティをチェックする方法
WordPressのセキュリティをチェックする方法は、次の3つです。
- WPScans.comを使う
- WPdoctorを使う
- Wordfence Securityを使う
では、それぞれについて解説します。
WPScans.comを使う
WPScans.comは、WordPressのセキュリティ状態を診断してくれるサービスのひとつです。
使い方は簡単で、「Your WordPress URL」にURLを入力し、下のチェックボックスにチェックを入れて「START SCAN」ボタンをクリックするだけです。
もし「Your WordPress website is safe !」と表示されたら、セキュリティ的には問題ありません。
ここまでは無料でできますが、有料プランに加入することによって、より詳細なレポートを受け取れます。
WPdoctorを使う
WPdoctorは、WPScan.comよりも無料でかなり詳しくWordPressのセキュリティ状況を診断してくれます。
使い方はWPdoctorページを開いて、下の方にあるフォームに診断したいURLを入力し、「サイトを検索」をクリックします。
そうするとレポートが表示されるのですが、緊急対応を要する項目と、注意が必要な項目が表示されます。
これらに1つ1つ対応していくことで、より高度なセキュリティ対策が可能です。
また他にも、使用しているWordPressのバージョンやテーマ、導入されているプラグインなどのバージョン情報も表示されます。
Wordfence Securityを使う
Wordfence Securityは、WordPressの総合的なセキュリティ対策が可能なプラグインです。
インストール後、ScanボタンをクリックすることでWordPressのセキュリティの脆弱性の有無をチェックできます。
無料でも使えますが、有料版にすることでよりセキュリティ対策機能が向上します。
難しい設定も必要ないため、初心者の方でも安心して利用可能です。
WordPressのセキュリティを強化する方法
WordPressのセキュリティを強化する方法は、次の6つです。
- ユーザー名やパスワードを複雑にする
- プラグインやテーマを常に最新の状態にする
- 不要なテーマやプラグインは削除する
- レンタルサーバーのセキュリティ対策機能を使う
- セキュリティ対策用のプラグインを導入する
- 外部から重要な設定ファイルにアクセスできないようにする
では、それぞれについて解説します。
ユーザー名やパスワードを複雑にする
WordPress管理画面のユーザー名やパスワードは、可能な限り複雑にしましょう、
よく面倒くさがってユーザー名とニックネームを同じにしてしまったり、パスワードを誕生日などわかりやすいものにしてしまったりするケースがありますが、このような場合簡単に情報が盗まれて不正ログインを許してしまいます。
ユーザー名とパスワードの変更は、下記のとおりのステップでおこなえます。
- WordPressの管理画面で「ユーザー」メニューから「ユーザー一覧」をクリックする
- ユーザー名にマウスを当てて「編集」をクリックする
- パスワードはユーザー名と異なるものを設定し、画面下部にある「プロフィールを更新」ボタンをクリックする
- 「ブログ上の表示名」からプルダウンで設定したユーザー名を選び、「プロフィール更新ボタン」をクリックする
よりWordPressのセキュリティを高めるためには、定期的にパスワードを変更することが好ましいです。
また、複雑なパスワードを自動生成してくれるツールの活用も有効でしょう。
プラグインやテーマを常に最新の状態にする
WordPressのプラグインやテーマは定期的にアップデートし、最新の状態を保ちましょう。
なぜなら、WordPressのプラグインやテーマは古くなるにつれてセキュリティの脆弱性が増していくためです。
しかしアップデートをし、最新の状態にすることで、セキュリティリスクは軽減されます。
プラグインやテーマの更新情報は管理画面に表示されるため、こまめにチェックし、アップデートをしましょう。
一応WordPressにはプラグインやテーマを自動更新してくれる機能がついていますが、全てが漏れなく更新されるわけではないため、過信は禁物です。
不要なテーマやプラグインは削除する
使っていないテーマやプラグインは、こまめに削除しましょう。
なぜなら、使用していないテーマやプラグインも攻撃に利用されてしまう恐れがあるためです。
これは無効化していても変わりませんので、削除が必要です。
使用していないテーマやプラグインの削除は、WordPressの管理画面からおこなえます。
レンタルサーバーのセキュリティ対策機能を使う
利用しているレンタルサーバーによっては、WordPressのセキュリティ対策機能を提供しています。
無料でセキュリティ対策機能が用意されていることもあるため、コスト面での心配も必要ありません。
実際にどのようなセキュリティ機能を用意しているかは、各レンタルサーバー業者が公開しています。
セキュリティ対策用のプラグインを導入する
WordPressのプラグインには、セキュリティ対策用のものもあります。
無料でも機能が高いものがあるため、おすすめです。
特におすすめなセキュリティ対策用のプラグインは後ほどご紹介します。
外部から重要な設定ファイルにアクセスできないようにする
WordPressは先述のとおり、管理画面などの重要なデータに外部から侵入できてしまいことにもセキュリティの脆弱さの原因があります。
そのため、このようなデータやファイルには外部からアクセスできないようにすることが望ましいです。
その方法としては、FTPソフトで設定できる「ファイルの属性(パーミッション)」を400にすることが有効です。
その他には、wp-config.phpと同じディレクトリにある「.htaccess」というファイルへ「order allow,deny deny from all」という文字列を追記することをおすすめします。
WordPressのセキュリティを強化するのにおすすめのプラグイン
今回ご紹介する、WordPressのセキュリティを強化するのにおすすめのプラグインは、次の5つです。
- SiteGuard WP Plugin
- All In One WP Security & Firewall
- iThemes Security
- Google Authenticator
- Akismet
では、それぞれについて解説します。
SiteGuard WP Plugin
SiteGuard WP Pluginは、WordPressの管理画面とログインページ保護に特化しているプラグインです。
日本語対応しているため、日本人でも使いやすいです。
SiteGuard WP Pluginを使うことで、常にWordPressを最新の状態にし、ログインページを保護できます。
SiteGuard WP Pluginの具体的な機能は、次のとおりです。
- WordPress管理画面のログインページURLの変更
- ログイン情報の入力に画像認証の追加
- WordPress本体やプラグインのアップデート情報をメールに配信
SiteGuard WP Pluginのの使い方は、まず「SiteGuard」メニューをクリックして、ダッシュボードを表示させます。
そうすると設定状況が表示されるため、どのようなセキュリティ対策をしているのかが一目でわかります。
All In One WP Security & Firewall
All In One WP Security & Firewallは、下記のことができるプラグインです。
- WordPress管理画面ログインページURLの変更
- ブログ記事のコメントへの簡単な計算をさせるフォームの追加によるスパムメールの防止
All In One WP Security & Firewallの使い方ですが、インストールしたら管理画面左側メニューから「WP Secutiry」をクリックしましょう。
そして、その中にある「User Login」をクリックします。
そうしたら、上2つのチェックボックスにチェックを入れて、画面下にある「Save Settings」ボタンをクリックしましょう。
User Loginでは、パスワードを数回間違えたときに、一定時間ログインページにアクセスできなくなるようにする設定をします。
チェックボックスの数字は、上から順に「ログイン試行回数」「ログインできる時間(分)」「ロックがかかる制限時間(分)」です。
また、海外からのWordPress管理画面へのアクセスの遮断もできます。
その設定方法ですが、まずWP Securityメニューから「Brute Force」クリックします。
そうしたら「Enable Rename Login Page Feature:」にチェックを入れ、「Enable Rename Login Page Feature:」の入力欄に任意の文字列を半角英数字で入力し「Save Settings」ボタンをクリックしましょう。
iThemes Security
iThemes Securityは、WordPressに対して様々なセキュリティ対策を施せるプラグインです。
管理画面が見やすく、直感的に操作しやすいことが魅力。
Themes Securityの主な機能は、下記のとおりです。
- セキュリティチェック
- 404の検出
- 退席中モードの設定
- 禁止ユーザーをブロック
- データベースのバックアップ
- ファイル変更の検出
- ローカルのブルートフォース保護
- SSLの設定
- 強力なパスワードの設定
Google Authenticator
Google Authenticatorは、不正アクセス防止を強化したいという場合ににおすすめのプラグインで、二段階認証を導入できる点が魅力です。
二段階認証とは、ID・パスワードの他に、セキュリティコードを追加するシステムのことです。
二段階認証を導入しておくことで、もしログインIDやパスワードが漏れてしまっても、サイトへの不正アクセスを防げます。
Akismet
Akismetは、スパムコメントをフィルタリングしてくれるプラグインです。
すべて自動化されているため、ご自身でコメント内容を確認する必要はありません。
手放しで安心安全にサイト運用・管理するなら、SPIRALマネージドクラウド
当社のご提供する 「SPIRALマネージドクラウド」は、最高水準のセキュリティを誇るCMSホスティングサービスと、セキュリティのプロフェッショナルによる脆弱性診断・アップデート対応などの保守運用サービスの両方を提供し、手放し運用を実現するフルマネージドサービスです。
Webサイトの運用に必要な対策をオールインワンでご提供。サーバーの各種設定や、パッチインストール作業、不正アクセス調査など、脆弱性対応から万が一のトラブル解決まで、豊富な経験を持つ専任のエンジニアが運用業務を全て代行します。
ローコード開発プラットフォーム スパイラル®と連携するプラグインを用意。官公庁、金融機関も採用する信頼のデータベースで、機密性の高い情報も安心して管理いただけます。個人情報などデータの登録、変更フォームはスパイラル®でセキュアに簡単導入可能。ログイン認証関連の機能も標準装備しており、サイト構築の工期を大幅に短縮できます。
セキュリティ設定チェックシートの用意や安全なWordPressプラグインの管理表など、豊富な運用実績によるノウハウでハイレベルなセキュリティ要求にも対応します。
また、メガバンクを始め100以上の金融機関に導入されている個人情報運用に最適なセキュリティを備えています。総務省のセキュリティ対策にも準拠。また、第三者機関のセキュリティ診断でも高いセキュリティを評価されています。様々な業界・用途・シーンで延べ11,000以上のご利用実績がございます。
サービスの詳細については「SPIRALマネージドクラウド」のページをご覧いただくか、サービス導入をご検討中の方はこちらからぜひお問い合わせください。
まとめ
WordPressはセキュリティが脆弱なため、対策を講じる必要があります。しかし、その対策はプラグインによって簡単かつ無料で可能です。WordPressが悪用されたときのダメージは非常に大きいため、面倒くさがらずに対策しておきましょう。