本記事のもくじ
WordPressのセキュリティ対策を知りたいですか?
本記事では、WordPressのセキュリティ対策を9つ紹介します。
この記事を読むと、セキュリティ対策の必要性を理解しつつ、WordPressブログ運営者がすべき具体的なセキュリティ対策を実践できます。
セキュリティ対策と聞くと、むずかしそうですよね?しかし、安心してください。本記事では、初心者でもサクッと実践できるよう、専門用語を噛み砕きつつ解説しました。
セキュリティ対策をしないと、せっかくのWordPressブログ運営の努力が「水の泡」になります。しっかりと聞き耳を立て、理解しつつ、実践してください。
WordPresのセキュリティ対策が必須な理由3つ
まずはザックリ「WordPresのセキュリティ対策が必須な理由」についてお伝えします。スッ飛ばしたい方は「WordPressのセキュリティ対策おすすめ9選」をどうぞ。
- 理由①:ユーザーが多い
- 理由②:オープンソースなCMS
- 理由③:テーマやプラグインの存在
WordPressのハッキング被害では、セキュリティシステムの脆弱性(ぜいじゃくせい)を突かれる場合が多い。
脆弱性(ぜいじゃくせい)とは、「システム構造のスキマ」です。
サイトに脆弱性があると、不正アクセスなどによる攻撃を受けやすい「穴」となります。
ソフトやアプリのバグ、互換性、更新性、不適切なコード設計などにより、セキュリティホールを突かれやすくなるので、セキュリティ対策が必要です。
理由①:ユーザーが多い
WordPressがハッカーの標的にされる1番の理由、それはシンプルに「ユーザーが多い」からです。下記のデータをご覧ください。
CMS | CMCシェア率 | CMSマーケットシェア率 |
---|---|---|
WordPress | 43.1% | 63.6% |
Shopify | 3.8% | 5.6% |
Wix | 2.4% | 3.6% |
ウェブサイトの43%以上が「WordPress」を利用してまして、そのシェアは拡大傾向です。
利用者が多い =「初心者も多い」でして、セキュリティ意識の低いユーザーやハッキング対策を軽視してるサイト運営者は、ひょんなことから、ハッキングされます。
このため、世界中で利用されてる「WordPress」にターゲットを絞り、虎視眈々と「カモ」を狙う悪い人が、世界中にたくさんいます。
理由②:オープンソースなCMS
WordPressは、ソースコードが一般公開されてる「オープンソースなCMS」です。感の鋭い方はお分かりかもですが、裏を返すと、ハッカーにも情報を与えてることを意味します。
また、シェア率の高さを起点に、初心者ユーザーの多いメジャーなWordPressを狙うことにより、コスパ良くハッキング攻撃を行えます。
たとえば「〇〇というプラグインに脆弱性を発見→そのプラグインの導入ユーザーに総攻撃」といったイメージです。
開発者だけでなく、ハッカーでさえもコードの中身を確認できる仕組みのため、システム構造の脆弱性を見つけ、セキュリティを突破する方法も模索できます。
理由③:テーマやプラグインの存在
WordPressには「テーマ」や「プラグイン」という「拡張機能」を導入することで、WordPressサイトを独自にカスタマイズできます。
こーいった拡張機能は、世界中の人が作っておりまして、便利である一方、セキュリティに問題アリな可能性もあります。たとえば、下記のとおりです。
- WordPress本体と互換性がない
- テーマやプラグインが更新されてない
- WordPressの脆弱性を突いたマルウェア感染
脆弱なプラグインと拡張機能は、古いコアCMSファイルよりもはるかに多くのWebサイトの妥協点を説明します。
- クライアントの約半分のWebサイトには、感染時に最新のCMSが含まれており、脆弱なプラグイン/テーマ/拡張機能がリスクの点で同等またはそれ以上の役割を果たすことを示唆しています。
- 最近脆弱なプラグインやその他の拡張機能を含むWebサイトは、マルウェアキャンペーンに巻き込まれる可能性が最も高いです。
- 完全に更新され、パッチが適用されたWebサイトでさえ、Webサイト要素の1つに脆弱性の開示があり、それを修正するための迅速な措置が講じられない場合、突然脆弱になる可能性があります。
つまり、脆弱なテーマやプラグインなどの拡張機能の導入が、結果的にハッキングやマルウェア感染のリスクを高めてるという事実。
WordPressにテーマやプラグインを導入する際は、必ず「セキュリティ対策」を意識しましょう。詳しくは「WordPressのセキュリティ対策おすすめ9選」にて解説します。
WordPressのセキュリティが抱えるリスク5つ
セキュリティ対策を突破されると、どのような被害を受けるのか?具体的には、下記のとおりです。
たとえば、SUCURIが公表した調査結果によると、WordPressの人気プラグイン「All in One SEO(バージョン 4.0.0 〜 4.1.5.2)」で2件の脆弱性が報告されてます。
300万件以上のウェブサイトが影響を受けるとして、一時期、とても話題になりました。(最新バージョンにアップデートすれば回避できるので、ご安心を)
脆弱性を突かれると、サイトを乗っ取られたり、個人情報を抜き取られる可能性があります。こーいったリスクを理解しつつ、セキュリティ対策の重要性を学びましょう。
その①:不正アクセス
WordPressに脆弱性があると、不正アクセスの原因になります。
- 対処法①:強力なパスワードに変更する
- 対処法②:WordPress本体をアップデートする
- 対処法③:不要なプラグインやテーマを削除する
WordPressの管理画面やデータベースに不正侵入されると、情報の改ざんや機密情報の搾取など、かなりメンドくさい。復旧不可能になる前に、しっかりとセキュリティ対策を行いましょう。
その②:コンテンツ改ざん
WordPressはオープンソースであるが故に、WordPressの内容をハッキングで改ざんできます。
数年前の事例でいうと、WordPressの書き換え可能な脆弱性が見つかり、およそ150万のサイトが改ざん被害にあいました。
ハッキングにより、コンテンツが改ざんされると、記事を一つずつ確認・修正・削除しなければならないので、膨大な作業工程が発生してしまいます。
その③:情報漏洩
WordPressに脆弱性があると、情報漏洩の原因にもなります。
- 個人情報の漏洩
- 機密情報の漏洩
- 顧客情報の漏洩
特に、EC系のWordPressサイトを運営してる場合、顧客情報に関するクレジットカード情報をスキミングされる被害がわりと報告されてます。
こーいった情報がリークすると、企業や店舗としての信頼をかなり失います。
内容や規模によっては、損害賠償を請求される可能性もあるので、セキュリティ対策の重要性が身に染みますね。
その④:スパムメール
WordPressにコメント機能やお問い合わせフォームを設置している場合、悪意あるユーザーから「スパムメール」が送られてくることもよくあります。
スパムメールに添付されたファイルや外部リンクをクリックすると、フィッシングサイトに誘導させられたり、情報を抜き取られます。
絶対に、クリックしてはいけません。
その⑤:マルウェアへの感染
マルウェアとは、デバイスに不利益を与えるソフトウェアのこと。スパムメールと同様、何気なくリンクやファイルをクリックすると、ウイルス感染してしまいます。
- コンピューターウイルス
- ワーム
- トロイの木馬
- スパイウェア
- ランサムウェア
脆弱なプラグインやその他の拡張機能をインストールしてるWordPressサイトは、特に「マルウェア感染」に注意です。
ビックリですが、WordPressのプラグインで人気な「Contact Form 7」「WooCommerce」「Yoast SEO」からのマルウェア感染率が目立ちます。
WordPressは、突出してマルウェア感染率の高いCMSですので、決して侮れませんね。
WordPressのセキュリティをチェックする方法3つ
ご自身のサイトのセキュリティ対策が施されてるか、実際にチェックしてみましょう。
- 方法①:Google Search Console
- 方法②:WPScans.com
- 方法③:WordPressサイトヘルス
すべて「無料」です。
方法①:Google Search Console
WordPressサイトのセキュリティリスクを確認したい場合は「Google Search Console」を活用しましょう。具体的な使い方は、下記のとおりです。
「プロパティを検索」より、登録済みのサイトURLを選択すると、自動でセキュリティチェックされます。
また、左側にある「セキュリティの問題」からでもチェック可能です。上記のように「問題は検出されませんでした」と表示されたら、セキュリティ上の問題はありません。
セキュリティチェックに引っかかると、下記の警告が表示されます。
上記が表示された場合、WordPressサイトは危険な状態です。今すぐ、問題を修正しましょう。詳しくは「Search Console ヘルプ|セキュリティ問題のレポート」をどうぞ。
方法②:WPScans.com
WPScans.comは、WordPressのセキュリティ状態を無料診断してくれるセキュリティ簡易サービスです。
使い方はカンタンでして「Your WordPress URL」に調べたいサイトURLを入力し、利用規約にチェックを入れて「START SCAN」をクリックするだけ。
しばらく待ち「Your WordPress website is safe !」と表示されたら、セキュリティ上で問題ありません。
方法③:WordPressサイトヘルス
WordPress5.2以来「サイトヘルス」という新機能が追加されました。これにて、改善すべきサイトのセキュリティ状態やパフォーマンス状態をチェックできます。
WordPress管理画面 >「ツール」>「サイトヘルス」より、WordPressのセキュリティ状態をチェックしてみましょう。
上記のように「良好」と表示されていれば問題ありません。「テスト通過」をクリックすることで、具体的なチェック項目を確認できます。
「セキュリティ」「パフォーマンス」の両項目とも、合格基準を目指しましょう。
WordPressのセキュリティ対策おすすめ9選
あなた自身がハッキング被害に遭うぬよう、下記で解説する「セキュリティ対策9選」を実践しましょう。
- 対策①:ログインパスワードを強化する
- 対策②:WordPressのアクセスを制限する
- 対策③:WordPressを最新状態にする
- 対策⑤:テーマやプラグインを見直す
- 対策⑥:セキュリティ対策のプラグインを導入する
- 対策⑥:PHPを最新状態にする
- 対策⑦:WAF設定
- 対策⑧:コメント機能を非表示にする
- 対策⑨:定期的にバックアップをとる
僕自身も、上記対策をすべて行なってます!
対策①:ログインパスワードを強化する
まずは、WordPress管理画面のログインに必要な「パスワード」を強化することからスタートです。
WordPressログイン画面の「パスワードをお忘れですか?」より、変更できます。最強パスワードの作り方は「ラッコツールズ - パスワード生成」という無料ツールを使えばOK。
最大50字までの英数字記号を組み合わせた堅牢堅固なパスワードを、自動でサクッと一瞬で作ってくれます。コレを使えば、間違いありません。
特に「パスワードの使い回し」は、絶対NGです。
対策②:WordPressのアクセスを制限する
WordPress管理画面にログインするURLを変更することで、セキュリティレベルをグーンと向上できます。
- 変更前:https://example.com/wp-login.php/←誰でも、ログインページにアクセスできる
- 変更後:https://example.com/カスタマイズURL/←コレなら、ログインページを特定できない
通常ログインURLのままですと、ユーザー名やパスワードをランダム攻撃され、突破されやすい。しかし、ログインURLを変更することで、突破できなくなります。
具体的なログインURLの変更方法は「WordPressのセキュリティ対策おすすめプラグイン3選 - その①:SiteGuard WP Plugin」にて解説します。
対策③:WordPressを最新状態にする
WordPressは、常に最新バージョンに更新しましょう。古いバージョンのまま放置すると、ハッキングリスクが高まります。
- その①:WordPress「本体」
- その②:WordPress「テーマ」
- その③:WordPress「プラグイン」
WordPress管理画面 >「ダッシュボード」>「更新」より、すべて最新バージョンに更新しましょう。
とはいえ、WordPress本体やテーマ、プラグインの組み合わせ次第では、更新によって不具合が起きる可能性もあります。
僕は過去に、WordPress本体を更新したら、画面がホワイトアウトしました。
そこで、重要になる施策が「定期的にバックアップをとる」ことです。後ほど解説します。
対策④:テーマやプラグインを見直す
WordPressをカスタマイズできる「テーマ」や「プラグイン」選びも、セキュリティ対策では重要です。
というのも、WordPress本体、テーマ、プラグインが互いに干渉することで、セキュリティホールが生まれては、そこを突かれる可能性があるからです。
- テーマやプラグインの更新
- WordPress本体との互換性
- 不要なテーマやプラグインの削除
チェック項目は、上記のとおり。常に最新バージョンに更新しつつ、使ってないテーマやプラグインは、迷わず削除しましょう。WordPressの脆弱性につながります。
WordPressにログインできない?
また、WordPress・テーマ・プラグインには「相性」がありまして、何らかの原因でWordPressにアクセスできなくなることも多い。
たとえば、プラグインを導入したら、WordPressにログインできなくなった...というケースがあります。
ここばかりは、WordPressのバージョン、お使いのテーマやプラグイン次第ですね。
ログインでお困りの場合は、【簡単】WordPressにログインできない?考えられる10の原因と5つの対処法をどうぞ。必ずログインできますので、ぜひお試しください。
対策⑤:セキュリティ対策のプラグインを導入する
WordPressには、セキュリティ対策のプラグインも用意されてます。導入すると、下記のようにセキュリティレベルを劇的に向上できます。
- WordPress管理画面のログインURLを変更できる
- ログインやコメント投稿に画像認証機能を付与できる
- ログイン失敗を繰り返す接続元を一定期間ロックできる
具体的なセキュリティ対策のプラグインに関しては「WordPressのセキュリティ対策おすすめプラグイン3選」にて解説します。
対策⑥:PHPを最新状態にする
PHPを最新バージョンに更新することも重要ですね。
- 理由①:セキュリティの向上
- 理由②:パフォーマンスの改善
- 理由③:テーマやプラグインのサポート向上
PHPの更新方法はカンタンでして、契約してるレンタルサーバーの「サーバーパネル」より、設定できます。
たとえば、エックスサーバーですと「サーバーパネル」>「PHP」>「PHP Ver. 切替」より、対象ドメインを選択し、最新のPHP環境に切り替えましょう。
公式サイトでも、最新バージョンのPHP環境を実装することが推奨されてます。
PHPは、他の大規模なシステムと同様に、セキュリティを確保しつつ改良されています。新バージョンにはしばしば大規模あるいは小規模な変更が含まれています。その内容は、セキュリティの機能追加であったりセキュリティ上の問題・設定の不備・その他システム全体のセキュリティや安定性にかかわる問題の修正であったりします。他のシステムレベルのスクリプト言語やプログラムと同様に、最善のアプローチは、頻繁に更新し、最新のバージョンとその変更を注視し続けることです。引用元:PHP|最新版を維持する
対策⑦:WAF設定
WAF(Web Application Firewall)とは、Webアプリケーションの脆弱性を突いた攻撃へのセキュリティ対策のこと。設定することで、不正アクセスを検知し、遮断できます。
WAFも、レンタルサーバーより設定できます。たとえば、エックスサーバーですと「サーバーパネル」>「セキュリティ」>「WAF設定」より、対象ドメインを選択します。
各項目をすべて「ON」に変更しておきましょう。
- XSS対策:JavaScriptなどのスクリプトタグが埋め込まれたアクセスを検知
- SQL対策:SQL構文に該当する文字列が挿入されたアクセスを検知
- ファイル対策:「.htaccess」「.htpasswd」などのサーバーに関連する設定ファイルが含まれたアクセスを検知
- メール対策:「TO」「CC」「BCC」などのメールヘッダーに関係する文字列を含んだアクセスを検知
- コマンド対策:「kill」「ftp」「mail」「ping」「ls」などのコマンドに関連する文字列が含まれたアクセスを検知
- PHP対策:session、ファイル操作に関連する関数、脆弱性の元になる可能性が高い関数の含まれたアクセスを検知
WordPressを不正アクセスやマルウェア感染から守るために、とても重要なセキュリティ対策です。各レンタルサーバーのサーバーパネルより、対策しておきましょう。
対策⑧:コメント機能を非表示にする
WordPressでコメント機能を採用すると、スパムメールの標的になります。もちろん、プラグインなどで対処すれば問題ありませんが、その分、手間とコストが増えます。
スパム対策でもっとも有効な方法は「コメント機能を無効・非表示」にすること。
皮肉的ですが、コレが一番効果的です。
スパムメールを物理的に排除できますので、セキュリティ対策になります。詳しくは【重要】WordPressのコメント機能を無効・非表示する方法【スパム対策3選】をどうぞ。
対策⑨:定期的にバックアップをとる
万が一のデータ紛失やハッキング被害に備え、常日頃からデータをバックアップしておくことも大切なセキュリティ意識ですね。
WordPressのバックアップに関しては、プラグインを使えば、サクッと解決できます。特におすすめは無料で使える「updraftplus」や「BackWPup」ですね。
上記項目を、手動でバックアップしたり、日付を設定することで、自動バックアップもできます。
データの保存先は、GoogleドライブやDropBox、FTPやオンラインストレージサービスに対応してます。
無料でも、十分すぎる高機能です。
WordPressのセキュリティ対策おすすめプラグイン3選
セキュリティ対策として、導入したほうがいいプラグインを3つ紹介します。
特に「SiteGuard WP Plugin」は必須レベルなので、コレだけでも導入しましょう。
その①:SiteGuard WP Plugin
SiteGuard WP Plugin | |
---|---|
機能 | セキュリティ対策 |
インストール数 | 50万以上 |
WordPressとの互換性 | あり |
最終更新 | ◎ |
おすすめ |
WordPressのログインセキュリティを強化しつつ、ログインURLそのものをカスタマイズできる必須セキュリティ対策プラグイン。
解説済みですが、WordPress管理画面のログインURLを「https://example.com/wp-login.php/」→「https://example.com/カスタマイズURL/」に変更できます。
また、ログインやコメント投稿に「画像認証機能」を付与できたり、ログイン失敗を繰り返す接続元を一定期間ブロックできる機能もあります。
WordPressのセキュリティレベルが間違いなく上がるので、導入必須です。詳しくは【必要】SiteGuard WP Pluginの設定&使い方ガイド【ログインできない対処法】をどうぞ。
その②:Invisible reCaptcha for WordPress
Invisible reCaptcha for WordPress | |
---|---|
機能 | スパム対策 |
インストール数 | 100万以上 |
WordPressとの互換性 | あり |
最終更新 | △ |
おすすめ |
必須ではありませんが、WordPressにコメント機能を設定してる人は、スパム対策として導入をおすすめします。
導入することで、コメント欄やお問い合わせフォームでのボットによるスパム攻撃を限りなく防げます。
皆さんも一度は目にしたことあるハズ。かなり読みずらい文字を入力させられたり、あるテーマの画像を選ばせる「アレ」です。
ただし、最終更新日が数年前からされてないので、ちょっと微妙かもです。もしくは、無料で使える「Akismet Spam Protection」もスパム対策として人気ですね。
その③:Google Authenticator
Google Authenticator | |
---|---|
機能 | 不正アクセス対策 |
インストール数 | 3万以上 |
WordPressとの互換性 | あり(未検証) |
最終更新 | ◯ |
おすすめ |
2段階認証を実装できる「Google Authenticator」もおすすめです。
2段階認証とは、IDやパスワード以外に、セキュリティコードを追加するシステムのこと。導入すると、ログインIDやパスワードを突破されても、不正アクセスを防げます。
制限時間内に「6桁のコード」を入力しなければなりません。
上記「Site Guard WP Plugin」と組み合わせれば、WordPressのログインURLを変更しつつ、画像認証機能を付与しつつ、2段階認証も突破しないといけません。
もはや「突破不可能」ですので、最強なセキュリティ対策を構築できます。
パソコンでログインする場合は、スマホをご用意ください。
WordPressにセキュリティ対策は必須です
本記事では、WordPressのセキュリティ対策の重要性やその具体的な対策方法をマルっと解説しました。
WordPressのデフォルト状態では、セキュリティレベルが「雑魚」です。ハッキングで失うモノはとても大きいので、本記事を読み終えたら、サクッと対策しましょうね。
というわけで、今回は以上です。ハッキングからWordPressを守る「護身術」を解説しました。
セキュリティ対策とセットでWordPressの初期設定もすべて済ませましょう。詳しくは【20個】WordPressおすすめ初期設定ガイド【失敗を避ける方法】をどうぞ。
-
【20個】WordPressブログおすすめ初期設定ガイド【失敗を避ける方法】
続きを見る
WordPressブログの始め方
-
【無料】たった10分でできるWordPressブログの始め方【エックスサーバー】
続きを見る