セキュリティ面からみたWordPressサイトのメリット・デメリットまとめ

複数の鍵

更新日:2017年10月05日 | 公開日:2015年10月20日

無償で提供されるオープンソースCMSの代表格、WordPress。
他のCMSに比べて圧倒的導入実績数を誇る理由は、管理画面がシンプルで直感的にわかりやすく、HTMLが理解できれば大抵のことはできてしまう、カスタマイズの自由度が高い点が支持されているからです。
しかしいいことばかりではありません。
どんな便利なツールにもメリットもあればデメリットもあります。
人気のWordPressも例外ではありません。

(1)WordPressのセキュリティの脆弱性について

サイト公開後の更新や機能の追加がしやすいことから、内容や規模の大小問わずさまざまなサイトに使われているWordPress。
オープンソースのCMSである性質が利便性という大きな恩恵を生む反面、セキュリティ面で大きなリスクを背負っています。

それはなぜでしょうか。
オープンソースとはソースコードが一般に公開されている状態を指します。
コードが理解できれば誰にでも新たなプログラムが開発できます。
インストールをしただけのデフォルト状態では味気ないサイトでも、いくらでもカスタマイズを加えられます。
これらはつまり、悪意のある第三者が簡単にサイトを不正に改ざんしてしまえる危険性をはらんでいるとも言えます。

DDoS攻撃、サイトを構成するファイルの改ざん、アカウント乗っ取り、スパムコメントの投稿など、脆弱性が多く見られることから、ハッカーなどの標的にされやすいことから、WordPressにはセキュリティ面でリスクが高いとされています。

(2)WordPressサイトのセキュリティ対策ポイント・基本編

WordPressでサイトを構築するにあたり、最低限やっておきたいセキュリティ対策のポイントを挙げます。

・バックアップをとっておく
最悪、サイトが書き換えられてしまった時のために、元の状態に戻せる状態にしておくことです。
改ざん被害に遭わなくても、サーバ障害に見舞われることもあります。
WordPressを利用する・しないに関わらず、最新の状態のバックアップをとっておくことは基本中の基本です。

・利用するテーマやプラグインは、WordPress公式のものを利用する
開発者や出処が不明なサードパーティーからリリースされるものは極力使わないのが賢明です。
どうしても利用したいのであれば、評判をよくリサーチし、安全性を確認してからにしましょう。

・WordPress本体、テーマ・プラグインは、最新版にしておく
どのソフトやOSでもそうであるように、WordPressも脆弱性が見つかればその対策を施したアップデートを行います。
常に最新の状態に保っておくことで、第三者の改ざんや乗っ取りを極力防げます。

(3)WordPressサイトのセキュリティ対策ポイント・応用編

基本的なセキュリティ対策を施したとしても、WordPressサイトがオープンソースである以上、常にハッカーが隙を狙っていると考え、改ざんや乗っ取りに対して万全な対策を講じることが求められます。
ここでは応用編として、さらにセキュリティを強固にする代表的な対策方法を挙げます。

・手動インストールしよう
レンタルサーバなどの提供する「簡単インストール」はできれば避けましょう。
便利な機能のひとつではあるのですが、自動でインストール作業が行われるため、データベース名やサイトを構成するファイルがどのサイトとも共通となってしまうのです。
これはハッカーに書き換えてくださいと言っているようなもので、ハッキングのお膳立てをしてしまうのと同じです。

・データベースのテーブル名の頭につく接頭辞を変更しよう
手動インストール作業の途中で、データベースのテーブル名に任意の接頭辞を付けることができます。
独自のテーブル名をつけることにより、データベースを書き換えられる可能性がぐっと低くなります。
インストール後もテーブル名を変更するプラグインを使うことで対応可能です。(もちろん安全な公式プラグインです)

・「wp-config.php」を、アクセスに制限をかけておこう
「wp-config.php」とはインストール作業の過程で作成されるファイルで、サイトのさまざまな設定の詳細、やデータベースへの接続情報など、WordPressサイトの肝となるものです。
これに第三者がアクセスできる状態は好ましくありませんので、アクセス不可の設定を施しましょう。

WordPressサイトのセキュリティまとめ

いかがでしたか?
その便利さゆえ、セキュリティ対策が必要なWordPressサイト。
今回ご紹介した対策方法はほんの一部に過ぎません。
日々便利になっていくのに比例して、ハッキングの技術もそれを上回ろうとしているのが現状です。
もしご自身で対策を施すことに自信がなくても大丈夫!
万全なセキュリティ対策を施したWordPressサイト作成業者なら、imitsu(アイミツ)で探してみてはいかがでしょうか。

いま知りたいこと
コンシェルジュが解決します!

コンシェルジュサービスは
3万社以上が利用している無料の相談サービスです。

コンシェルジュ

発注は時間も手間もかかりますよね?

コンシェルジュが解決します!

コンシェルジュに相談、あなたにあった業者を提案、発注の手間を削減!

完全無料

まずはお気軽にご相談ください