【WordPress】セキュリティ対策は万全?6つのサイト防衛策

WordPressのセキュリティ対策

更新日:2017年09月07日 | 公開日:2017年04月24日

WordPressは世界的に多くの人に利用されているサイト制作ツールです。
専門知識がなくても簡単にサイトが作れるだけでなく、更新作業も楽に行えることから、「ウチの会社もWordPressでサイトを作ったよ」という事業主の方も多いかと思います。

そこであなたに質問です。自社サイトのセキュリティ対策は万全でしょうか?
特にWordPressを使ってサイトを自作した場合には、しっかりとセキュリティ対策をしておかないと非常に危険です。

セキュリティ対策が万全でないと個人情報を扱っているサイトなどでは、ウイルスや不正プログラムといった悪意ある攻撃によって大事な情報を流出させてしまう恐れがあります。
また、悪意ある攻撃は常に進化を続けているため、「一度対策を行ったから大丈夫!」と楽観視できるものではないのです。

この記事ではWordPressで作った会社のサイトを悪意ある攻撃から守る、6つのセキュリティ対策を紹介します。

1. なぜ危険? WordPressサイトが狙われる理由とは

南京錠とパソコン

1-1. WordPressは「CMS」というオープンソース

WordPressが世界的に多くの人に利用されている理由として、2つの点が挙げられます。
1つ目は専門知識がなくても簡単にテキストなどが登録できる、「CMS(コンテンツ・マネジメント・システム)」だということ。
2つ目はオープンソースであるため、無料で提供されていることです。

オープンソースとは言葉通り、コンピューターへの命令を行う「ソースコード」を一般に公開しているプログラムのことを言います。
故に脆弱性(情報セキュリティ上の欠陥)が発見されやすく、悪意ある攻撃の対象になる可能性が高いとされています。

さらに、WordPressで作られたサイトは世界中で9,000万以上とも言われ、悪意ある攻撃を行う相手にとっては格好のターゲットだということです。

もちろん、WordPressもセキュリティ対策のために、頻繁にバージョンアップを行っています。
ただし、それだけで悪意ある攻撃を防げるのかと言うと、残念ながら答えは「NO」です。

1-2. こんな攻撃を受ける可能性があります

WordPressが受ける攻撃としては主に、以下のようなものがあります。

・管理画面への不正アクセス
・コンテンツやページのデータ改ざん
・スパムコメントの大量投稿

このように、WordPressの脆弱性を突いてサイト内に侵入し、サイトのコンテンツやページの情報を勝手に書き換えたり乗っ取ったりする事例が多くみられます。

2017年2月にはネット上に最新版の修正情報から解析した旧版の深刻な脆弱性を突く悪用コードが掲載され、最新版へのバージョンアップを行わなかった150万件以上のサイトが改ざん被害にあったと報告されています。

こうした攻撃を受ける可能性はWordPressで制作したものであれば、一般サイトもECサイトもブログも分け隔てなくあります。

出典:ITmediaエンタープライズ

繰り返しになりますが、WordPressはオープンソースであり、世界的に利用されているサイト制作ツールであることから、悪意ある攻撃の対象になる可能性は非常に高くなっています。

いかに万全なセキュリティ対策を行うかが、WordPressでサイトを制作する際のカギになると言っていいでしょう。

2. 最低限やっておきたい6つのセキュリティ対策

悪意ある攻撃を防ぐための対策は、細かく言えば数えきれないほどあります。
専門知識のない場合には「何のことを言っているのかさっぱり分からない…」と頭を抱えてしまう内容もあるでしょう。

ここでは数あるセキュリティ対策のなかから「最低限これだけはやっておくべき!」という、6つの対策を紹介します。

≪その1≫ 公式のテーマ・プラグインを使用する

世界を繋ぐネットワーク

WordPressでサイトを制作する場合、サイトのデザインを決めるには「テーマ」を、機能を追加するには「プラグイン」を使用します。

どちらも国内外問わず多数配布されていますが、WordPressの審査を受けている公式のものを使用したほうが、一般に配布されているものよりも安全性は高くなっています。
脆弱性やバグなどが見つかった場合にはWordPressの本体同様、すぐにバージョンアップされるため、公式のものを使用しておけば悪意ある攻撃を受けるリスクを確実に減らすことができます。

ただし、公式のものでも何年も更新がされていない場合にはセキュリティ対策が不十分な可能性があるので、使用は避けたほうが安全です。
また、プラグインはWordPress本体よりも脆弱性が発生しやすい傾向にあるため、インストールしただけで使っていないプラグインは「停止」ではなく、必ず「削除」するようにしましょう。

≪その2≫ WordPress本体・テーマなどを最新版にする

WordPressは脆弱性が発見された場合に、セキュリティ対策としてバージョンアップを行います。
そのため、最新版ではすでに知られた脆弱性は解消されていますが、反対に古いバージョンであればあるほど、多くの脆弱性が潜んでいることになります。

「1. なぜ危険?WordPressサイトが狙われる理由とは」「1-2. こんな攻撃を受ける可能性があります」で紹介した2017年2月の事例はまさに、この点を突いた攻撃だったわけです。

「頻繁にバージョンアップをするのは面倒くさい…」と思うかもしれませんが、古いバージョンのままでサイトを放置していては悪意ある攻撃の的にされるだけです。
WordPressを使用するうえでバージョンアップを行うのはサイトの安全性と信頼性を保つためにとても重要かつ大事なことなので、常に最新版にするように心がけてください。

≪その3≫ プレフィックスをデフォルトから変更する

パソコンのキーボード

「プレフィックス」とは頭に付く文字のことで、WordPressではデフォルトだとすべてのテーブル(データを格納する場所)に「wp_」という文字がつくように設定されています。
このままにしておくとサイトで使用しているテーブル名が特定されやすく、データベースへのハッキングが簡単にできてしまいます。

こういった目に見えて分かるWordPressサイトの隙を隠すためにも、プレフィックスは「wp_」からオリジナルのものに変更することを忘れないようにしましょう。

≪その4≫ 「wp-config.php」の設定を変更する

「wp-config.php」とは、データベース(テーブルの集合体)のアカウント情報が載っているファイルのことを言います。
このファイルはWordPressを使ううえで最も重要なもので、悪意ある人物に盗まれてしまうとデータベースを直接操作される危険性があります。
こうした危険性を回避するためには、外部からこのファイルへアクセスできないように設定することです。

具体的な対策としては、「wp-config.php」と同じ階層に「.htaccess」ファイルを置き、アクセス不可のプログラムを入力します。
この時に「wp-config.php」ファイルのパーミッション(ファイルやディレクトリに対するアクセス権)も合わせて設定することで、セキュリティレベルをぐっと上げることができます。

≪その5≫ セキュリティ関連のプラグインを追加する

輝く地球儀

WordPressに機能を追加するプラグインのなかには、セキュリティ対策に特化しているものがあります。
上記で説明した対策と併せて使用すれば、さらにWordPressサイトへの攻撃を減らすことができるので、ぜひ活用してください。

SiteGuard WP Plugin
SiteGuard WP Pluginは、管理画面への不正アクセスを阻止する機能を搭載したプラグインです。
効果的な機能としては、ログインページからの侵入を防ぐ「画像認証」「ログインロック」「ログインアラート」「ログイン履歴の一覧表示」などがあります。

All In One WP Security & Firewall
このプラグインをWordPressに追加することで、サイト全体のセキュリティ状態を把握できるようになります。
また、外部からの攻撃を遮断するファイアウォールをWordPressサイトに設置できるのが大きな特徴です。
英語表記ですが分かりやすい管理画面になっているので、それほど不便を感じることはないでしょう。

Akismet
サイト内にお問い合わせフォームやコメント欄がある場合に、活躍してくれるのがこのプラグインです。
大量に送られてくる迷惑なスパムコメントを分類し、ほぼゼロにしてくれます。
AkismetはWordPress2.0以降のバージョンには標準搭載されているので、「有効化」すれば使用できるようになります。

≪その6≫ バックアップを取っておく

直接的なセキュリティ対策ではないですが、万が一の被害に備えてバックアップを取っておくことを強くおすすめします。

バックアップを取る項目は、「WordPress内のフォルダおよびファイル一式」「WordPressで使用しているデータベース」になります。
データベースについては、WordPressの管理画面から「XML形式」のエクスポートファイルを作ることができます。

バックアップさえ取っておけばサイトが被害にあったり、対策を行った際に不具合が起きたりした場合でも元の状態に戻すことができるので、定期的に行うことが大事です。

3. ほかにもあるWordPressサイトを脅かす攻撃

キーボード

「1. なぜ危険? WordPressのセキュリティ対策」「1-2. こんな攻撃を受ける可能性があります」では、WordPressのサイトを狙った攻撃を簡単に説明しましたが、ここではさらに具体的な事例が挙がっている攻撃手法を紹介します。

なお、以下の攻撃はWordPressで制作したサイトに限ったことではなく、ネット上に存在するすべてのサイトが標的になる可能性があります。

3-1. ブルートフォースアタックの対策

「ブルートフォースアタック(総当たり攻撃)」とは、ありとあらゆるパターンのユーザー名とパスワードを自動的に入力し、解読する手法のことです。
この攻撃にあうと不正にログインされ、サイトが乗っ取られてしまいます。
さらにサイト内の情報を抜き取られ、まったく同じサイト(ミラーサイト)を勝手に作られた事例もあります。
特に最近被害が急増していることでも話題になっている攻撃で、セキュリティ対策は必須と言っていいでしょう。

ブルートフォースアタックの被害を防ぐには、下記に挙げた4つの対策を行ってください。

・「admin」ユーザーアカウントの削除
・ログインページおよび管理ページへのアクセス制限
・アクセスログの取得
・2段階認証やワンタイムパスワード、画像認証の導入

ブルートフォースアタックは不正ログインを行うために、必ずログインページにアクセスします。
そのページ自体にアクセスできないようにしてしまえば、攻撃を受けることはありません。

また、ログインする際の手間を増やすことでセキュリティレベルは高くなりますし、攻撃相手も簡単に突破できないとなれば引き下がる可能性も出てきます。

3-2. その他の攻撃手法への対策

その他のおもな攻撃としては、下記の4つがあります。

・SQLインジェクション
・XSS(クロスサイトスクリプティング)
・HTTPヘッダインジェクション
・Dos攻撃
なかでもデータベースを不正に操作する「SQLインジェクション」と、悪意のあるスクリプトを他人のサイトに埋め込む「XSS(クロスサイトスクリプティング)」は、現時点で最も使われている攻撃手法です。

これらの攻撃を一手に防ぐには、「WAF(Webアプリケーションファイアウォール)」というセキュリティ対策が効果的だと言われています。
WAFには外部からの不正アクセスを遮断してくれる機能があるので、導入すればサイトへの攻撃を未然に防げるようになります。

【まとめ】サイトを運営する以上セキュリティ対策の継続は必須

セキュリティマーク

この記事ではWordPressで作った会社のサイトを、悪意ある攻撃から守る6つのセキュリティ対策を紹介しました。
「悪意ある攻撃」にはさまざまな手法があり、この記事で取り上げた6つの対策以外にもWordPressで作ったサイトを守る方法はいろいろとあります。

しかし、そもそもシステムとは何らかの脆弱性を含んでいるものですし、悪意ある攻撃が進化を続けている以上、残念ながら「対策をしなくても大丈夫!」という日が訪れることはありません。

それでも常に新しいセキュリティ対策を行うことで、攻撃の被害にあう可能性を確実に減らすことは可能です。
何かあった場合でも定期的にバックアップを取っておけば、ゼロからまたサイトを作るといった手間もかかりません。
「備えあれば憂いなし」という言葉もあるように、セキュリティ対策はやっておいて損はないのです。

「対策はしてみたけど、ちゃんとできているかが心配…」「自社でそこまで頻繁にバージョンアップやセキュリティチェックを行うのはちょっと大変…」という場合には、業者に依頼してみてはいかがでしょう。
企業サイトとなると会社のデータや個人情報などを扱うわけですから、万が一のことを考えると専門の業者に任せた方が安心です。
あなたの会社だけでは不安が残るセキュリティ対策も、業者なら見落とすことなく行ってくれます。

セキュリティ対策がしっかりとしたWordPressサイトを制作してくれる業者や、WordPressのバージョンアップを代行してくれる業者をお探しの際は、ぜひ日本最大級の業者比較サイト 「アイミツ」までご相談ください。
「アイミツ」ではあなたの会社のお悩みやご希望・ご要望に応じて、最適な業者を無料でご紹介させていただきます。

いま知りたいこと
コンシェルジュが解決します!

コンシェルジュサービスは
3万社以上が利用している無料の相談サービスです。

コンシェルジュ

発注は時間も手間もかかりますよね?

コンシェルジュが解決します!

コンシェルジュに相談、あなたにあった業者を提案、発注の手間を削減!

完全無料

まずはお気軽にご相談ください