ホームページ制作

あなたの発注コンシェルジュ

登録者数No.1
フリーダイアル

0120-917-819

営業時間 平日 10:00~19:00

【WordPress】セキュリティ対策は万全?6つのサイト防衛策

WordPressのセキュリティ対策

更新日:2018年01月12日 | 公開日:2017年04月24日

ホームページの作成にWordPressを利用している方の中には、セキュリティ対策について気になっている方も多いのではないでしょうか。

WordPressはオープンソースであることから世界中で使われているのと同時に、数多く使われているため不正アクセスを受けやすいといわれています。脆弱性や不正アクセスの報告が後を絶たないため、セキュリティ面で不安に思っている人も多いことでしょう。

また、WordPressは無料のサービスであるため、Web制作会社に管理を依頼していない場合は、責任を持って管理してくれるところがありません。不正アクセスなどがあったとしても不利益を被るのは自分だけです。そのため、自分でしっかりとセキュリティ対策を実施することが重要になります。

この記事では、WordPressサイトが狙われやすい理由と、最低限やっておきたいセキュリティ対策について解説するとともに、実際におすすめのプラグインについても紹介します。ホームページのリニューアルを検討している方は、ぜひ参考にしてください。

1. WordPressサイトは狙われる?セキュリティに危険が及ぶ理由と事例

1. WordPressサイトは狙われる?セキュリティに危険が及ぶ理由と事例

WordPressサイトは、なぜ狙われやすいのでしょうか。ここでは、セキュリティに危険が及ぶ理由と事例について説明します。

1-1. WordPressが狙われる理由3つ

WordPressが狙われやすい理由として、以下の3点が挙げられます。

■利用しているユーザー数が多いため、ターゲットになりやすい。
攻撃者の視点からみると、1つの脆弱性を見つけたときに、それを利用してターゲットとして狙えるサイトがたくさん存在することになります。従って、攻撃者にとって非常に効率のよい攻撃対象がWordPressであるといえます。

■管理画面のURLや内部構造がわかりやすい。
WordPressの場合、どのように管理画面にログインし、その際のURLはどのような文字列なのかなど、構造がパターン化されているため、攻撃がしやすくなります。

■オープンソースのため、脆弱性が発見されやすい。
詳細が一般に公開されたいわゆるオープンソースのため、脆弱性を見つけやすいという面があります。脆弱性が見つかれば、攻撃は容易にできてしまいます。

1-2. WordPressの脆弱性をついたセキュリティ被害の事例

WordPressの脆弱性をつかれると、以下のようなセキュリティ被害を受ける可能性があります。

■アカウントの乗っ取り
サイトの管理パスワードを勝手に変更され、自分自身が管理者としてログインできなくなったり、さまざまな設定が変更され、せっかく作ったサイトが台無しになったりします。また、メールアカウントが乗っ取られることで、スパムメールの大量送信や、身に覚えのない請求につながる場合があります。

■コンテンツやページデータの改ざん
サイトのコンテンツが全く違う内容に置き換えられ、最悪の場合全てがなくなってしまうこともあります。他にも、営利的な目的で別のショッピングサイトなどへの誘導や、ウィルスを拡大させるための道具として利用されることもあります。

■スパムコメントの量産
意味のない大量のコメントの投稿や、企業や個人などが自らの利益のために文章などを書き込む事例もあります。

■情報流出
ログイン情報や個人情報などが流出する可能性があります。会員制のサイトの場合、サイトへのログインが必須となるため、そのアカウント情報が流出すると会員への被害が発生します。

2. WordPressで最低限やっておきたい6つのセキュリティ対策

2. WordPressで最低限やっておきたい6つのセキュリティ対策

それでは、ホームページをWordPressで作成する際に、最低限やっておきたい6つのセキュリティ対策について説明します。

2-1. WordPress本体・テーマなどを最新版にする

WordPressの脆弱性対策として、WordPress本体やテーマなどの新しいバージョンが公開された場合はすぐにアップデートしましょう。古いバージョンのまま使っていると、多くの脆弱性が潜んでいることになります。
WordPressのバージョンアップには「メジャーアップデート」と「マイナーアップデート」があります。

■メジャーアップデート
大きな機能追加や管理画面のレイアウト変更などをともなうバージョンアップです。アップデートの通知は管理画面に表示されますが、更新ボタンを手動でクリックしないとアップデートは実行されません。

■マイナーアップデート
主にバグフィックスやセキュリティ対策などの小さなアップデートです。マイナーアップデートは基本的には「自動更新」です。リリースされると、利用しているWordPressが自動的にアップデートを適用します。

2-2. テーマ・プラグインは公式のものを使用する

WordPressには見た目をカスタマイズする各種テーマや、機能を拡張するプラグインが豊富に公開されています。これらを使用する際は、必ず公式に公開されているものを使うようにしましょう。

公式に公開されていないテーマやプラグインは審査を通ったものではありません。そのため、悪意のあるコードやバグが内在しているものもあり、使用する際は完全に自己責任となります。

一方、公式に公開されているテーマやプラグインは、厳しい審査を経て公開されています。脆弱性やバグなどがあった場合はすぐにバージョンアップされるため、公式のものを使用することで悪意ある攻撃を受けるリスクを確実に減少させることができます。これらがアップデートされた際は、管理画面から簡単に更新することができます。

2-3. プレフィックスをデフォルトから変更する

WordPressはデータベースを使用して稼働しています。そのデータベースには「テーブル」というものがあり、その中に「記事」や「オプション設定」などの情報が格納されています。

初期設定では「データベース」のテーブルの頭文字は「wp_〇〇〇〇」から始まっており、これをプレフィックス(接頭辞)といいます。しかし、この情報は悪意ある侵入者にも分かっています。
そのため、このままで使用すると、サイトで使用しているテーブル名が特定されやすく、簡単にデータベースにハッキングすることができてしまいます。

そこで「wp_〇〇〇〇」のプレフィックスである「wp_」を他のランダムな文字列に変更することで、セキュリティを高めることができます。

2-4. 「wp-config.php」の設定を変更する

WordPressのインストールフォルダにある「wp-config.php」ファイルは、データベースサーバで利用するIDやパスワードが生で記述されている、とても重要なファイルです。以下のような制限をかけることにより、高いセキュリティ性を実現できます。

【管理画面内での操作を制限】
「wp-config.php」の内容に記述を追加することで、管理画面で操作できる「テーマのインストール」「プラグインのインストール」「テーマ編集」「プラグイン編集」の機能を停止させることができます。

【wp-config.phpへのアクセスを制限】
.htaccessファイルに記述を追加することで、各種設定が記述された「wp-config.php」へのアクセスを制限することができます。
また、パーミッションを標準の「644」から「400」に変更することで、簡単に書き込みなどの権限を制限でき、さらにセキュリティ性が高くなります。

2-5. バックアップを取っておく

WordPressのデータベースやテーマファイルは、バックアップを取るようにしましょう。定期的にバックアップすることで、何か問題が発生した際にすぐに復旧できるようになります。

【データベースのバックアップ】
WordPressで使用するデータは、データベース管理システムに格納されています。一般的なレンタルサーバを利用している場合、サーバの管理画面「phpMyAdmin」にログインして「エクスポート」機能を操作することでバックアップを取ることができます。

【テーマファイルのバックアップ】
テーマファイル一式はテーマフォルダに含まれているため、FTPやSCPを使ってサーバにログインし、ダウンロードができます。

また、「BackWPUp」というプラグインを使用することで、WordPressの管理画面からデータベースやテーマのバックアップを取ることができます。

2-6. セキュリティ関連のプラグインを追加する

WordPressには機能を追加するためのさまざまなプラグインがありますが、その中にはセキュリティ対策に特化したプラグインもあります。ここまでに説明してきた対策と併せて使用することで、さらにWordPressサイトへの攻撃を減らすことができるため、ぜひ活用しましょう。

セキュリティ対策は「専門知識が必要で、設定が大変」だと思う方も多いかもしれませんが、一括管理できるプラグインがたくさんあるので安心して導入できます。セキュリティ対策用のプラグインには、それぞれの特徴があるため、その違いを理解した上で導入するようにしましょう。

3. WordPressのセキュリティを守る!プラグイン4選

3. WordPressのセキュリティを守る!プラグイン4選

ここでは、WordPressのセキュリティを守るためにおすすめの4つのプラグインについて紹介します。

3-1.SiteGuard WP Plugin

「SiteGuard WP Plugin」は、「株式会社ジェイピー・セキュア」が開発した国産のセキュリティプラグインです。あまり高度な設定はできませんが、基本的なセキュリティ対策の全てを行うことができます。

管理画面への不正アクセスを阻止する機能を搭載したプラグインで、インストールして有効化するだけでセキュリティ対策が機能するようになります。管理画面も全て日本語で表示されているため、初心者でも簡単に利用することができます。

【SiteGuard WP Pluginの主な機能】
・管理ページへのアクセス制限
・ログインページの変更
・画像認証
・ログイン詳細エラーメッセージの無効化
・ログインロック/ログインアラート
・フェールワンス
・XMLRPC防御
・更新通知
・WAFチューニングサポート

3-2.All In One WP Security & Firewall

「All In One WP Security & Firewall」は、WordPressに対してトータルでさまざまなセキュリティ機能を提供するプラグインです。名前から分かるように、Firewallを導入することもできます。

また、スパムコメントのブロック機能もあり、管理画面からWhoisでドメイン調査をすることも可能。プラグインのダッシュボードから、現在どの程度のセキュリティ対策が施されているのか、分かりやすく数値で把握できるようになっています。

【All In One WP Security & Firewallの主な機能】
・各種設定ファイルのバックアップ
・ログインユーザー名の変更
・データベーステーブルのプリフィックスを変更
・各種ディレクトリやファイルに対するパーミッションの設定
・PHPファイルの編集を無効化
・ブラックリストの設定
・ブルートフォースアタックの防御
・右クリックやテキストコピーの禁止

3-3.Akismet

「Akismet」は、サイト内にお問い合わせフォームやコメント欄がある場合に、効果を発揮するプラグインです。スパムコメントをフィルタリングしてくれるので、スパムコメントかどうかの選別もしやすくなります。

Akismetは「WordPress2.0以降」のバージョンに標準搭載されているため、「有効化」することで利用できるようになります。

初めてWordPressを使用する場合は、「APIキー」を取得する必要があります。「APIキー」を取得する際、初期設定で支払いが有料になっていますが、非商用のWebサイトを運営している個人の場合は、バーを左にスライドすることで「0ドル」に変更できます。寄付は任意のため、個人で非商用利用の場合は、無料で利用可能。商用サイトの場合は有料になるため、注意が必要です。

3-4.WP Security Audit Log

「WP Security Audit Log」は、WordPressのログイン履歴や管理画面の操作ログを記録できるプラグインです。
特にログイン履歴では、外部からの不正なパスワードによるログイン失敗履歴も残せます。不正なログインを許してしまった場合にも、ログイン履歴から検知することが可能です。

以下のようなログを残することができます。
・ステータス、タイトル、URL、日付、コンテンツの変更、カスタムフィールドの変更
・投稿、ページ、カスタム投稿の種類の変更
・パスワード、電子メール、表示名、ロールなど、ユーザープロファイルの変更
・ログイン、ログアウト、ログイン失敗、他のセッションの終了などのユーザーアクティビティ
・インストールされたアップデート、パーマリンク、デフォルトの役割、URL、その他サイト全体の変更、WordPressのコアと設定の変更

4.ほかにもある、セキュリティを脅かすWordPressサイトへの攻撃

出典4.ほかにもある、セキュリティを脅かすWordPressサイトへの攻撃

WordPressサイトのセキュリティを脅かす攻撃は、他にもあります。ここでは、ブルートフォースアタックをはじめとした攻撃手法への対策について説明します。

4-1.ブルートフォースアタックの対策

「ブルートフォースアタック(総当たり攻撃)」とは、あらゆるパターンのユーザー名とパスワードを自動的に入力し、解読する手法のことをいいます。
この攻撃を受けることで不正にログインされ、サイトが乗っ取られてしまいます。近年、特に被害が急増していることでも話題になっており、セキュリティ対策は必須といってよいでしょう。

ブルートフォースアタックによる被害を防ぐためには、下記に挙げた4つの対策が有効です。
■「admin」ユーザーアカウントの削除
■ログインページ/管理ページへのアクセス制限
■アクセスログの取得
■2段階認証やワンタイムパスワード、画像認証の導入

※ブルートフォースアタックは不正ログインを行うために、ログインページに必ずアクセスします。そのため、ログインページ自体にアクセスできないようにすることで、攻撃を受けることはなくなります。

4-2. その他の攻撃手法への対策

その他にもWordPressサイトへの主な攻撃手法として、下記の4つが挙げられます。
■SQLインジェクション:データベースシステムを不正に操作する。
■XSS(クロスサイトスクリプティング):悪意のある不正なスクリプトをサイトに埋め込む。
■HTTPヘッダインジェクション:改行コードを含む不正な文字列を紛れ込ませて、WebサーバからのHTTPレスポンスを改ざんする。
■Dos攻撃:大量のデータや不正なデータの送信により、意図的に過剰な負荷をかけ、システムの正常稼働を妨害する。

上記の中でも、「SQLインジェクション」と「XSS(クロスサイトスクリプティング)」は、現時点で最も使われている攻撃手法です。

これらの攻撃を一手に防ぐためには、「WAF(Webアプリケーションファイアウォール)」というセキュリティ対策が効果的です。WAFには外部からの不正アクセスを遮断する機能が搭載されているため、サイトへの攻撃を未然に防ぐことが可能になります。

【まとめ】WordPressサイトを運営する以上、セキュリティ対策の継続は必須

【まとめ】WordPressサイトを運営する以上、セキュリティ対策の継続は必須

この記事では、WordPressサイトが狙われやすい理由と、最低限やっておきたいセキュリティ対策について解説するとともに、実際におすすめのプラグインについても紹介してきました。

セキュリティ対策と一言でいっても、実際にはたくさんの方法があることがお分かりいただけたと思います。この記事で紹介したWordPressのセキュリティ対策を実行して、安全にサイトを運営できるようにしていきましょう。

そもそも、どんなシステムであっても何らかの脆弱性を含んでおり、悪意ある攻撃が進化を続けている以上、何らかの対策をすることが必要です。常に新しいセキュリティ対策を行うことで、攻撃の被害を受ける可能性を確実に減少させることが可能です。

セキュリティ対策がしっかりとしたWordPressサイトを制作・管理してくれる業者をお探しの際は、ぜひ日本最大級の業者比較サイト 「アイミツ」までご相談ください。
「アイミツ」では、Webサイトのリニューアルやセキュリティ面の見直しを検討している方のお悩みやご希望・ご要望に応じて、最適な業者を無料でご紹介させていただきます。

“ホームページ制作”のことなら
コンシェルジュに無料で相談!

お急ぎの方はこちら

0120-917-819

営業時間 平日 10:00~19:00

Kadono