PhishWall利用サポート
法人向け製品サポート
パートナー様向けログイン

WordPressセキュリティ対策 3選

誰でも簡単にサイトが公開でき、テーマやプラグインで豊富なカスタマイズが可能なCMS(コンテンツ・マネジメントシステム)の代表格が、WordPressです。 とても便利に利用できる反面、多くの脅威にさらされているのも事実であり、自身が運営・運用しているWebサイトやそこに訪問いただくサイト利用者を守るためにも、最低限、対策しておきたい設定とプラグインをご紹介いたします。

「まだまだアクセス数が低いから大丈夫」、「私のサイトに限ってそんなこと…」と過信していると思わぬ攻撃を受け、知らぬ間に自分のサイトからマルウェアを配信していた…なんてことにもなりかねません。 本記事を参考に、しっかりとセキュリティ対策をし、攻撃者に負けないサイト運営を心がけましょう。

目次


1.WordPressでセキュリティ対策を行う重要性
  -WordPressのサイトは狙われやすい?
  -攻撃された場合、どのような被害を受けるの?

2.WordPressのセキュリティ対策
  -管理画面のユーザー名変更とパスワード強化
  -テーマ、プラグインの最新化
  -セキュリティ系プラグインの導入

3.まとめ

1.WordPressでセキュリティ対策を行う重要性


対策のお話をする前に、WordPressでセキュリティ対策が必要になる理由についてお伝えします。対策に入る前に、セキュリティ対策の重要性を認識しておきましょう。

WordPressのサイトは狙われやすい?

なぜ、WordPressが危ない!セキュリティ対策が必要だ!と言われているのでしょうか?その一番の要因は「単純に利用者が多い」からです。W3Techs の調べでは、全Webサイトのうち、43%がWordPressを利用して構築されており、CMS(コンテンツ・マネジメントシステム)を利用しているWebサイトの中では、実に64%ものサイトがWordPressを利用して構築・運用されています。

攻撃者する側の立場になって考えた場合、利用しているユーザーが少ないWebサイトの弱点を探して攻撃するより、利用しているユーザーが多いWebサイトの弱点を探して攻撃したほうが成功する確率が上がるため、WordPressは狙われやすいのです。(MacよりもWindowsのほうが攻撃者に狙われやすいのと同じ理由ですね。)

上記以外にも、

    ・WordPress本体やそれを構成するミドルウェアを最新化していなかった。
    ・利用しているテーマやプラグインをアップデートしていなかった。
    ・個人開発のセキュリティ対策が不十分なプラグインを利用していた。
    ・WordPress自体が無償で利用できるオープンソースなので脆弱性が発見されやすい。
などなど、便利な反面、セキュリティ対策を考慮しない運用をしていると、攻撃者の付け入る隙が多いシステムでもあります。

攻撃された場合、どのような被害を受けるの?

WordPressのセキュリティを気にされている方なら、一度は耳にしたことがあると思いますが、攻撃された場合、「Web改ざん」という被害を受けます。 では、この「Web改ざん」具体的にどのような被害を受けるかというと

    ・Webサイトの内容(記事や投稿)を不正に書き換えられてしまう。
    ・悪質な詐欺サイトへのリンクが埋め込みや、自動転送されるようになってしまう。
    ・Webサイトの内容が書き換えられ、不正なリンクを埋め込まれることでGoogleの検索順位が下がってしまう。
    ・Webサイトに悪質なファイルをアップロードされ、サイト訪問者に対してマルウェアをインストールさせてしまう。
    ・サイトを乗っ取られてしまい、スパムメールの送信元になってしまう等、自身のWebサイトが他者への攻撃の起点となってしまう。
このような被害をうけます。

これ以外にも、ECサイトとして運用している場合、顧客情報が盗まれるなど、挙げればきりがありません。 改ざんの被害に合うと、自分だけではなく、サイトに訪問してくれた利用者や第三者のサイト運営者などにも被害を及ぼすことになり、サイトの評価だけでなく自社の信頼まで失ってしまった、なんてことにもなりかねません。

また、一度、改ざんされてしまった場合、「書き換えられてしまった記事の修正」、「不正に設置されたプログラムファイルの調査と削除」など復旧のために多大な労力がかかります。

2. WordPressのセキュリティ対策


前述したような被害に合わないためにも、次に記載するセキュリティ対策を行い、対策しましょう。

管理画面のユーザー名変更とパスワード強化

簡単なことかもしれませんが、とても重要なことです。
推測されやすいユーザー名やパスワードを利用していると簡単に認証を突破されてしまいます。
この状態で、他のセキュリティ対策を頑張っても効果はありませんので、基本の基ではありますが、改めて見直してみましょう。
ユーザー名について、「admin」が初期設定されていることが多いため、使用しないようにしましょう。
パスワードについては、大文字小文字を混ぜた英字に数字記号を含め8桁以上を目安に設定しましょう。(社名や設立日などWebサイト上から読み取れる情報は利用しないようにしましょう)
詳しい変更手順については、こちらのサイトに 詳しい手順が掲載されていましたので参考にしてみてください。

テーマ、プラグインの最新化

これも基本ですが、とても大事です。
最新版が公開された場合は、必ずアップデートを行い、常に最新の状態を保つようにしましょう。
また、WordPressは利用者が多いので企業から個人までたくさんの開発者がテーマやプラグインを作成し公開しています。
そのため、中には長期間アップデートされていないプラグインやテーマも存在します。
もし、今利用しているプラグインやテーマが半年~1年全く更新されておらず、WordPressの最新バージョンに対応していないのであれば、今すぐ利用を停止して別のテーマ・プラグインに乗り換えるようにしましょう。
新しいテーマへの乗り換えや、同じような機能を持ったプラグインを探して設定を入れ替えるのに手間はかかるかもしれませんが、脆弱性を放置したまま運用を続けていると、後々大きなしっぺ返しを受けることになります。
なお、利用していないプラグインも無効化しているだけだと攻撃の踏み台に使われてしまうことがあります。
不要なものは無効化ではなく、削除するようにしましょう。

セキュリティ系プラグインの導入

WordPressがなぜ人気があるか?といえば、とりあえず自分のサイトが欲しい、今日からブログを始めたいと思ったときに、1時間もあればサイトを公開できてしまう手軽さにあると思います。

しかし、セキュリティ対策を突き詰めていくと、htaccessの設定変更や、PHPコードの修正等、ある程度のスキルが求められるようになってきます。
自分のやりたいことに注力するために、手軽に導入できるWordPressを選択したのにセキュリティ対策のために時間を取られては本末転倒かと思います。
そんなときは、セキュリティ系プラグインに頼るのも一つの手です。
海外製のセキュリティ系プラグインは不安だなという方は、日本製のSiteGuard WP Plugin がおすすめです。

詳細は、サイトを見ていただければと思いますが、管理画面のログインURLを変更できたり、ログインページやコメント投稿への画像認証が追加できたり、管理画面へのアクセス制限がかけられたりと必要な機能は一通りそろっています。

3.まとめ


今回は、WordPressでWebサイトを運用する上で最低限実施してほしい対策を3つご紹介しました。
ここで紹介したセキュリティ対策のうち、どれか一つを実施してもあまり意味はありません。セキュリティ対策は複数組み合わせて運用するのがポイントです。
また、セキュリティ対策を行えば100%攻撃が防げるというものではありません。攻撃者は常にWebサイトの脆弱性を探しており、セキュリティパッチ提供までの短いスキをついて攻撃されてしまうこともあります。
いざ、攻撃を受けてWeb改ざんされてしまったときに重要なのは「速やかに改ざんに気づきサイトを復旧すること」です。

セキュアブレインが提供している「GRED Web改ざんチェックCloud」は、URLを登録するだけですぐに開始できる、Web改ざん対策製品です。改ざんが発生していた場合、速やかにサイト管理者にアラートを送ります。お客さま専用の管理画面では、改ざんを検知した URL、改ざんのカテゴリ、検知したページのソースコード内で改ざんが疑われる箇所等がハイライト表示されるため、より迅速な対応が可能です。

Webサイトが改ざんされた場合の被害を最小限に抑えたい、Webサイトが改ざんされていないかを定期的にチェックしたいという方は、一度、以下のお問い合わせフォームからご相談ください。

お問合せフォーム
https://www.securebrain.co.jp/form/service/inquiry_input.html