WordPressの脆弱性とは？対策とセキュリティ強化に役立つプラグイン６選

Webサイトやアプリケーションは、外部からの不正アクセスを受け、乗っ取りや改ざん、なりすましなどの攻撃を受ける可能性があります。

不正アクセスの脅威は、オンラインでWebサイトを運用する限り避けられません。

日々進化し続けるWordPressも、定期的に脆弱性（システムの脆さ・プログラムの弱点）に対するアップデートを行っています。

なにも対策せずに脆弱性が放置されていると、不正アクセスが起きるリスクが高くなります。不正ログインされ、顧客データなどが持ち出されてしまうかもしれません…。

こういったリスクを避けるために、定期的なアップデートは必要不可欠。

今回の記事は、WordPressの脆弱性を判断するための方法、便利なプラグインやサービスなどを中心にまとめていきます。

大事なWordPressサイトを不正アクセスから守るためにも、ぜひ参考にしてみてくださいね。

脆弱性とは何か

システムにおける脆弱性とは、そもそもプログラムの弱点、不具合が起きる箇所とされています。

また、外部からの予想外の攻撃を受けた場合も「脆弱性が突かれた」と解釈されることが多いです。

どんなシステムにも言えることですが、100%完璧で安全なシステムを作り上げることは不可能。それはWindowsやmacOSでも、頻繁に脆弱性を補強するためのシステムパッチがインストールされることからもわかります。

WordPressの脆弱性が注目される３つの理由

WordPressの脆弱性が注目される理由としては、次の３点が挙げられます。

• 世界で最も使用されているCMS
• ソースコードがオープンになっている
• 初心者ユーザーも多い

それぞれ説明していきますね。

理由①：世界で最も使用されているCMS

WordPressは世界中で使われているCMSです。そのシェア率は驚異的で、約４割の世界のWebサイトがWordPressで作成されています。

その圧倒的な利用者数から話題になることも多く、不正アクセスのターゲットにされる機会も多くなってしまうわけです。

理由②：ソースコードがオープンになっている

WordPressはソースコードが一般公開されている、「オープンソース」と呼ばれるCMS（コンテンツマネジメントシステム）。プログラミングスキルさえあれば、誰でもソースコードを改変することができます。

たしかに、自由にカスタマイズができる柔軟性は大きなメリットです。しかし、不正アクセスを目的とするハッカーにとって、ソースコードが公開されているのは好都合。

WordPressは脆弱性を見つけやすく攻撃しやすいと言えます。

理由③：初心者ユーザーも多い

WordPressは非常に使いやすいCMSなので、ITスキルがあまりない初心者ユーザーも多く利用しています。

WordPressサイトの運営に複雑なHTMLやCSSの知識は不要。初心者でもクリックだけで、きれいなWebサイトを作成することができます。

しかし、初心者ユーザーはセキュリティの感覚が甘い場合も多く、セキュリティ対策用のプラグインなどを使用していないことがあります。

そのため、WordPressサイトの脆弱性がさらに際立ってしまうのです。

WordPressの脆弱性対策で注意すべきこと

WordPressへの攻撃では、WordPressテーマ（テンプレート）やプラグインの脆弱性をきっかけにしたものが多いのが特徴。

そのため、WordPressの脆弱性対策ではWordPressの本体システム、テーマ（テンプレート）、プラグインがポイントになります。

これら３つのポイントを踏まえた上で、具体的な対処方法を確認していきます。

WordPressセキュリティを強化する３つの対策

WordPressサイトのセキュリティ強化で有効な方法は次の通りです。

• WordPressを最新の状態にしておく
• テーマ・プラグインを最新の状態にしておく
• 不要なプラグインやテーマは削除しておく

それぞれ確認していきますね。

1.WordPressを最新の状態にしておく

WordPressでは、脆弱性を解消しセキュリティを強化するためのアップデートが、頻繁にあります。

基本的にWordPressのアップデートは、行っておくことを推奨します。最新のWordPressバージョンであれば、サイトが攻撃されるリスクは軽減できます。

ただし、WordPressのアップデートには、メジャーアップデートとマイナーアップデートの２つがあります。

メジャーアップデートは、「2.1」や「3.1」、「4.1」や「5.1」など、少数点が１つだけ。それに対して、マイナーアップデートは、「2.1.1」や「5.7.2」など、小数点が２つある変更を指します。

メジャーアップデートの場合は、大幅なプログラム変更になるので、更新に伴って他のプラグインが動作しなくなる可能性があります。更新した後は、WordPressサイトの状態をしっかり点検しておきましょう。

2.テーマやプラグインを最新の状態にしておく

WordPressのテーマ、プラグインは最新の状態にしておきましょう。

プラグインだけではなく、テーマの更新もしっかり行いましょう。少しでもリスクを抑えるために、脆弱性対策が施されたバージョンアップは必須です。

各プラグインやテーマは、設定にもよりますが基本的に自動アップデートはされません。WordPressの管理画面（ダッシュボード）を確認しつつ、手動で更新を行っていきましょう。

3.不要なプラグインやテーマは削除/停止しておく

WordPressの本体がバージョンアップしても、プラグインやテーマも同時にアップデートされるわけではありません。

少しでもリスクを避けるにも、導入するテーマやプラグインを最低限に留めておきましょう。インストールしておくことで、サイト全体に不具合を生じさせることがあるので、不要だと感じるプラグインは削除や停止しておいたほうが良いです。

また、大量のプラグイン導入はサイトの表示速度が遅くなる原因でもあり、ＳＥＯにも影響を及ぼすので注意が必要です。

WordPressセキュリティ対策用プラグイン６選

WordPressのセキュリティ対策用のプラグインをインストールしておくことも大事です。

セキュリティを強化してくれるプラグインは、そこまで多くありません。今回は推奨できる６つを紹介しておきますね。

①SiteGuard WP Plugin

【公式】SiteGuard WP Plugin

SiteGuard WP Pluginを使えば、WordPressのセキュリティ対策は完了します。

特徴

• 不正ログインを防止する
• スパムコメントを防止する
• プラグインの脆弱性チェックを行う
• PDF形式のレポートで出力する
• 指定アドレスへ内容を通知する

SiteGuardは国内で開発されたプラグイン。Webサイトのセキュリティに携わる企業が開発したもので、推奨できるプラグインの１つです。

②Wpdoctor

【公式】Wpdoctor

Wpdoctorはファイル改ざんを検知、駆除、感染ファイルを詳細に調べてくれる機能がついた優秀なプラグインです。

特徴

• サイトの改ざんを検知する
• 指定したアドレスへ検出内容を通知
• 不正ログイン防止
• コメントスパムの防止
• 怪しいIPからのアクセスをブロックする
• WordPressや導入したプラグインの脆弱性を確認する

Wpdoctorをインストールした後、ウィルスチェック（Malware scan）をクリックするだけなので、手軽に使用できます。有料版もありますが、まずは無料で使って、使い心地をチェックしましょう。

③Solid Security

【公式】Solid Security

Solid Securityはセキュリティ対策を管理画面パネルで、感覚的に使いやすい仕様になっています。不正ログインに対する細かい設定ができるのが特徴。

特徴

• 特定IPのアクセス拒否
• ダッシュボードアクセス拒否
• 通知メールの送信機能
• ブルートフォースアタック（総当たり攻撃）対策
• フォルダやファイルのパーミッション確認

アクセスに対して細かい設定が可能なので、不正ログインに万全を期したい人へ推奨できます。

④Wordfence Security

【公式】Wordfence Security

WordPressのサイトがセキュリティ対策レベル、脆弱性をワンクリックでチェックすることができます。

特徴

• ログイン通知メールが届く
• セキュリティ診断ができる
• IPアドレスから特定ユーザーをブロックできる
• ユーザーがロボットか人間か判断できる機能あり

WordPressテーマやWordPress本体、プラグインなどの脅威を診断し、マルウェアからあなたのサイトを守ってくれます。

⑤All In One WP Security & Firewall

【公式】All In One WP Security & Firewall

All In One WP Security & Firewallは、WordPress全体に色々なセキュリティ対策を行ってくれるプラグイン。デザインが柔らかく、スタイリッシュ。

特徴

• Firewallを導入できる
• スパムコメントをブロックする
• 管理画面からWhoisでドメインのリサーチも可能。
• 特定IPからのアクセスを防ぐ
• ブルートフォース攻撃を防ぐ
• 右クリックメニューの非表示やコピーを禁止できる

All In One WP Security & Firewallは、管理画面からどれくらいのセキュリティ対策が実施されているか、数値で把握できるようになっています。

⑥BulletProof Security

【公式】BulletProof Security

BulletProof SecurityはWordPressに基本的なセキュリティ機能を追加してくれるプラグイン。画面の配色を変更したり、色々とカスタマイズが可能です。

特徴

• 管理画面はすべて英語
• マルウェアの有無を診断する
• 特定のIPアドレスのアクセスにメンテナンスモード画面を表示できる
• 一定時間動きがない場合は自動でログアウトする

BulletProof Securityの管理画面はすべて英語で書かれているので、少し扱いづらいかもしれません。

その他WordPressで行うべきセキュリティ対策

WordPressのセキュリティを向上させる方法は、プラグインの導入だけではありません。

• パスワードを複雑にする
• ログインURLを変更する
• 「wp-config.php」ファイルの権限設定を変える

それぞれ確認していきますね。

パスワードを複雑にする

WordPressのログインパスワードは、なるべく複雑なもので12桁で設定するのが良いです
。また、ユーザーを追加する際にも同様のことが言えます。

WordPressが自動で提供してくれる、文字列の羅列も良いのでしょうが…せっかくなら自分で決めたいですよね。たとえば、アルファベット（大文字/小文字）や数字を組み合わせ12桁を超えるパスワードが良いですね。

ログインURLを変更する

WordPress管理画面へのログインページは「/wp-login.php」になっています。

つまり、以下のURLを入力すれば管理画面（ダッシュボード）へアクセスすることが可能ということ。

• https://ドメイン/wp-login.php
• https://ドメイン/wp-admin

この設定のままだと、誰でもあなたのWordPressサイトの管理画面まで辿りついて
しまいます。そして、ブルートフォースアタック（総当たり攻撃）を受けると、パスワードが破られログインされてしまうリスクがあります。

このログインＵＲＬは、前述したセキュリティプラグインのSiteGuard WP PluginやWPS Hide Loginなどを使用することで、簡単に変更することができます。

「wp-config.php」ファイルの権限設定を変える

「wp-config.php」ファイルには、データベースにログインするために必要な情報が書かれています。内容を見られるとデータベースに侵入され、大事な情報を盗まれる可能性があります。

「wp-config.php」ファイルを保護するには、デフォルトのアクセス権限（パーミッション）「644」を「600」に変更しておきましょう。

そうすれば、管理者しか読み書きができませんし、閲覧もできない設定になります。アクセス権限の設定については、こちらの記事（ファイルパーミッションの変更）が参考になります。