- セキュリティ
- プラグイン
- 保守管理
PR
最終更新日:
サイト引越し屋さん編集部
サイト引越し屋さん編集部WordPress脆弱性とセキュリティー対策プラグイン6個を解説
個人ブログから企業サイトまで、幅広く用いられるのがWordpress。
手軽に導入できる一方で、ハッカーに狙われやすいともいわれています。
WordPress本体やテーマ、プラグインの開発者は常に脆弱性に対するアップデートを行っていますが、実際には脆弱性が放置されているサイトも少なくはありません。
本記事ではWordPressのセキュリティー対策が重要な理由と、実際にどのように対策するかを、多くのサーバー移管やWordpressセキュリティー対策をしてきたサイト引越し屋さんが解説します。
大事なWordPressサイトを不正アクセスから守るためにも、ぜひ参考にしてみてくださいね。
\WordPress乗っ取り被害が増えているのをご存知ですか?/
「わたしのWordPressは乗っ取られるはずなんてない」「今まで大丈夫だったんだから今後も大丈夫でしょ」
このような考えでは、万が一乗っ取られた時にページを勝手に書き換えられてしまったり、削除されてしまうなどの被害が発生します。
乗っ取りや不具合で被害を受ける方が少しでも減るように、サイト引越し屋さんではWordPress保守の無料メールセミナーをお届けしています。
「WordPressを今後も安心・安全に運用したい」
とお考えの方は是非クリックのうえ情報を受け取ってください。
>>無料のWordPress保守メールセミナーご登録はこちら
目次(クリックで飛べます!)
WordPressの脆弱性とは何か
WordPressに限らず、システムにおける脆弱性とは、プログラムの弱点、不具合が起きる箇所とされています。
セキュリティー上の欠陥と考えるとわかりやすいかもしれません。
ソフトウェアやシステムの開発者は常に脆弱性の発見と改善に手を尽くしていますが、100%安全なソフトウェア・システムを作ることはできません。
世界的に有名なソフトウェアなどでも常に新しい脆弱性が発見され、修正されてアップデートされているのが実情です。
このことは、WindowsやMacのOSが頻繁にセキュリティー対策を施した更新プログラムを提供していることからもわかります。
WordPressのセキュリティー対策の重要性
ハッカーたちはソフトウェアやシステムの脆弱性を突いて、様々な攻撃を仕掛けてきます。
脆弱性のないソフトウェア・システムはないので、ハッカーはある意味ではあらゆるソフトウェアを攻撃できるのですが、なかでもWordPressは攻撃されやすいと言われています。
なぜ、Wordpressがハッカーの標的になりやすいのか、Wordpressの脆弱性が注目されるのか。
3つの理由を見てみましょう。
- 世界で最も使用されているCMS
- ソースコードがオープンになっている
- 初心者ユーザーも多い
それぞれ説明していきますね。
理由①:世界で最も使用されているCMS
WordPressは世界中で使われているCMSです。そのシェア率は驚異的で、約4割の世界のWebサイトがWordPressで作成されています。
その圧倒的な利用者数から話題になることも多く、不正アクセスのターゲットにされる機会も多くなってしまうわけです。
理由②:ソースコードがオープンになっている
WordPressはソースコードが一般公開されている、「オープンソース」と呼ばれるCMS(コンテンツマネジメントシステム)。プログラミングスキルさえあれば、誰でもソースコードを改変することができます。
たしかに、自由にカスタマイズができる柔軟性は大きなメリットです。しかし、不正アクセスを目的とするハッカーにとって、ソースコードが公開されているのは好都合。
WordPressは脆弱性を見つけやすく攻撃しやすいと言えます。
理由③:初心者ユーザーも多い
WordPressは非常に使いやすいCMSなので、ITスキルがあまりない初心者ユーザーも多く利用しています。
WordPressサイトの運営に複雑なHTMLやCSSの知識は不要。初心者でもクリックだけで、きれいなWebサイトを作成することができます。
しかし、初心者ユーザーはセキュリティの感覚が甘い場合も多く、セキュリティ対策用のプラグインなどを使用していないことがあります。
そのため、WordPressサイトの脆弱性がさらに際立ってしまうのです。
WordPressの脆弱性を突かれたらどうなる?
もし、Wordpressの脆弱性を突かれたら、いったいどうなるのでしょうか?
ここでは、代表的な3つの被害リスクを見ていきます。
サイトが勝手に改ざんされてしまう
WordPressの脆弱性を突かれた場合に起きる1つ目の問題が、サイトの改ざんです。
コンテンツが書き換えられたり、不正なコードが埋め込まれたりするリスクがあります。
2017年2月にはWordpress本体の脆弱性を原因として、155万以上のサイトが書き換えられるという問題も発生しました。
昨今ではこれほど大規模なサイトの改ざんはないものの、個別のサイトレベルではこのようなセキュリティ事故が発生しています。
たとえば、2024年9月には関西のコーヒーチェーンのサイトが無関係なサイトに遷移するように改ざんされた事例もあります。
こちらは旧バージョンのWordpressを利用していたことが原因とみられています。
(出典元:日経BP – 150万サイトが被害、WordPressを狙った改ざんの教訓
)
(出典元:Security NEXT – コーヒーチェーンの公式サイトが改ざん被害 – 旧版CMSの脆弱性突かれる
)
個人情報漏洩
ニュースなどでもたびたび話題になる、個人情報漏洩。
Wordpressのセキュリティーが不十分な場合、サイトに登録された個人情報、機密情報などが漏洩するリスクがあります。
特にクレジットカード番号などを入力する必要のあるサイトでは、個人情報漏洩によって損害賠償問題に発展する可能性も否定できません。
実際に、山形大学では2022年にCMS(コンテンツ管理システム)の管理情報が特定され、個人情報が流出するという問題が起きました。
どのCMSだったのかははっきりしていませんが、WordpressもCMSのひとつとして含まれています。
(出典元:Security NEXT – 159サイトを運用するサーバに不正プログラム、CMSを侵害か – 山形大
)
踏み台化
WordPressサイトの脆弱性を突かれてサイトが乗っ取られてしまうと、知らないうちに犯罪に加担してしまうリスクもあります。
「踏み台化」といって、あなたのサイトが迷惑メールの発信元にされたり、別のシステムの攻撃への踏み台にされることがあるからです。
踏み台化されたサイトを放置していると、サーバーの停止措置を受けるリスクもあります。
WordPressのセキュリティーを強化する対策
先ほどの事例でも見たように、Wordpressの運用にはセキュリティー対策が必須です。
もちろん、セキュリティー対策をしたからといってすべての脅威から守られるわけではありませんが、基本的な対策を取っておくだけでも自サイトを「攻撃されにくいサイト」にできます。
ここでは、6つの対策を見てみましょう。
- WordPressを最新の状態にしておく
- テーマ・プラグインを最新の状態にしておく
- 不要なプラグインやテーマは削除しておく
- パスワードを複雑にする
- ログインURLを変更する
- 「wp-config.php」ファイルの権限設定を変える
それぞれ確認していきますね。
1.WordPressを最新の状態にしておく
WordPressでは、脆弱性を解消しセキュリティを強化するためのアップデートが、頻繁にあります。
基本的にWordPressのアップデートは、行っておくことを推奨します。最新のWordPressバージョンであれば、サイトが攻撃されるリスクは軽減できます。
ただし、WordPressのアップデートには、メジャーアップデートとマイナーアップデートの2つがあります。
メジャーアップデートは、「2.1」や「3.1」、「4.1」や「5.1」など、少数点が1つだけ。それに対して、マイナーアップデートは、「2.1.1」や「5.7.2」など、小数点が2つある変更を指します。
メジャーアップデートの場合は、大幅なプログラム変更になるので、更新に伴って他のプラグインが動作しなくなる可能性があります。更新した後は、WordPressサイトの状態をしっかり点検しておきましょう。
2.テーマやプラグインを最新の状態にしておく
WordPressのテーマ、プラグインは最新の状態にしておきましょう。
プラグインだけではなく、テーマの更新もしっかり行いましょう。少しでもリスクを抑えるために、脆弱性対策が施されたバージョンアップは必須です。
各プラグインやテーマは、設定にもよりますが基本的に自動アップデートはされません。WordPressの管理画面(ダッシュボード)を確認しつつ、手動で更新を行っていきましょう。
3.不要なプラグインやテーマは削除/停止しておく
WordPressの本体がバージョンアップしても、プラグインやテーマも同時にアップデートされるわけではありません。
少しでもリスクを避けるにも、導入するテーマやプラグインを最低限に留めておきましょう。インストールしておくことで、サイト全体に不具合を生じさせることがあるので、不要だと感じるプラグインは削除や停止しておいたほうが良いです。
また、大量のプラグイン導入はサイトの表示速度が遅くなる原因でもあり、SEOにも影響を及ぼすので注意が必要です。
4.パスワードを複雑にする
WordPressのログインパスワードは、なるべく複雑なもので12桁で設定するのが良いです。また、ユーザーを追加する際にも同様のことが言えます。
WordPressが自動で提供してくれる、文字列の羅列も良いのでしょうが…せっかくなら自分で決めたいですよね。たとえば、アルファベット(大文字/小文字)や数字を組み合わせ12桁を超えるパスワードが良いですね。
5.ログインURLを変更する
WordPress管理画面へのログインページは「/wp-login.php」になっています。
つまり、以下のURLを入力すれば管理画面(ダッシュボード)へアクセスすることが可能ということ。
- https://ドメイン/wp-login.php
- https://ドメイン/wp-admin
この設定のままだと、誰でもあなたのWordPressサイトの管理画面まで辿りついて
しまいます。そして、ブルートフォースアタック(総当たり攻撃)を受けると、パスワードが破られログインされてしまうリスクがあります。
このログインURLは、前述したセキュリティプラグインのSiteGuard WP PluginやWPS Hide Loginなどを使用することで、簡単に変更することができます。
6.「wp-config.php」ファイルの権限設定を変える
「wp-config.php」ファイルには、データベースにログインするために必要な情報が書かれています。内容を見られるとデータベースに侵入され、大事な情報を盗まれる可能性があります。
「wp-config.php」ファイルを保護するには、デフォルトのアクセス権限(パーミッション)「644」を「600」に変更しておきましょう。
そうすれば、管理者しか読み書きができませんし、閲覧もできない設定になります。アクセス権限の設定については、こちらの記事(ファイルパーミッションの変更)が参考になります。
WordPressセキュリティ対策用プラグイン6選
WordPressのセキュリティ対策用のプラグインをインストールしておくことも大事です。
セキュリティを強化してくれるプラグインは、そこまで多くありません。今回は推奨できる6つを紹介しておきますね。
①SiteGuard WP Plugin
SiteGuard WP Pluginを使えば、WordPressのセキュリティ対策は完了します。
特徴
- 不正ログインを防止する
- スパムコメントを防止する
- プラグインの脆弱性チェックを行う
- PDF形式のレポートで出力する
- 指定アドレスへ内容を通知する
SiteGuardは国内で開発されたプラグイン。Webサイトのセキュリティに携わる企業が開発したもので、推奨できるプラグインの1つです。
②Wpdoctor
Wpdoctorはファイル改ざんを検知、駆除、感染ファイルを詳細に調べてくれる機能がついた優秀なプラグインです。
特徴
- サイトの改ざんを検知する
- 指定したアドレスへ検出内容を通知
- 不正ログイン防止
- コメントスパムの防止
- 怪しいIPからのアクセスをブロックする
- WordPressや導入したプラグインの脆弱性を確認する
Wpdoctorをインストールした後、ウィルスチェック(Malware scan)をクリックするだけなので、手軽に使用できます。有料版もありますが、まずは無料で使って、使い心地をチェックしましょう。
③Solid Security
Solid Securityはセキュリティ対策を管理画面パネルで、感覚的に使いやすい仕様になっています。不正ログインに対する細かい設定ができるのが特徴。
特徴
- 特定IPのアクセス拒否
- ダッシュボードアクセス拒否
- 通知メールの送信機能
- ブルートフォースアタック(総当たり攻撃)対策
- フォルダやファイルのパーミッション確認
アクセスに対して細かい設定が可能なので、不正ログインに万全を期したい人へ推奨できます。
④Wordfence Security
WordPressのサイトがセキュリティ対策レベル、脆弱性をワンクリックでチェックすることができます。
特徴
- ログイン通知メールが届く
- セキュリティ診断ができる
- IPアドレスから特定ユーザーをブロックできる
- ユーザーがロボットか人間か判断できる機能あり
WordPressテーマやWordPress本体、プラグインなどの脅威を診断し、マルウェアからあなたのサイトを守ってくれます。
⑤All-In-One Security (AIOS) – Security and Firewall
【公式】All-In-One Security (AIOS) – Security and Firewall
All-In-One Security (AIOS) – Security and Firewallは、ダウンロード数100万以上を誇る人気のプラグイン。日本語に対応している点も高評価です。
特徴
- ログインロック機能が使える
- ログインページURL変更ができる
- Firewallを導入できる
- 右クリックメニューの非表示やコピーを禁止できる
- 2段階認証の設定ができる
- 特定IPからのアクセスを防ぐ
- ファイルが変更されたときに検出できる
多機能なプラグインなので設定項目が多いものの、丁寧に設定すれば高いセキュリティー効果が期待できます。
⑥BulletProof Security
BulletProof SecurityはWordPressに基本的なセキュリティ機能を追加してくれるプラグイン。画面の配色を変更したり、色々とカスタマイズが可能です。
特徴
- 管理画面はすべて英語
- マルウェアの有無を診断する
- 特定のIPアドレスのアクセスにメンテナンスモード画面を表示できる
- 一定時間動きがない場合は自動でログアウトする
BulletProof Securityの管理画面はすべて英語で書かれているので、少し扱いづらいかもしれません。
\WordPress乗っ取り被害が増えているのをご存知ですか?/
「わたしのWordPressは乗っ取られるはずなんてない」「今まで大丈夫だったんだから今後も大丈夫でしょ」
このような考えでは、万が一乗っ取られた時にページを勝手に書き換えられてしまったり、削除されてしまうなどの被害が発生します。
乗っ取りや不具合で被害を受ける方が少しでも減るように、サイト引越し屋さんではWordPress保守の無料メールセミナーをお届けしています。
「WordPressを今後も安心・安全に運用したい」
とお考えの方は是非クリックのうえ情報を受け取ってください。
>>無料のWordPress保守メールセミナーご登録はこちら
この記事を書いた人
サイト引越し屋さん編集部
日本で最も利用されているサーバー移転&保守代行サービス『サイト引越し屋さん』の中の人です。 サイト引越しに関わる技術情報をはじめ、WordPressやその他のWebサービスに関するノウハウを発信しています。 全日本SEO協会所属。
本サイトにてご提供している情報については、最新かつ正確な情報を提供するよう努力していますが、情報の正確性や完全性を保証するものではございません。また、コンテンツには一部プロモーションが含まれております。本サイトの情報を利用することによって生じたいかなる損害に対しても、当社は責任を負いかねます。情報をご利用される際は、ご自身の判断と責任において行っていただきますようお願い致します。
