Share on
WordPressのセキュリティ強化|絶対やるべき6つの対策を解説!
この記事では WordPress のセキュリティ対策の方法についてお伝えします。
あなたの会社のサイトではセキュリティ対策をきちんとしていますか?
セキュリティ対策の重要性は問題が起こってはじめて理解できることかもしれません。しかしトラブルになってからでは遅すぎます。外部からの攻撃による被害を受けないように日頃からやっておくべきことです。とはいえ、どんなことをしたらいいのかわからないという方もいるでしょう。
本記事を読むと以下のことがわかります。
- WordPressはセキュリティが弱いと言われる理由
- 攻撃されたらどんな被害を被るのか
- 自社でできるセキュリティ対策
- Web制作会社でしてもらえる対策
自社サイトは売り上げを上げるための『資産』です。資産を安全に運用していきたいとお考えの方はぜひ最後までお読みください。
WordPress でセキュリティに気をつけるべき理由
「 WordPress はセキュリティに気をつけるべき」と言われる主な理由は以下の4つです。
- オープンソースプログラムだから
- 利用者が多いから
- ユーザーがセキュリティ意識を持ちにくいから
- 管理画面がインターネット上にあるから
一つずつ解説します。
オープンソースプログラムだから
Wordpress はコードが公開されており、世界中の開発者が独自のカスタマイズをして使えます。一方でハッカーにとってはセキュリティの穴が見つけやすく攻撃しやすいシステムです。
利用者が多いから
WordPress は無料で導入ハードルが低いこともあり、利用者が非常に多いです。世界の全 Web サイトの4割、 CMS が使われているサイトの6割が WordPress で占められています。
利用者の多さは、ハッカーからすれば攻撃可能な範囲が広いということ。効率よく攻撃でき大きなインパクトが与えられるため狙われやすいのです。
ユーザーがセキュリティ意識を持ちにくいから
Wordpress は Web に詳しくない人でも簡単に使い始められます。セキュリティ対策をしなくてもとりあえず使えてしまうので、後回しにされてしまいがちです。
初心者はとくに、どこに危険があってどんな対策をしたらいいかイメージがつきません。セキュリティ対策の重要性の認識も高いとは言えず、十分な対策がされないまま運用されているサイトも少なくないと思われます。
管理画面がインターネット上にあるから
Wordpress はブラウザからログインして管理画面に入る仕様です。デフォルトの設定ではドメインさえわかればログインページの URL が簡単に特定できてしまいます。 あとはパスワードが破られたらおしまいです。
reddit によると数字だけのパスワードなら12文字でも25秒で破られてしまいます。管理画面がインターネット上にあるだけで不正侵入のリスクに大きく晒されているのです。
| 文字数 | 数字のみ | 小文字のみ | 大文字と小文字 | 数字と大文字、小文字 | 数字と大文字、小文字、記号 |
|---|---|---|---|---|---|
| 8 | すぐ | 5秒 | 22分 | 1時間 | 8時間 |
| 9 | すぐ | 2分 | 19時間 | 3日 | 3週間 |
| 10 | すぐ | 58分 | 1ヶ月 | 7ヶ月 | 5年 |
| 11 | 2秒 | 1日 | 5年 | 41年 | 400年 |
| 12 | 25秒 | 3週間 | 300年 | 2000年 | 3万4千年 |
| 13 | 4分 | 1年 | 1万6千年 | 10万年 | 200万年 |
| 14 | 41分 | 51年 | 80万年 | 900万年 | 2億年 |
総当たり攻撃によるパスワード割り出しにかかる時間
reddit を参考に作成
攻撃により想定される被害
攻撃により想定される被害には以下のものがあります。
- サイトの乗っ取り
- Webサイトの改ざん
- スパムメール送信
- 情報漏洩
一つずつ見ていきましょう。
サイトの乗っ取り
管理画面への不正アクセスによりサイトが乗っ取られます。ログインパスワードが書き換えられてしまったら、元の管理者はログインすることもできません。サイトの一部もしくは全体を書き換えられてしまうこともあります。
Web サイトの改ざん
Web サイトの改ざんとは、管理者の意図しない変更が悪意ある第三者によって加えられることです。これによりサイト所有者の意思とは無関係に不適切な情報が発信されたり、サイト訪問者をマルウェアに感染させてしまったりするなどの被害が出ます。
スパムメール送信
自社サイトにメール送信プログラムが埋め込まれ大量のスパムメールが送信されます。 他者に多大な迷惑をかけることになり企業の信用を落としてしまいます。
情報漏洩
WordPressに実装したお問い合わせフォームからお問い合わせ内容とそれに付随する個人情報が漏洩することがあります。
Wordpressを活用して会員制のウェブサイトやECサイトを運営している場合、会員の個人情報を格納していることが多いので、漏洩した場合の影響はより深刻です。
今日からできる6つのセキュリティ対策
ウェブサイトにおけるセキュリティ対策はたくさんあるので、すべてをカバーすることは難しいかもしれません。しかしできることをやるだけで攻撃を受けるリスクは確実に減らせます。
たとえば自宅に鍵をかけること自体は簡単ですが、やるかどうかで防犯効果は大きく変わりますよね? ウェブサイトのセキュリティ対策も同じです。まずはできることをきちんとやりましょう。すぐにできる対策をご紹介します。
ログイン情報の管理
ログイン情報の管理は基本中の基本です。シンプルですが重要かつ威力もあります。できるのは以下の2点です。
- 強力なパスワードを作る
- 定期的に変更する
強力なパスワードは以下の二つの条件を満たします。
- 数字、アルファベットの大文字・小文字、記号が混ざっている
- 12桁以上
先に挙げた reddit の表によればこのパスワードを総当たり攻撃で破るのに34,000年もかかるので強度としては十分です。さらに定期的に変更すればかなり安全と考えられます。
パスワードの変更は管理画面の「ユーザー」>「あなたのプロフィール」をクリック。ページ下部の「パスワードを生成する」から行えます。
WordPress は最新版を使う
WordPress は常に最新版を使うようにアップデートを行います。更新することで修正プログラムが適用されるだけでなく改善・追加された機能が使えるのもメリットです。またセキュリティアップデートが自動適用されるように設定することもできます。
ただしアップデートの前にバックアップを取っておきましょう。環境によってプラグインが動かなくなったりすることがあります。テスト環境で動作確認をした上で行うのが望ましいです。
WordPressのアップデートは簡単にできます。
左側メニューから「ダッシュボード」>「更新」をクリックすると以下の画面になります。ここで「WordPressの新しいバージョンがあります」と出ていたら「今すぐ更新」ボタンをクリックするだけです。
プラグインも最新版を使う
プラグインもアップデートがあります。こまめに更新して常に最新版を利用するようにしてください。プラグインもプログラムであり脆弱性が発生するポイントです。 アップデートしなければ脆弱性が残ったままになります。
プラグインには自動更新機能が付いていますが、うまく適用されないこともあります。定期的にチェックし更新できていなかったら手動で対応しましょう。
プラグインの更新チェックは管理画面から「ダッシュボード」>「更新」でできます。ページ下部の「プラグイン」で「すべて選択」にチェックしたら、あとは「プラグインを更新」をクリックすれば完了です。
なお使っていたプラグインの更新が止まってしまったら、メンテナンスされている別のプラグインへの変更を検討してください。
不要なテーマ・プラグインの削除
使わないテーマやプラグインを残しておくのはセキュリティの観点からよくありません。使わなくても更新作業は発生するのでメンテナンスの手間もかかります。使わないものは削除しておきましょう。
左側メニューの「プラグイン」>「インストール済みプラグイン」から該当プラグインの「削除」をクリックするだけです。
セキュリティ強化プラグインの導入
セキュリティ強化プラグインはいくつかありますが、弊社でよく使うのは「SiteGuard」です。インストールするだけで以下の攻撃を防ぐことができます。
- 不正ログイン
- 管理ページへの不正アクセス
- コメントスパム
- 「xmlrpc.php」ファイルへの攻撃
「xmlrpc.php」ファイルへの攻撃に対しては「XMLRPC防御」を行います。攻撃の対象にされやすい「xmlrpc.php」ファイルへのアクセスに制限をかけることで攻撃からのリスクを回避するものです。SiteGuardではデフォルトで「ON」になっており、そのままで使えます。
注意点としては、インストールし有効化すると自動的にログインページのURLが変更されてしまいます。管理画面の「SiteGuard」>「ログインページ変更」をクリックして、新しいログインページを開きその場でブックマークしてください。
また設定は必要ですが、「画像認証」も追加できます。
画像認証はログイン時などに画像として表示された文字列を入力するものです。「ON」にすれば「ひらがな(デフォルト)」での画像認証が求められるようになります。
バックアップを取る
サイトの不具合からの修復が難しくなったときに備えて、バックアップを取っておきましょう。バックアップには2通りの取り方があります。
- WordPress側で取る
- サーバー側で取る
WordPress でバックアップを取る場合には「BackWPup」などのプラグインを使います。自動でも手動でもバックアップが可能です。
バックアップはサーバー側で取ることもでき、弊社ではこちらの方法をよく使います。サイトの規模にもよりますが、WordPress側で取ると時間がかかりすぎて失敗することがあるからです。サーバー側の方が失敗が少なく安定した運用が可能です。
Web 制作会社が行うセキュリティ強化
上記の対策を基本としつつ、Web 制作会社としてどんなことができるのか。クーシーの場合は、管理画面へのアクセスについて「IPアドレスでアクセス制限」をかけています。
また以下のようなセキュリティ強化にも対応しています。
- 画面を公開するサーバーと管理画面を扱うサーバーを別にする
- 所定の Google Workspce 内のアカウント以外はログインできないようにする
- 有料のセキュリティ対策プラグインの導入
たとえば「不正なアクセスが大量に来た場合に当該のIPを自動でブロックできるようにしたい」という場合には、別で対応が必要ですのでケースやご要望によってご提案しています。
まとめ
以上、WordPress のセキュリティ対策についてお伝えしました。
記事にも書いたとおり、セキュリティ対策には自社でできる簡単なものもあります。できないというより「知ろうとしない」「やろうとしない」ことがサイトの安全性を低くしていると言えるでしょう。
ここまで読んでくれたあなたはセキュリティ対策について人一倍の危機感をお持ちだと思います。その気持ちが安全性向上の原動力です。
本記事を読んでまだやっていないことがありましたら、ぜひやってみてください。
この記事を書いた人
クーシーブログ編集部
1999年に設立したweb制作会社。「ラスクル」「SUUMO」「スタディサプリ」など様々なサービスの立ち上げを支援。10,000ページ以上の大規模サイトの制作・運用や、年間約600件以上のプロジェクトに従事。クーシーブログ編集部では、数々のプロジェクトを成功に導いたメンバーが、Web制作・Webサービスに関するノウハウやハウツーを発信中。
お問い合わせはこちらから
Web制作デザイン、丸ごとお任せ
お問い合わせする
テキスト:加藤久佳 デザイン:大坂間 琴美
Share on
