fbpx

As Best Creative, Do Everything For a Goal…

Blog 社員ブログ

BLOG

社員ブログ

Web制作
WordPressのセキュリティ対策の方法と強化プラグインまとめ
2020/05/26


Wordpressは、手軽にウェブサイトやブログを構築できることから、世界トップシェアを誇るCMSです。

カスタマイズやSEOがしやすく、利用者が多いので困ったときに情報を得やすいなど、Wordpressを利用するメリットはたくさんありますが、一方でセキュリティー面に関して注意が必要な部分もあります。

この記事では、なぜWordPressはセキュリティが弱いといわれる理由や、すぐに実践できるセキュリティ対策、プラグインなどについて解説します。

目次

Wordpressのセキュリティが弱いといわれる理由

WordPressは、セキュリティが脆弱だといわれることも多いのですが、これは真実なのでしょうか。セキュリティが弱いと言われる理由について見ていきましょう。

WordPressは世界中で使用されるメジャーCMSなので狙われやすい

WordPressは、世界シェアトップのCMSです。世界的にメジャーであり、ユーザー数も多いことから、攻撃のターゲットになりやすくなってしまっています。

また、WordPressでつくられているサイトは、一目でそれがWordPressで運用されていることが分かるつくりになっていることも、それに拍車をかける原因となっています。

Wordpressのセキュリティが特別に脆弱というわけではなく、シェアが多いことから狙われやすく、結果的に被害数が多くなってしまうのです。

オープンソースなのでセキュリティホールが発見されやすい

WordPressは、無料で利用ができるオープンソースです。オープンソースは多くの人が使いやすく拡張しやすいというメリットがあります。しかし、プログラム構造やシステムの仕様が公開されているため、セキュリティホールが発見しやすいというデメリットもあります。

管理画面のURLがデフォルトでは固定化されている

WordPressでは、管理画面のURLがデフォルトでは固定化されているので、誰でも簡単にログインページへアクセスできてしまいます。

もちろんユーザー名とパスワードが分からなければログインはできませんが、攻撃者はログイン画面に入れれば、パスワードの総当たり攻撃(ブルートフォースアタック)が可能になります。パスワードが短かったり、数字のみの単純な文字列だったりすると、これで簡単にログインされてしまう恐れがあります。

ブログやホームページを初めて運営する人は、設定を変えていないことが多く、パスワードも覚えやすい簡単なものであることから、被害に遭いやすくなります。

すぐ実践できる!最低限行うべきWordpressのセキュリティ対策

WordPressは特別セキュリティが脆弱ということはありませんが、前述のとおり、ユーザー数が多いことから、狙われやすいのも事実です。

ここでは、WordPressを利用する際には最低限行っておきたいセキュリティ対策を6つご紹介します。

Wordpressのバージョンは最新の状態に保つ

WordPressは、脆弱性やセキュリティホールなどが発見される度に随時更新されるため、常に最新のバージョンを保つことが、セキュリティ対策の基本です。

セキュリティやバグの修正であるマイナーアップデートに関しては、リリース後しばらくすると自動でアップデートされます。しかし、自動でアップデートされるまで、やや時間がかかる場合もあるため、通知に気付いたタイミングで、手動対応した方が安全です。

WordPressをバージョンを古いままにしておくのは、セキュリティ面でリスクとなるので、常に最新の状態に保つことを心掛けましょう。

管理画面のユーザー名・パスワードを複雑化する

管理画面のユーザー名が簡単なものになっている、簡単なパスワードを使用している人も少なくありません。

ユーザー名がadminだったり、パスワードに生年月日などを設定していると、悪意のある第三者に簡単にログインされてしまいます。

また、ユーザー名とサイト上の表示名(ニックネーム)を同じにしている人も多いですが、これはログイン情報を半分公開しているようなものです。

WordPressのユーザー名とパスワードは、意味のある単語ではなく、意味のない文字列の羅列にし、英数、記号を組み合わせた複雑なものを設定すようにしましょう。

SSL化する

WordPressに限ったことではありませんが、ウェブサイトを運営するうえでSSL化対応は必須です。
SSLとは「Secure Sockets Layer」のことで、インターネット上の通信を暗号化する仕組みのことです。サイトを常時SSL化することで、端末とサーバー間の盗聴や改ざんを防ぐことができ、ログイン情報などを守ることが可能になります。

また、SSL化されていないサイトは、ブラウザで警告表示されるため、ユーザーに不安を与えてしまいます。閲覧者の信頼を高めるうえでもSSL化を行うことは必要です。

設定ファイルには所有者のみがアクセスできるようにする

WordPressには、データベースのIDやパスワード、WordPressの設定情報などが記載されている「wp-config.php」というファイルがあります。

このファイルに外部からアクセスされてしまうと、サイトが乗っ取られるなどのリスクとなるので、第三者がアクセスできないように設定しておきましょう。

具体的な方法は、FTPソフトでパーミッション(ファイルの属性)を、デフォルトの「644」から「600」に変更することで、所有者のみ読み取りと書き込みができるようにします。

こうすることで、ファイルの所有者だけがファイルを扱えるようになるため、不正にアクセスされるリスクを減らすことができます。

国外IPアドレスからのアクセスを制限する

WordPressへの不正アクセスやアタックは、海外から行われることが多いので、国外IPアドレスからのアクセスを制限しておくといいでしょう。

レンタルサーバーによっては、海外からのアクセスを拒否・制限できるサービスを提供しているケースもあります。また、管理画面への海外からのアクセスをブロックできるプラグインなどもあるため、それらを利用すると便利です。

プラグインの導入は必要最小限に

WordPressにはさまざまなプラグインがあり、それらを使うことで自由にカスタマイズできたり拡張できたりすることが魅力です。しかし、必要ないプラグインを大量に導入してしまうと、不正アクセスなどを受けやすくなるリスクがあるため注意しましょう。

プラグインもWordPressの本体と同様に脆弱性が発見されるケースがあります。そのままの状態にしておくと不正アクセスなどを受けやすくなってしまうため、定期的にアップデートを行わなければいけません。

導入したけれども使っていないからとアップデートしない人も少なくありませんが、使っていなくても攻撃のターゲットになります。不要なプラグインは導入しない、使わなくなったものは削除することを心がけましょう。

Wordpressのセキュリティ強化のためのプラグイン

WordPressにはセキュリティ強化のためのプラグインが数多くあります。どれを導入するかで迷って人のために、人気のものを4つご紹介します。

SiteGuard WP Plugin

「SiteGuard WP Plugin」は、WordPressのログイン画面や管理画面の保護を目的にした無料プラグインです。SiteGuard WP Pluginの主な機能は以下の通りです。

・管理画面へのアクセス制限
・画像認証
・ログインURLの変更
・ログインロック
・ログインアラート
・不正アクセス履歴の閲覧

管理画面へのアクセス制限を使うことで、ログインしていないユーザーは管理画面へアクセスできなくなります。管理画面への侵入を防げるため、改ざんや情報の流出のリスクが軽減します。

画像認証とは、管理画面へのログインやコメントなどを残す際に、画像に表示された文字を入力しなければいけない機能です。不正アクセスは自動プログラムであるボットで行われることが多いのですが、ボットは画像の文字を認識できません。

複数回ログインに失敗したユーザーを一定時間ロックする、管理画面へのログインがあった際の通知機能などもあります。また、アクセス履歴も確認できるため、万が一不正アクセスが成功していた場合でもすぐに把握でき、パスワードの変更といった対策がとりやすいのです。

All In One WP Security & Firewall

「All In One WP Security & Firewall」はWordPressのセキュリティ対策プラグインの中でもメジャーなもので、さまざまな攻撃を防げます。機能としては、次の通りです。

・WordPressのバージョンを隠す
・ログインロック
・データベースの接頭辞(wp_)変更
・ファイルへのアクセス・編集禁止
・ファイアウォール設定
・ブルートフォースアタックの阻止
・コメントスパム対策

さまざまな対策をまとめて行えることが特徴です。バージョンを隠すことで脆弱性のあるバージョンかどうかが判別できなくなる、接頭辞を一括で変更しておくことでデータベースのセキュリティが高まるといった効果があります。

ログインロックやブルートフォースアタック機能では総当たり攻撃を防げるため、不正アクセスなどのリスクが軽減します。

IP Geo Block

「IP Geo Block」は、海外からの攻撃やスパムを防ぐためのプラグインです。管理画面、公開画面双方への国外IPアドレスからの不正アクセスをブロックできます。

特に、総当たり攻撃であるブルートフォースアタックは海外からのアクセスによるものが多いため、IP Geo Blockを導入することで効率的に防げるでしょう。接続の拒否は国コードによって指定できるため、不正アクセスが多い国からの攻撃をピンポイントで指定できるのも特徴です。

Akismet

「Akismet」はスパム対策を目的としたプラグインで、WordPressにデフォルトでインストールされています。投稿されたコメントやトラックバックがスパムかどうかを自動判別してくれるほか、スパムコメントなどを「スパムフォルダ」に自動で移動して削除してくれます。

このプラグインを有効化しておくだけで、手動でスパムを削除する必要がほとんどなくなります。

Wordpressのセキュリティのセキュリティ診断ツール

現状の自身のサイトのセキュリティ状態を簡易的に診断するツールを2つご紹介します。無料ツールなので、あくまで参考程度のものになりますが、セキュリティが気になっている方はチェックして確認してみましょう。

WPScans.com

「WPScans.com」とは、WordPress専用のWeb診断サービスで、脆弱性をチェックしてくれます。

WPScans.comにホームページやブログのURLを入力し、ボタンをクリックするだけで簡単に診断可能です。しばらくするとレポートが表示されるので、確認しましょう。簡易版は無料、詳細レポートは有料で、表記は英語のみです。

WPdoctor

「WPdoctor」もWeb上で簡単に脆弱性をチェックできる診断サービスです。診断したいホームページなどのURLを入力し、「サイトを検査」をクリックします。WPdoctorは日本語表示されるため、英語に自信がない人でも使いやすいでしょう。

セキュリティ意識してWordpressを利用しよう

WordPressは自由度が高くカスタマイズしやすいCMSですが、世界的に利用者が多いためサイバー攻撃の対象になりやすいのも事実です。そのため、WordPressを利用してホームページやブログを作成するのなら、セキュリティ対策をしっかり意識する必要があります。

プログラムを最新に保つ、ユーザー名やパスワードを複雑化するなど、基本的なことを抑えるだけでも、十分にリスクを軽減することができます。

プラグインやサーバーのセキュリティ機能などを上手に利用して、WordPressのセキュリティを強化しましょう。

SHARE

PLEASE CONTACT US

サングローブのサービスにご関心のある方は、
いつでも下記のボタンからお問い合わせください。

Go to TOP
Go to TOP