オープンソースのCMSとしては、世界トップのシェアを持つWordPress。入門書や解説記事も多いので理解しやすく、運用も容易であることがその要因ですが、その反面、オープンソースであるが故に多くの脅威にもさらされています。企業の重要情報やお客様の個人情報を扱うことも多い昨今、安心してサイト運営をしていくためにはサイト全体のセキュリティ対策が重要です。今回はWordPressにおけるセキュリティ対策の重要性と、おすすめのプラグインについて解説していきます。

また、イノーバのBtoB企業専門のWEB サイト制作サービスにご興味がありましたら、こちらもご覧ください。

WordPressにおけるセキュリティ対策の重要性

WordPressをCMSに使う場合、なぜセキュリティ対策が重要なのでしょうか？まずはハッキングの発生率を、実際の調査事例をもとに確認してみましょう。Webサイトのセキュリティソリューションを提供しているSucuri社が発表した資料によると、同社が2018年に調査・改修したハッキング事例のうち、約90％がWordPressをCMSに採用しているサイトだったと報告されています。以下、Magento 4.6％、Joomla! 4.3％、Drupalが3.7％と続きますが、オープンソースのCMSではWordPressが一番のハッキングターゲットになっていることがわかります。インターネット上のサイトの60％以上で使用されていると言われるWordPressですが、人気が高いということは狙われやすいということにもつながるのです。このようなデータからも、いかにWordPressのセキュリティ対策が重要なのかおわかりいただけることでしょう。

【出典】　WordPress accounted for 90 percent of all hacked CMS sites in 2018

※Sucuri社の発表したデータからグラフを作成。6位以下は製品名と構成比率を割愛

WordPressが狙われる理由

WordPressがハッキングのターゲットになりやすい理由は、上記のように世界中で利用されているトップシェアのCMSであるということ以外にもあります。

まずWordPressは、オープンソースのCMSであるということ。オープンソースのソフトウェアはシステムの仕様からソースの内容まですべて公開されているため、セキュリティの脆弱性も発見されやすいということになります。あるバージョンのWordPressに脆弱性を見つければ、そのバージョンを使うサイトをすべてターゲットにできてしまうのです。

もう一点はWordPressの使いやすさにもつながっていることですが、管理画面のURLが決まっているなどソフトウェアの作りがパターン化されているため、高度な技術を持たないハッカーにも攻撃しやすい構造になっているということです。WordPressがハッキングされやすい理由は、単に人気のあるCMSということだけでなく他にも狙われやすい条件が揃っていることを理解しておきましょう。

WordPressの被害事例と代表的な攻撃方法

ではWordPressには実際にどのような被害事例があるのでしょうか。代表的な攻撃方法と共に、いくつかご紹介しておきます。

被害事例

1. 不正アクセス

ツールなどを利用してユーザー情報やパスワードを特定し、管理者権限を奪ってしまうハッキング（クラッキング）です。本来の管理者IDが削除されログインできなくなるなどの被害が発生します。

2. サイト・コンテンツの改ざん

上記のように管理者権限が奪われてしまうと、サイトの構造自体が変更されたりコンテンツの改ざんが簡単に行われるようになってしまいます。本来の意図に反する内容がサイトに掲載されることにより、サイト自体が使えなくなってしまうこともあり得ます。

3. 情報漏洩

サイト内にある企業情報や個人情報なども流出する危険があります。特に個人のIDやパスワード、住所などが流出すると、サイトを運営する企業の信用が大きく毀損されるだけでなく、補償問題に発展することも考えられます。

4. DDoS攻撃

上記のように権限や情報が流出する被害もありますが、サイトをダウンさせることを目的に行われるDDoS攻撃なども発生しています。WordPressの脆弱性を利用してサイトを踏み台にし、他のサイトに毎秒数百件ものリクエストを送ってネットワークやサーバの機能不全を引き起こすものです。

代表的な攻撃方法

1. SQLインジェクション

インジェクションとは「注入する」という意味の英単語です。SQLインジェクションとはサイトの入力ボックスや検索窓に悪意のある実行プログラムを注入することによって、本来意図しない動作を起こさせる攻撃方法です。

2. クロスサイトスクリプティング（XSS）

クロスサイトスクリプティングは、そのサイトを利用しているユーザーが直接の被害を被る攻撃です。攻撃者は脆弱性を利用して不正なスクリプトをサイト内に埋め込み、ユーザーの個人情報などを標的となったサイトとは別のサイトに送ります。被害の多くは、動画投稿サイトやSNSから報告されています。

3. ブルートフォース攻撃

ブルートフォースとは「強引な」や「力まかせ」という意味がありますが、この攻撃は暗号や暗証番号に対して総当たり攻撃を行います。組み合わせが数万に及ぶ暗証番号なども、攻撃プログラムを組んで力まかせに突破するという攻撃方法です。

このような被害からサイトを守るためにも、WordPressのセキュリティ対策は確実に行う必要があります。

サイトのセキュリティ診断方法とやっておくべきWordpressのセキュリティ設定とは？

それでは、実際にやっておくべき攻撃への備えにはどのようなものがあるのでしょうか？まだWordPressのセキュリティ対策をしていないのであれば、まずはサイトのセキュリティ診断から始めましょう。

WordPressのセキュリティの診断方法

• Wordfence Security

Wordfence Securityはセキュリティスキャナーとファイアウォールを搭載したWordPress用のプラグインです。WordPress.ORGでも提供されている信頼性の高いプラグインで、WordPress本体やテーマ、プラグインの整合性をチェックし、異常があれば管理者にレポートしてくれます。

• WPdoctor

WPdoctorはサイトのURLから脆弱性のチェックをしてくれます。使い方は簡単で、WPdoctorのサイトから調べたいサイトのトップディレクトリ（URL）を入力するだけです。

• WPScan.com

WPScanのプログラムをサーバにインストールすると、外部から見たサイトの脆弱性を指摘してくれます。WPdoctorと同様に、攻撃者の立場から見た脆弱性を明らかにできることが特徴です。

今すぐにやっておくべきWordpressのセキュリティ設定

セキュリティ診断を終えたら、セキュリティの設定を行っておきましょう。設定前と設定後で効果を確認しておくのもよいでしょう。

1. 最新プログラムへの更新

一番簡単にできるWordPressのセキュリティ対策は、WordPressのバージョンを常に最新にしておくことです。プログラムは有志によって頻繁にバージョンアップされているので、脆弱性は発見され次第対策されることが多いのです。

2. 管理者アカウントの強化

ユーザー名とパスワード強化による不正ログイン防止対策です。管理者権限を持つアカウントには推定されやすい単純なパスワードを使うのではなく、記号や大文字などを混合させた長めのパスワードを設定し定期的に変更します。

3. セキュリティ強化プラグインの活用

後述する、セキュリティ強化のためのプラグインを導入します。この際、マイナーなプラグインはなるべく選ばないようにしましょう。マイナーなテーマやプラグインは、その開発が止まってしまう場合も多く、新たな脆弱性が発見されたときに対応されない可能性があるからです。

4. 不要なプラグインの削除

Defiant社（Wordfenceの開発元）の記事によれば、WordPressへのハッキング事例の半数以上がプラグインに対する攻撃だと報告されています。このレポートでは対策として「プラグインの定期的なアップデートを行う」、「開発の止まったプラグインを使わない」、「信頼できるサイトからダウンロードする」などが重要とされています。

【出典】　How Attackers Gain Access to WordPress Sites

※Defiant社の発表したデータからグラフを作成

5. システムファイル「wp-config.php」へのアクセス制御

ダッシュボードログインページを構成する「wp-config.php」へのアクセスを制御します。このファイルへのアクセスはサイト管理者や制作者に限られるので、それ以外が人間がアクセスできないように制御します。

6. 定期的なバックアップの実施

Webサイトは、定期的にバックアップを作成しておきましょう。健全な状態のサイトをバックアップしておくことにより、万が一ハッキングされたとしても、対策後、速やかに復旧できます。定期的なバックアップ以外でも、サイトに新しいプラグインを導入するなどの変更を加える場合には事前にバックアップを実施しておきましょう。

WordPressのセキュリティ強化におすすめのプラグイン5選

最後に、セキュリティの強化に是非おすすめしたいWordPress用のプラグインをご紹介しておきましょう。

1. SiteGuard WP Plugin

SiteGuard WP Pluginは、株式会社ジェイピー・セキュアが提供するセキュリティプラグインです。管理ページとログインページを保護できるシンプルなプラグインで、管理ページへのアクセス制限やログイン時の画像認証機能を持っています。

2. All in One WP Security & Firewall

本製品はWordPress用として広く知られているもので、WordPress.ORGからのダウンロード数も多く、信頼性の高いプラグインです。導入すると、ログイン試行回数の制限やデータベースの保護、特定ファイルへのアクセス制御などが行えます。

3. Backup Guard

Backup Guardは、WordPressを使用したサイトのバックアップと復元が簡単に行えるプラグインです。このプラグインの導入でセキュリティが高まるわけではありませんが、バックアップファイルが無制限で作れたり、スケジューラによる自動バックアップが行えるなど、万が一に備えた対策が可能です。

4. IP Geo Block

IP Geo Blockは、海外からのアクセスを防ぐことができるプラグインです。ホワイトリスト、もしくはブラックリストを作成することにより、特定の国やIPアドレスからのアクセスを禁止することができます。

5. Akismet

Akismetは、スパムと思われるコメントやトラックバックを自動的に排除（分類）してくれるプラグインです。WordPressには最初から組み込まれているので、ユーザー登録とAPIの取得だけですぐに使うことができます。

まとめ

Webサイトは運用期間が長くなると、さまざまな脅威にさらされることが多くなります。会社情報や個人情報の流出はもっとも避けたいところですが、正常なサイト運用を妨げるハッキングにも気を使う必要があります。WordPressのセキュリティ診断を行ったら、優先順位を決めてしっかり対策を進めていきましょう。

また、弊社では、BtoB企業専門のWEB サイト制作サービスを提供しております。集客から見込み客の獲得や商談の創出を可能にするウェブサイトへのリニューアルに関してご興味がありましたら、是非ご活用ください。

◆関連記事

• CMSとは何か？ 導入のメリットや選定で押さえるべきポイントとは
  
• SEO（検索エンジン最適化）とは？ 概念から対策方法のまとめ