セキュリティ 2024.03.07

WordPressセキュリティ対策はここから!今すぐできる初心者向け対策5選

この記事を書いた人

土井 純也

WordPressスペシャリスト・エンジニア/株式会社e2e 取締役 / CTO

1985年北海道生まれ。
200社以上の大手上場企業のWordPressサイトの制作、保守・セキュリティをサポートしている。

【 展開しているサービス一覧 】
■WordPress開発サービス「wp.make
■WordPress保守/運用サービス「wp.support
■WordPressハッキング/緊急復旧対応サービス「wp.rescue
■WordPressバージョンアップ代行サービス「wp.versionup

WordPressは海外・国内ともに高いシェアを誇り 、情報発信やサービス提供、商品の販売などを行う手段として多くの企業・個人が利用しています。

その一方で、利用者が多いだけにWordPressはサイバー攻撃の標的になりやすいリスクがあります。多くの攻撃は無差別でおこなわれるため、有名企業や大企業だけでなく、中小企業や個人のサイトも攻撃を受ける可能性が十分あります。

サイトを運営する際には、そのような安全上のリスクがあることを理解したうえで、攻撃を受けない・受けても被害を最小限にするための対策を講じることが重要です。

今回は、初心者でもすぐに実施できるWordPressのセキュリティ対策を紹介します。

目次

WordPressのセキュリティ対策は万全?セルフチェック

まずは、自身のWordPressサイトのセキュリティ対策が十分に行われているか確認するため、下記の項目からセルフチェックしてください。

◆WordPressのセキュリティ対策セルフチェック

  • パスワードは覚えやすいようシンプルなものに設定している
  • WordPress本体やプラグイン、テーマなどをバージョンアップしていない
  • ログインIDやログインURLを初期設定のままにしている
  • セキュリティ対策プラグインを導入していない
  • 使用していないプラグインやテーマを停止のまま放置している
  • バックアップを取得していない

当てはまる数が多いほど要注意!本記事を読んで、しっかり対策しましょう。

WordPressが攻撃者に狙われやすい理由とは

WordPressが攻撃者に狙われやすい理由は、次の通りです。

  • WordPressがオープンソースであるため
  • セキュリティ意識の低いユーザーが多いため
  • プラグインの脆弱性

脆弱性とは、セキュリティ上の弱点のことです。
脆弱性を狙ったSQLインジェクション(悪意がある文字列をサイトへ入力してWebデータベースを操作する)などのサイバー攻撃は、年々増加傾向にあります。

SQLインジェクションとは?仕組みや事例、7つの対策方法を解説

では、WordPressが攻撃対象になりやすい3つの理由について、それぞれ説明していきます。

WordPressがオープンソースであるため

オープンソースであるリスクの図

1つ目は、オープンソースであることです。
WordPressはオープンソース、つまりソフトウェアを構成する「ソースコード」を公開しています。オープンソース化することで多くの人が利用することができ、また、世界中の人が開発に参加しやすくなるなどのメリットがあります。

しかし、ソースコードが公開されているということは、ハッカーがプログラムの弱点を探すことも出来るということ。
WordPressは多くのユーザーや開発者がチェックを行なっているため、新しく脆弱性が発見されてもすぐに修正され、新たなバージョンがリリースされます。基本的には最新のバージョンを使用していれば、セキュリティ上、大きな問題はありません。

しかし、バージョンアップせず古いバージョンのままの場合、ハッカーは過去の脆弱性情報を参照すれば簡単に攻撃できてしまいます。
言い換えれば、バージョンアップをしていないWordPressサイトは鍵が開いている家のような状態なので、大変危険です。

セキュリティ意識の低いユーザーが多いため

セキュリティ意識の低いユーザーがアタックされる図

2つ目は、WordPressはセキュリティ意識の低いユーザーが多いことです。
WordPressはその利便性から利用者が多く、世界中のWebサイトの4割近くのシェアを占めています。
ユーザーが多い分、セキュリティの知識がなく、意識の低いユーザーも一定数いるのも事実です。

そのため、バージョンアップを含めた基本的なセキュリティ対策をしないままWordPressサイトを運用しているユーザーも少なくありません。
セキュリティ意識の低いユーザーのWordPressサイトはハッカーの格好のターゲットとなり、多くの被害が報告されています。

こう聞くと、「WordPressを利用するのは危険?」と思う方もいるかもしれませんが、WordPress本体・テーマ・プラグインをバージョンアップして、基本的なセキュリティ対策をしていれば基本的には安全です。
むしろ開発ユーザーが多いので、他のCMSなどよりバグや脆弱性の発見・対処が早く、安全に利用できます。

プラグインの脆弱性

脆弱性のあるプラグインからのアタックの図
3つ目は、プラグインの脆弱性です。
WordPressのプラグインは、インストールするだけで自由に機能を追加できる人気のツールです。

プラグインはさまざまな開発者がいるため、中にはセキュリティ対策が不十分なものも存在します。開発元やレビュー、直近の更新時期などを確認し、信頼できるプラグインをインストールするようにしましょう。

また、発表当時は脆弱性が見つからなかったとしても、思わぬところで脆弱性が発見されたり、新しい技術の登場で脆弱性が生まれてしまうこともあります。

基本的には、プラグインの開発者が脆弱性の修正のために新しいバージョンを公開してくれますが、ユーザー側が気づかなかったり、手間がかかるからと後回しにしてしまうなどで、バージョンアップされていないサイトが多数あります。
その結果、プラグインがサイバー攻撃の入り口になってしまうケースも少なくありません。弊社にハッキング相談があるケースでもバージョンアップが疎かになっているケースがほとんどです

WordPressのセキュリティ対策をしないと起こりうるリスク

Webサイトがサイバー攻撃を受けると、さまざまな被害が発生するおそれがあります。
ここでは、代表的な5つの被害について解説します。

不正アクセス

不正アクセスによる攻撃図

総当たり攻撃(ブルートフォースアタック)やパスワードリスト攻撃などにより、WordPressのログインを突破され不正にアクセスされてしまいます。また、不正なプログラムを実行することで、管理者権限を持つユーザーを作成するといったケースもあります。

攻撃者は不正アクセスによって管理者と同じ権限を手に入れ、WordPressサイトの設定やコンテンツを変更できるようになります。
一度不正アクセスされると、バックドアという不正侵入のための入り口を設置されることも多く、知らない間に繰り返し不正アクセスを受ける事例も多いです。

情報やコンテンツの改ざん

情報やコンテンツの改ざんの図

WordPressサイト内の情報やコンテンツなどを改ざんされてしまうことも。
コンテンツの改ざんにより、WordPressの管理者だけでなく、サイトを訪れたユーザーにも被害が及ぶことがあります。
具体的には、次のような被害があります。

  • ログインID、パスワードを変更される
  • 広告を差し替えて収益を奪う
  • URLが書き換えられ、マルウェアのダウンロードページへ誘導される など

情報漏えい

情報漏えいの図

WordPress上で管理している顧客情報などの個人情報が、流出するリスクがあります。
会員のログイン情報やメールアドレス、クレジットカード情報などを管理しているWordPressサイトは、特に注意が必要です。

また、情報漏えいによって企業・ブランドイメージの信頼失墜につながり、多額の損害賠償の対象になり得ます。

マルウェア感染

マルウェア感染の図

マルウェアとは、WordPress管理者や訪問者に被害をもたらすことを目的とした、悪意あるソフトウェアのことです。
WordPressでは、サイトの改ざんで不正なコードを埋め込まれる、プラグイン経由で感染するなどの被害が見受けられます。

スパムの踏み台になる

スパムによる被害拡大の図

WordPressに登録されているメルマガ会員などのアドレスへ大量のスパムメールを送る、いわゆる踏み台攻撃の対象にもなり得ます。
お問い合わせフォームを悪用し、スパムメールを送るといった被害も報告されています。

WordPressのサイバー攻撃で狙われやすい4つの危険ポイント

WordPressのサイバー攻撃で狙われやすいポイントを4つ紹介します。

【危険①】単純なパスワードを使っている

パスワード管理ツールを提供するNordPassの発表によると、2023年に世界でもっとも使われたパスワードは、「123456」次いで「admin」でした。

全世界でもっとも使われているパスワード(2023年)
1位 123456
2位 admin
3位 12345678
4位 123456789
5位 1234
6位 12345
7位 password
8位 123
9位 Aa123456
10位 1234567890

引用:Top 200 Most Common Passwords|NordPass

トップ10のほとんどが数字を順番に並べただけのパスワードであり、多くの人が単純なパスワードを使用していることがわかります。

単純なパスワードは推測されやすく、セキュリティ強度が低いため避けるべきです。また同一パスワードの使いまわしは、いずれかひとつが漏洩した際に他のサイトの認証も突破されるリスクが高まります。
警察庁によると、2022年に他人のパスワードを無断使用して検挙されたうち約半数の手口は「利用権者のパスワードの設定・管理の甘さにつけ込んで入手」したものであり、単純なパスワードや使いまわしは危険です。

令和4年におけるサイバー空間をめぐる脅威の情勢等について|警視庁

【危険②】バージョンアップ対応をしていない

WordPressの本体やテーマ、プラグインのバージョンアップは、セキュリティを維持するための最低限行うべき対策です。バージョンアップによってセキュリティの脆弱性が修正されることも多いため、WordPress・テーマ・プラグインのバージョンアップに対応しないと、サイバー攻撃の対象となるリスクが高まります。

【危険③】初期設定のままにしている

WordPressは初期設定のままだと、ログインURLが「/wp-admin」、ログインIDが「admin」となっているため、あとはパスワードさえ推測できれば簡単に外部からログインできてしまいます。
また、重要なファイルに対してアクセス制御をしていない場合、情報漏えいのリスクが高まります。

【危険④】不要なページ、使っていないプラグイン、不要なアカウントを放置している

使用していないページやプラグイン、アカウントなどは、管理されずバージョンアップされないままになることが多いため、残しておくとセキュリティの脆弱性につながります。

次のケースに当てはまる場合、使用していないものは削除して定期的に整理を行いましょう。

  • ログインしていない、または更新が止まったWordPressサイトを放置している
  • 停止したプラグインを削除せず残している
  • 退職者のアカウントを使用しないにもかかわらず残している

【今すぐできる】WordPressで行うべき初心者向けセキュリティ対策5選

初心者向け5つのセキュリティ対策

WordPressへの攻撃の多くは、基本的なセキュリティ対策で予防可能です。まずは初心者でも今すぐできる5つの対策を紹介します。

WordPress/テーマ/プラグインを最新バージョンにする

WordPressは攻撃の対象になりやすいものの、セキュリティの脆弱性が見つかればすぐに修正され、セキュリティアップデートが行われます。
セキュリティに関するアップデート情報がリリースされたら、早めに対応しましょう。
WordPress本体だけでなく、テーマやプラグインの更新も忘れずに行なってください。

WordPressのアップデート方法を図解!不具合への対処法も紹介

推測されにくいユーザー名/パスワードにする

デフォルトのユーザー名「admin」はログインIDでもあり、ログイン情報を推測されやすくなるため変更します。
以下の手順で、簡単に管理者ユーザーを変更できます。
ユーザー名の変更と同時に、必要であればパスワードの変更も行いましょう。

1.新規ユーザーを追加する

ユーザー名/パスワードの変更方法
WordPress管理画面「ユーザー」>「新規ユーザーを追加」から、新規ユーザーを作成します。この時、権限グループを「管理者」に。
なお、「admin」で登録しているメールアドレスと同じものを使用することはできません。

2.推測されにくいパスワードを設定

新規ユーザーの作成の際にパスワードを設定できるので、これまで簡単なパスワードを使用していた場合は、推測されにくいものに変更しましょう。
なお、「パスワードを都度変えると忘れてしまうので使い回している」という方は、情報処理推進機構(IPA)が推奨する以下の方法をお試しください。

  • 基本となるコアパスワードを作成する。日本語をローマ字に変換するだけでも憶えやすく長い文字列ができる。
  • ローマ字の一部を記号や数字、大文字に置き換えるなど、自分で決めたルールに沿って変換する。
  • ログインするサービスごとに「Google→GE/Facebook→FK」など自分で決めたルールに沿って識別子を作り、②の前または後ろに追加する。
  • コアパスワードは記憶し、識別子だけを紙や電子で記録する。

※参照:情報処理推進機構

3.新規ユーザーとして再ログイン

一度ログアウトし、先ほど設定した新ユーザーのユーザー名とパスワードで再ログインします。

4.「admin」の削除

「ユーザー」>「ユーザー一覧」から、「admin」を削除します。
その際、「このユーザーが所有するコンテンツをどのように処理しますか?」と聞かれるので、必ず「すべてのコンテンツを以下のユーザーのものにする」をクリックし、新ユーザーを選択します。
「すべてのコンテンツを消去します」を選択した場合、「admin」名義で作成したコンテンツが消えてしまうので、注意してください。

使用しないプラグインを削除する

WordPressでは使用しないプラグインを「無効化」で残しておくことができますが、WordPress上から削除してください。
削除対象のプラグインの数が多い場合には、「インストール済みプラグイン」画面で不要なプラグインにチェックを入れて一括操作でまとめて削除可能です。、上部メニューの「停止中」から、停止中のプラグインに表示を絞ることも出来ます。

プラグインの一括削除の方法

セキュリティ対策プラグインを導入する

セキュリティ対策プラグインを導入することで、専門知識がなくても簡単にセキュリティ対策ができます。
ここでは、特におすすめの3つのプラグインを紹介します。
なお、機能が重複すると動作に不具合が起こる可能性があるため、導入する時はどれか1つで十分です。

最も人気【Wordfence Security】

Wordfence Securityプラグイン公式サイト

Wordfence Securityは、セキュリティ対策プラグインの中でも最も人気です。
脆弱性のスキャンや2段階認証など、総合的にWordPressのセキュリティ対策を行えます。
優秀なセキュリティ対策プラグインですが、日本語には対応していないので、初心者の方にはやや使いづらいかもしれません。

不正ログイン防止に【SiteGuard WP Plugin】

SiteGuard WP Pluginプラグイン公式サイト

SiteGuard WP Pluginは、管理画面を保護してくれるプラグインです。WordPressの管理画面はインターネット上にあるため、ID/パスワードが漏洩してしまうと容易に不正ログインされてしまいます。SiteGuard WP Pluginをインストールし、ログインURLの変更やログイン認証、アクセス設定などを追加すると安全性が高まります。

高度なセキュリティ対策【All In One WP Security & Firewall】

All In One WP Security & Firewall公式サイト

All In One WP Security & Firewallは、初心者でも高度なセキュリティ対策ができるプラグインです。WordPressのバージョン情報を非表示にしたり、データベースの初期設定を変更するなど、攻撃を受けにくくするための設定変更がかんたんに行えるのが魅力です。

セキュリティ診断を活用する

「運用するWordPressサイトのセキュリティ対策は適切か知りたい」「サイバー攻撃を受けていないか心配」という方は、セキュリティ診断を活用しましょう。
ここでは、代表的な3つのツールを紹介します。

【診断方法①】Wordfence Securityプラグイン

上記のおすすめのセキュリティ対策プラグインでも紹介したWordfence Securityで、セキュリティ診断も行えます。
不正なURLやスパムの他、脆弱性への対応状況などをチェックするマルウェアスキャナー機能を搭載。既知の脆弱性についてもチェックし、問題があれば教えてくれます。

【診断方法②】ワードプレス:マルウェアスキャン&セキュリティープラグイン

ワードプレス:マルウェアスキャン&セキュリティープラグインは、過去の蓄積から得た1万以上のパターンに及ぶ不正なコードのパターンを基にチェックを実行して、危険を検出するプラグインです。マルウェア・ウィルス感染、改ざん、ハッキングなどを検出することができます。

【診断方法③】WPSCANS.com

WPSCANS.com

WPSCANS.comは、WordPressサイトに脆弱性が含まれるかどうかを簡易チェックできるサイトです。WordPressサイトのURLを入力するだけで、セキュリティに問題があるかどうかを確認できます。
詳細なレポートについては、有料プランへのアップグレードが必要です。

普段から継続して行うべき施策3選

普段から行うべきWordPressセキュリティ施策3選

上記のセキュリティ対策に加えて、日頃から行うべき施策を3つ紹介します。

万が一に備えて定期的にバックアップを取得する

サイトの安全性を確保するために、定期的にバックアップを取得しましょう。
バックアップがあれば、改ざん被害を受けた時でも迅速にWebサイトを復旧できます。
また、WordPress本体のバージョンアップの前にバックアップを取得することで、更新後サイトに不具合が起きても、すぐに更新前の状態に戻すことができます。

バックアップの方法については、以下の記事で解説しています。

WordPressバックアップ&復元方法をやさしく解説

WordPress・プラグインの脆弱性情報を確認する

WordPressや各種プラグインの脆弱性に関する情報をこまめに収集しておくと、的確なリスク把握や迅速な対応が可能になります。
脆弱性に関する情報を公開しているサイトがあるので、活用しましょう。

  • JVN:JPCERTコーディネーションセンターとIPAが共同運営する脆弱性情報サイト
  • JVN iPedia:脆弱性対策情報データベース検索サイト

また、本メディア「wp.geek」でも、WordPressに関する脆弱性情報や運用に役立つ注目ニュースを発信しているので、ぜひチェックしてください。

WordPress/テーマ/プラグインを最新の状態に維持する

WordPress本体とテーマ、プラグインは、定期的にアップデートを行い、常に最新の状態を維持しましょう。

WordPressには自動更新機能がありますが、あまり過信せず、管理画面の「更新」画面からアップデートの有無をこまめに確認してください。

WordPressのアップデート方法を図解!不具合への対処法も紹介

【中級者以上向け】知識がある方向けセキュリティ対策3選

ここからは、中上級者向けのセキュリティ対策を紹介します。
開発の知識がある方は、さらに高度なセキュリティ対策を行いましょう。

WordPressのバージョンを非表示にする

WordPressのバージョン情報は初期設定のままにせず、非表示にすることが推奨されています。バージョン情報が特定されると脆弱性を悪用して攻撃される恐れがあるためです。

バージョン情報を非表示にするには、以下の3つの方法があります。

  • セキュリティ対策プラグインを導入する(All In One WP Security & Firewallなど)
  • バージョン情報を非表示にしているテーマを使用する
  • 「functions.php」に以下のコードを追加する

データベース情報など重要なファイルへのアクセスを制御

万が一、WordPressに不正侵入された場合、被害を最小限にするための手段として重要なファイルにアクセス制限をかける方法があります。特に重要な情報が多く含まれている「wp-config.php」は、外部からアクセスできないようにファイルの属性(パーミッション)を644から400に変更して情報漏洩リスクを低減しましょう。

その他、wp-config.phpと同じディレクトリにある「.htaccess」へ以下の文字列を追加することで、全てのアクセスを拒否することができます。

WAFを導入する

WAF(Web Application Firewall)とは、HTTP(S)の通信を監視して、不正な通信が発見された際には自動でその通信を遮断するセキュリティ製品です。SQLインジェクションやクロスサイトスクリプティングといった脆弱性を狙った攻撃を検出し、Webサイトを防御します。

さまざまな特徴を持つ製品が各メーカーから発売されているため、自社のニーズや予算に合わせて選ぶとよいでしょう。

WAFに関して、詳しくは以下の記事でも解説していますので参考にしてみてください。

おすすめのWAF製品9選!選び方のポイント

自力では難しい場合、WordPress保守業者に依頼を

WordPressのセキュリティ対策は思った以上に手間や時間がかかります。技術面、人員面で内製が難しいと感じた場合には、保守サービスを提供する企業に依頼するのも1つの手です。
専門知識を持つプロに外注することで、日々の情報収集や監視、脆弱性への迅速な対応などの業務を丸投げできます。

また、日々の更新や機能追加、電話サポートや技術サポートなど、保守以外の部分でもWordPressサイト運用の心強いパートナーとなってくれるサービスもあります。

WordPress保守に関しては、以下の記事で詳しくまとめていますので、自力でのセキュリティ対策が難しいと感じたら参考にしてみてください。

WordPress保守とは?選び方やおすすめ9選、利用者の声を紹介

まとめ

いまや有名企業や大企業に限らず、あらゆる企業・個人のWebサイトでサイバー攻撃を受けるリスクがあります。特にWordPressには複数のセキュリティリスクが存在することを理解したうえで、適切なセキュリティ対策をおこなうことが求められます。

とはいえ決して特別な対策が必要なわけではありません。基本的な対策を確実に実施するだけで、多くの攻撃を防げます。これからセキュリティ対策に取り組む場合は、今回紹介した基本的な対策からはじめてみてはいかがでしょうか。

「しっかりセキュリティ対策したいけど、日々の業務に追われて手が回らない」という方は、WordPressのプロによるセキュリティ対策を含めた保守サービスもご検討ください。

WordPress保守・運用のパートナーなら「wp.support」にお任せ!

WordPressサイトを運用していて、以下のようなお悩みはありませんか?

  • 管理画面を使いやすくしたいけれど、カスタマイズする時間や技術がない…
  • サイトのUI/UXを改善したいけれど、自社内では難しい…
  • WordPressサイトを高速化したいけれど、ノウハウがない…
  • セキュリティ対策をしたいけれど、知識のある人材がいない…
  • 日々の業務に追われて、バージョンアップなどの保守業務が放置気味…
  • ちょっとしたトラブルを気軽に相談できる相手が欲しい…

「wp.support」は、WordPressのプロフェッショナル集団によるWordPress保守サービスです。
「セキュリティ対策」「バージョンアップ対応」「定期バックアップ」はもちろん、「電話サポートが無制限」なのでカスタマイズの方法やトラブル発生時にも気軽にプロに相談できます。

既に導入済みのお客様からも、
「些細なことでも気軽に相談できるパートナー的な存在」
「困ったら相談していいんだ、と気持ちが楽になった」
と大変ご好評をいただいています。

WordPress保守・運用のパートナーをお探しなら、ぜひお気軽にお問合せください。

>> wp.supportに無料相談する

バージョンアップが面倒だと思ったら WordPress保守・セキュリティ対策は『wp.support』にお任せ!

wp.support資料

WordPressのバージョンアップやセキュリティ対策にお悩みではないですか?

面倒な保守・運用作業は全て任せて、コア事業に集中してください。
大手・上場企業100社以上のWebサイトの安全を守る、WordPressのプロフェッショナル集団が、あなたのWordPressサイトを守ります!

【対応範囲】
・WordPress、プラグインのバージョンアップ ・セキュリティ対策 ・継続的なバックアップ ・緊急時の復旧対応 ・技術サポート・電話/メールサポート無制限 etc...

WordPressに関することなら何でもご相談ください!