WordPressのセキュリティ対策まとめ!原因と対策から復旧方法まで

セキュリティ
  • このエントリーをはてなブックマークに追加
  • Pocket
  • LINEで送る

お客様からご相談をいただく際、多くの方から聞かれるのが、

「WordPressはセキュリティ面が不安・・・」

ということ。

WordPressのセキュリティ対策は、サイトの運用上、非常に重要なポイントです。

今回は、WordPressでサイトを構築・運用する際のセキュリティ対策の基礎知識について解説します。
これからサイトを立ち上げる方も、現在運用中の方も、ぜひ参考にしてください。

WordPressは何故セキュリティが弱いのか?

WordPressがセキュリティに弱いのは何故?

WordPressはオープンソースだから

WordPressはインターネットに存在するウェブサイトの約3割を占めていると言われます。
その圧倒的なシェアの大きな要因のひとつは、WordPressがオープンソースであること。
様々なテーマやプラグインが開発され、初心者でも本格的なWebサイトを簡単に立ち上げることができます。

ただし、オープンソースは諸刃の剣。
ソースが公開されているということは、ハッキングを行うための脆弱性を発見しやすいということ。
そして、多数の利用者がいるということは、一つの脆弱性を発見するだけで多数のWebサイトにハッキングを仕掛けられるということ。
悪意を持ったハッカーにしてみれば、少ない労力で最大の成果を上げられるため、最高の攻撃対象と言えるのです。

セキュリティ対策をしていないWordPressサイトが多い

WordPressは個人のブログや中小企業のコーポレートサイトにも多く使用されています。
こうしたサイトの管理者は自分のサイトが狙われるはずがないという意識であることが多く、セキュリティ対策が行われていなかったり、WordPress本体やプラグインのバージョンアップが止まっているケースが多く、脆弱性が放置されたままのサイトが多いのが現状です。

最近ではハッキングも自動化が進んでいるため、プログラムでそうした脆弱性のあるサイトを自動で検知し、ヒットしたサイトにアクセスするという手法が取られます。これは、WordPress自体の問題というよりも運営者の意識の問題になります。

WordPressをハッキングされると何が起こる?

ハッキングされるとどうなるの?

「セキュリティ対策が重要って言われてるけど、実際にハッキングされたらどうなるの?」

ということが、気になっている方も多いでしょう。
自分のハッキング能力を示したいだけの愉快犯もいないことはありませんが、ハッカーの多くは何らかの目的を持ってハッキングを仕掛けます。
実際にWordPressがハッキングされると以下のような事態が予想されます。

  • マルウェアなどの不正コードの埋め込み
  • 他のサイト・端末へのマルウェアの拡散
  • クレジットカード情報などの個人情報の漏洩
  • 検索サイトユーザーをスパムサイトへ飛ばす
  • サイトが見られなくなる
  • 管理画面にログインできなくなる
  • スパム広告を表示させられる

どれも、サイト運営者としては青ざめるような事態ですよね。
特に個人情報の漏洩やマルウェアの拡散など、被害が自分だけに収まらない場合は深刻です。
1999年、宇治市の約22万人の住民基本情報が漏洩した事件では、1件あたり10,000円、合計で22億円もの慰謝料が支払われるなど、深刻な問題に発展する可能性もあります。

WordPressのセキュリティ対策のポイント!

セキュリティ対策のポイント

重要なのは、セキュリティ対策のポイントを押さえているかどうかということ。
WordPressのセキュリティ対策で特に重要なポイントは以下になります。

最新バージョンのWordPressを使用する

WordPress本体にバージョンアップがあった際は、基本的に最新のものを使用しましょう。オープンソースであるWordPressでは、どんな不具合があって、何を修正したのかが全て公開されます。古いバージョンを使い続けるということは、自分のサイトの脆弱性を放置することと同じわけですね。バージョンアップ前にはバックアップを取ることもお忘れなく。

最新バージョンのプラグインを使用する

プラグインもWordPress本体と同じように最新バージョンを使用することが重要です。ただ、WordPress本体と違い、古いプラグインの中には更新が行われていないものもあるので、前回の更新があまりにも前のプラグインは使用しないということも重要です。

ハッキングにすぐに気づける状態にしておく

ハッキングの事実はサイト管理者に見つからないように隠蔽するのが一般的です。そのため、サイトに異常が発生していても、管理者が気づかないということも十分にあり得ます。TACなどのプラグインで、不正な改ざんがあった際に通知するような設定をしておくと安心です。

公式のテーマを使用する

基本的に「WordPress.prg」でサポートされている公式のテーマを使用するようにしましょう。オリジナルでテーマを作成したり、独自テーマを使用する場合は、「Theme Check」などのプラグインで安全性を確認しておきましょう。

定期的にバックアップを取っておく

また、ハッキングを100%防ぐことは難しいため、改ざんがあった時にすぐに復旧できるように定期的にバックアップを取っておくことも重要です。BackWPupを使えば、設定したタイミングで自動でバックアップをしてくれます。

不正ログイン対策を行う

ハッキングを行う際、最も重要なのが管理者権限です。ブルートフォース攻撃などで、管理者アカウントのIDとパスワードが割り出されてしまうと、あとはハッカーの好き放題になってしまいます。安易なID・パスワードを設定しないとともに、『WP Security Question』といったプラグインで、ログイン時に秘密の質問を加えるなど、追加の項目を設定すると良いでしょう。

実際にハッキングを受けたらどうすればいい?

ハッキングされるとどうなる?

「サイトが見られない!」「管理画面にアクセスできない!」

セキュリティ対策を行なっていたとしても、こんな事態が起こることは十分にあり得ること。
そんな時、対処法を知っておけば、頭が真っ白になって不安と焦りで無駄な時間を過ごすことは避けることが出来るはず。
ハッキングの被害を抑える一番の方法は、一刻も早く正常な状態に復旧することです。
そのためのステップを確認しておきましょう。

被害の状況と範囲を確認

まずは、落ち着いて被害の状況と範囲を確認しましょう。どんな症状なのか、被害を受けたファイルはどこまでか、いつから被害を受けていたのかなどを確認していきましょう。ファイルだけでなく、サーバーのアクセスログなども参考にすると良いでしょう。

原因を特定する

被害状況が確認できたら、次にハッキングの原因となったポイントを特定しましょう。そのまま復旧しても原因がそのままでは、同じようにハッキングされてしまう可能性が高いです。原因はWordPressのバージョンが古かったという簡単なものから、SQLインジェクションへの脆弱性があったなど専門的なものまで様々です。

対策・復旧措置を行う

不正コードの削除やバックアップからの復旧措置等を行います。バックアップを行う際は、バックアップファイルがハッキングを受ける前のものであることを確認してから行いましょう。

経過を観察する

しばらくは注意深く経過を観察しましょう。攻撃が自動化されたプログラムの場合、原因に対する対策が不十分だとすぐにハッキング状態に戻ってしまう可能性があります。少なくとも1ヶ月程度はしっかりと経過を観察して、再ハッキングされないかを確認します。

ハッキングを受けた時の対策方法を解説して来ましたが、これらの手順はどれも少なからずWebに関する専門知識が必要になります。
もし、具体的な方法が自分ではわからない場合は、再ハッキングを防止するためにも専門家の力を借りる方が良いでしょう。

wp.makeでは、WordPressサイトの制作・カスタマイズだけでなく、ハッキング被害やWordPressの不具合等への対処も対応しています。
自分だけではどうにもならないと思った時は、ぜひご相談ください。

ハッキング被害を未然に防ぐWordPress保守サービス

WordPress保守サービス

企業サイトやECサイトなど、機密情報や個人情報を扱う可能性のあるサイトの場合、一度のハッキングが取り返しのつかないレベルの信用的なダメージ、損害賠償を負う可能性があります。(このレベルの情報を扱う場合、そもそもWordPressでの構築自体を見直す必要があるかもしれませんが)

そんな時、転ばぬ先の杖として頼りになるのが「WordPress保守サービス」です。
多くは月額制で、WordPressやプラグインのアップデートやセキュリティ対策、定期的なバックアップ等を代行してくれ、万が一ハッキング被害等に遭った場合の復旧作業も行なってくれます。

また、wp.makeでもWordPress保守サービスを展開しています。
WordPress保守のパートナー選びにお悩みの場合は、ぜひ一度ご相談ください。

まとめ:WordPressのセキュリティ対策は他人事ではない

セキュリティ対策に関する警告

WordPressサイトのセキュリティ対策について解説してきましたが、いくら「セキュリティ対策は重要です」と言っても実際にハッキングを受けたことがない方の多くは、
「自分のサイトなんて狙ってくる人はいないだろう」
「大した情報もないし、アクセス数もないから、セキュリティ対策はしなくていいか」
と考えている人が多いのではないでしょうか。

しかし、現代のハッキングは自動化が進み、セキュリティの弱いサイトをプログラムでピックアップしてハッキングを仕掛けます。
セキュリティ対策を行っていない場合、このプログラムによるピックアップで引っかかる可能性が多いにあります。

セキュリティについて最低限の知識を持って対策をしておくことで、防げたはずの被害で取り返しのつかない事態になる可能性も十分あります。
まず自分で出来る範囲でのセキュリティ対策を行ってみてはいかがでしょうか?

wp.makeの保守サービス

ワードプレスのバージョンアップセキュリティ対策
お悩みではないですか?
「何かが起きる前に!」
WordPressのプロフェッショナル集団が対応します。
初期費用は一切頂きません。月額4万円〜
SSL対応、定期バックアップもお任せ下さい。