WordPressのセキュリティ対策まとめ!原因と対策から復旧方法まで

セキュリティ
  • このエントリーをはてなブックマークに追加
  • Pocket
  • LINEで送る

WordPressは「セキュリティに弱い」「セキュリティ面で不安がある」とよく言われます。
しかし、しっかりと対策を行なっていれば問題なく使うことができるだけでなく、メリットもたくさんあります。

本記事では、WordPressのセキュリティが弱い理由・セキュリティ対策を行うにはどうしたらいいのかを解説していきます。

弊社では、WordPressの保守を行なっていますので、自社で対策が難しい場合は、ぜひご相談ください。
WordPressの保守を検討している方はこちら

WordPressはなぜセキュリティに弱いのか

WordPressはなぜセキュリティに弱いと言われ、不安になってしまうのでしょうか。
その理由をみていきましょう。

OSSで提供されている

WordPressはOSS(オープンソースソフトウェア)でできており、いつでも誰でもソースコードを確認することができます。
OSS(オープンソースソフトウェア)とは、ソフトウェアのソースコードが無償でWeb上に提供されており、個人でソースコードに変更を加えたり再度配布することが可能なソフトウェアのことを言います。
Web上に無償提供されることによって有志がソフトウェア開発を行い、現在WordPressのテーマやプラグインのような拡張機能が多く存在しているおかげで、誰でも簡単にWebサイトを構築することができるようになりました。

しかし、OSSで提供されているがゆえに誰でも閲覧・介入することが可能になり、有志の開発者だけでなく悪意あるハッカーも閲覧することができるような状態になってしまっているのも事実です。
ハッカーがOSSのソースコードを読むことによって脆弱性を発見し、Webサイトをハッキングしたりといった問題が起こってしまうため、WordPressは危険だ・セキュリティに弱いと言われています。

脆弱性についてはこちら

WordPressのセキュリティ対策を行なっていないから

ここまで、WordPressの危険性について解説してきましたが、そうは言っても大げさに捉える必要はありません。

世界の約3割のサイトがWordPressを採用して運用されているのですから、きちんとセキュリティ対策を行なっていれば、リスクを抑えて安全にサイトを運営することができます。

参考:Usage of content management systems

セキュリティ対策は、自分自身に専門性がなくてもできる範囲で対策を行うことでサイトを守ることができます。

例えば、WP本体やプラグインのアップデートをこまめに行なったり、ログイン時に2段階認証を設定したり、といったことは、手間もかからず簡単に行えるセキュリティ対策です。

しかし、サイトを立ち上げてから現在まで、こうした基本的な対策を実施していない方も多いのではないでしょうか。(弊社にお問い合わせいただく方の中にもこうした方が多くいらっしゃいます)

WordPressを使っているから危険が多いのではなく、基本的なセキュリティ対策を行なっていないがゆえに、自分のサイトを危険に晒してしまっているということですね。

では次に、セキュリティ対策をしていないとどういったことが起こるか、具体的にみていきましょう。

WordPressのセキュリティ対策をしていないと何が起こるか

セキュリティが弱い理由や対策をしていないと危険ということは理解できたけど、実際どんなことが起こるかわからない方も多いのではないでしょうか。

セキュリティ対策を行なっていないと以下のようなハッキング被害に遭う可能性があります。

  • マルウェアなどの不正コードの埋め込み
  • 他のサイト・端末へのマルウェアの拡散
  • クレジットカード情報などの個人情報の漏洩
  • 検索サイトユーザーをスパムサイトへ誘導してしまう
  • サイトが見れなくなる
  • 管理画面にログインできなくなる
  • スパム広告を表示させられる

どれも実際に起きた時は、大変なことになってしまいます。
特に個人情報漏洩やマルウェア拡散など、被害が自分だけに収まらない場合は深刻です。
1999年、宇治市の約22万人の住民基本情報が漏洩した事件では、1件あたり10,000円、合計で22億円もの慰謝料が支払われるなど、深刻な問題に発展する可能性もあります。

他にも2017年にはWordPressサイト150万サイトが改ざんされるなど様々あります。WordPressではありませんが、最近でも7payのアカウント不正利用など大規模なハッキング被害は発生しています。

常に新しい技術が生まれるWeb業界では、新しい技術に対応したハッキングが行われるので「いつ自分のサイトが被害に遭うかわからない」ことを理解して、セキュリティ対策は万全に保ちましょう。

また、ハッキングが起こった際に、確認して起きたい事項はこちらを参考にしてみてください。
ハッキングの兆候を知っておくことで、早期に対応を開始して被害を抑えることができます。
あなたのWordPressサイトがハッキングされた時の12の兆候はこちら

WordPressのセキュリティ診断を行う方法

WordPressがセキュリティ被害に犯されていないか不安な場合は、セキュリティ診断を行いましょう。

今回紹介する2つのサイトは、自分のサイトURLを入力するだけでWordPressのセキュリティスキャンができるというものです。

WordPress脆弱性診断 セキュリティースキャナはこちら

WPSECはこちら

他にもNortonから販売されている、Webセキュリティ診断などもありますので検討してみてください。

WordPressのセキュリティ対策のポイント9つ

セキュリティ対策を行う上で、以下の9つについて解説します。

  • WordPressを最新にする
  • テーマやプラグインも最新にする
  • ハッキングに気づける状態にする
  • 定期的なバックアップをとる
  • 不正ログイン対策をする
  • サーバーのセキュリティ設定を行う
  • ファイルのアクセス権限を限定する
  • データベースやテーブル名を変更する
  • メタ情報にWordPressバージョンを記載しない
  • ご紹介するポイントを実施するだけでも、セキュリティ対策になります。
    簡単にできることなので行なってみてください。

    プロが選ぶWordPressセキュリティ対策のおすすめプラグイン6つはこちら

    WordPressを最新にする

    WordPressのバージョンアップがあった際には、必ずアップデートを行うようにしましょう。
    しかし、アップデートを行うとサイトに影響が出てしまうなど、アップデート行いにくいなと思う方がいるかと思います。
    しかし、WordPressにはマイナーアップデートとメジャーアップデートの2種類のアップデートがあります。

    マイナーアップデートは必ず実施しよう

    マイナーアップデートとは、5.2.3の3の部分にあたり、セキュリティや軽微な修正を行なったアップデートになりますので、サイトへの影響が少ないので必ず行うようにしましょう。

    メジャーアップデートを実施するときは慎重に

    メジャーアップデートとは、5.2.3の2の部分にあたり、大幅な修正を含んでおりサイトの表示やプラグインの動作に影響が出る可能性があります。
    メジャーアップデートを行う場合は、バックアップをとったことを確認の上行うことで影響が出た場合に元に戻すことができるので、忘れず行いましょう。

    テーマやプラグインも最新にする

    テーマやプラグインもWordPress本体のバージョンアップと同様に日々行われています。
    アップデートがきた際には必ず行いましょう。

    特にテーマやプラグインは日々脆弱性が報告さていますので、注意が必要です。
    心配であれば、アップデートを行うと同時にWordPress本体同様に、バックアップをとってから行うようにしましょう。

    WordPressの脆弱性報告を確認する

    ハッキングに気づける状態にする

    ハッキング自体は、サイト管理者に見つからないように隠蔽して行われるのが一般的です。
    ハッキングに気づけるようにするには、WordPressのセキュリティプラグインやサイトの状態を観察することも必要です。

    またGoogle Search Consoleに登録しておくことで、もしハッキングや脆弱性被害にあったとSearch Consoleが検知した場合は、Googleからメールをもらうことができるので登録しておくと便利でしょう。

    Google Search Consoleはこちら

    定期的なバックアップをとる

    WordPressのセキュリティ対策をする上で、重要なことでもあるバックアップです。

    バックアップをとっておくことで大きく3つのメリットがあります。

    もしも、ハッキングされた場合に元に戻せる

    定期的にバックアップをとっておくことで、ハッキングされたとしてもハッキングされる前の状態に復元する事ができます。
    定期的にバックアップを取っていないと、たとえサイトを復旧させたとしても、ハッカーによって二度目以降のハッキングを簡単にする「バックドア」がサイトのどこかに仕込まれている可能性があります。
    ハッキング前のデータから復旧することで、このバックドアも消去することができます。

    テーマやプラグインの変更がおかしくなってしまっても元に戻せる

    テーマやプラグインを変更した場合やアップデートをした場合にレイアウトが崩れてしまうことが稀にあります。
    そんな時でもバックアップを取っておくことで復元することができるので、ユーザビリティに影響を与えずにサイトを運営する事ができます。

    アップデートでデータが飛んでしまった場合

    WordPress本体をアップデートした時に、「画面が真っ白になってしまた」「データが表示されなくなった」といった場合に復元することが可能です。

    WordPress本体の大きなアップデートやテーマを自分でカスタマイズした際に、画面が真っ白になってしまったり、データが表示されなくなる場合があります。
    バックアップがあれば、すぐにサイトを復旧する事が可能です。

    プラグインによるバックアップ方法はこちらから

    アップデートを行う前に「バックアップすることを忘れてしまった…」という場合は、サーバー会社によりますが、サーバーにバックアップされている場合もありますので確認してみましょう。

    不正ログイン対策をする

    不正ログインをされてしまうと、乗っ取りや情報改ざんなど行われログインする事ができない状態になる可能性があります。
    不正ログインを防ぐために、2段階認証や2要素認証を行うなどして対策をしましょう。

    2段階認証を行う方法は、プラグインを使う方法からGoogle Authenticatorを使う方法、秘密の質問を設定するなど様々ありますので、各種対策方法を参考にしてみてください。

    サーバーのセキュリティ設定を行う

    WordPressでサイトを構築している場合、レンタルサーバーを使っていることが多いと思います。

    レンタルサーバーも標的になる可能性があるので、アクセス元を制限したりログイン回数を制限したりすることもできるので有効なセキュリティ対策です。

    レンタルサーバーもセキュリティ設定をすることが可能なので、WordPressを安全に保つことができるでしょう。

    以下に、代表的なレンタルサーバーのセキュリティ設定をあげてみました。
    他にも各社、無料で設定することが可能な場合とオプション機能として提供しているサーバーなど様々ですので、よくある質問やブラウザから検索して設定してみてはいかがでしょうか。

    ファイルのアクセス権限を限定する

    WordPressは様々なファイルで構成されており、ファイルを書き換えることで柔軟にサイトを構築することができます。

    しかし、誰でも書き換えることができてしまうと改ざんや削除、悪質なコードを埋め込まれてしまうなどしてしまいます。

    こうしたことが起こらないようにするためにも、ファイルに変更を加えることができる人を制限することで、WordPressのセキュリティを守ることができます。

    .htaccessやwp-config.phpなどで権限を変えておくことで、書き換えを防ぐことが可能です。

    データベースやテーブル名を変更する

    データベースにアクセスされないためにも、初期のデータベース名から変更を行いましょう。
    初期の状態では接頭辞がwp_テーブル名のような形になっており、中の状態を知っていなくてもDBにアクセスできるような状態になってしまいます。

    もしアクセスできるような状態になってしまっていると、データは改ざん・削除することができるようになってしまうので、情報漏洩にも繋がります。

    名前を変更するなどしてオリジナルのデータベース・テーブルを用いるようにしましょう。

    メタ情報にWordPressバージョンを記載しない

    Web上にWordPressで作成したサイトを展開している場合は、HTMLのmetaタグにWordPressのバージョンを記載するのをやめましょう。

    WordPressのバージョンを記載されているということは、私のサイトはWordPressのこのバージョンを使っていますと言っているようなものです。

    消すことで、WordPressを使っているということも記載されませんしセキュリティを狙われる確率も低くなります。

    WordPressのmetaタグを消す方法

    3つの手順で消し方を解説していきます。

    1. Webサイトを開いて、右クリックから検証を押す
      自分のWebサイトを使用している、ブラウザで開き右クリックから検証を開きます。

    2. headのところにあるバージョンを消す
      消すためには、現在使用しているテーマの中にfunctions.phpというファイルがありますので、以下のコードを書き込むだけです。ソースコードは一番下に書き加えれば、反映されます。

    3. 消えていることを確認する
      消えていることを確認するために、再度Webサイトを開いて検証を押してheadにないかみてみましょう。

    こうした少しのことでもWordPressのセキュリティをあげることができるので、積み重ねていきましょう。

    WordPressのセキュリティを突かれた場合の対処方法

    WordPressのセキュリティ設定をおこなっていても、セキュリティを突かれてしまう可能性は0ではありません。

    ハッキングの被害を抑える一番の方法は、一刻も早く正常な状態に復旧する事です。

    「サイトが表示されなくなった」「管理画面にアクセスできない」といった、もしもセキュリティを突かれてしまった場合の対処方法を解説します。

    WordPressのセキュリティ被害の状態と範囲を確認

    自分のサイトが、どんな被害にあったのか、どれぐらいの範囲に及んでいるのかを確認しましょう。
    ファイルだけでなく、サーバーなども確認することを忘れずに行いましょう。

    必要な場合は、ログイン履歴やアクセス履歴を参考にすると良いでしょう。

    原因を特定する

    上記でもあったように、セキュリティソフトでハッキングに犯されているファイルなど検出する事ができるので、原因を特定ていきましょう。

    WordPressのバージョンが古い、改ざんや削除されているのを発見するなど簡単なものから、データベースやサーバー関連と専門的なものまで様々あります。

    原因は特定したけれど対策や復旧ができない場合は、一度ご相談・ご連絡ください。
    WordPressセキュリティについて相談する

    WordPressのセキュリティ対策を行い復旧する

    ハッキングを受ける前にバックアップを取っている場合は、総取替するのも一つの手段です。

    ただし、バックアップしてそのままでは、同じ方法でハッキングを受けてしまうため、WordPressをアップデートする・不正コードを削除する・ログイン名パスワードをより厳重にするなど対策を行いましょう。

    小さなところからでも、セキュリティ被害を防ぐ事ができるので、ハッキングがあったあとはこまめにメンテナンスを行い、経過観察していきましょう。

    セキュリティはプロにおまかせ

    WordPressはセキュリティが弱い・不安と言われますが、なぜ弱いのかどういった対策をすればいいのかがわかると使っていても気になることはありません。

    今ではハッキングも自動化が進み、セキュリティの弱いサイトをプログラムでピックアップしてハッキングを仕掛けます。
    セキュリティ対策を行なっていないと、ピックアップされてしまう可能性が出てきます。

    セキュリティを狙われてしまうのはOSSだからということもありますが、それだけでなく
    使っている管理者本人の管理が杜撰であることも多々あります。
    こうした状態を防ぐ事ができれば、サイト構築・運営が簡単でメリットの多いWordPressを安心して使うことでできます。

    セキュリティに関して対策を行い、安心安全なサイト運営を行いましょう。
    自社内にノウハウやリソースがない場合には、安全なサイト運営をサポートさせていただくことも可能ですので、WordPressの保守に困った場合は、ぜひ一度ご相談ください。
    WordPress保守サービスについて相談する

    wp.makeの保守サービス

    ワードプレスのバージョンアップセキュリティ対策
    お悩みではないですか?
    「何かが起きる前に!」
    WordPressのプロフェッショナル集団が対応します。
    初期費用は一切頂きません。月額4万円〜
    SSL対応、定期バックアップもお任せ下さい。