基礎知識 2022.11.14 2023.07.26
WordPressは安全なCMS?安全性を診断する3つの方法も解説!
この記事を書いた人
土井 純也
WordPressスペシャリスト・エンジニア/株式会社e2e 取締役 / CTO
1985年北海道生まれ。
200社以上の大手上場企業のWordPressサイトの制作、保守・セキュリティをサポートしている。
【 展開しているサービス一覧 】
■WordPress開発サービス「wp.make」
■WordPress保守/運用サービス「wp.support」
■WordPressハッキング/緊急復旧対応サービス「wp.rescue」
■WordPressバージョンアップ代行サービス「wp.versionup」
WordPressは非常に高いシェア率を誇るCMSであるものの、サイバー攻撃の事例も多く報告されており、安全面で不安を感じる方もいるのではないでしょうか。
Webサイトを運用する中で、セキュリティ性の高さは重要な要素の一つであり、トラブルを防ぐためにも十分なケアを行っておくことが大切です。
本記事では、WordPressに見られる脆弱性の原因や、それらを突いた攻撃例、改善方法について解説します。
WordPressによって作られたWebサイトを運用している企業は、ぜひ参考にしてください。
目次
WordPressは安全なCMS?
結論から申し上げると、WordPress自体は非常にセキュリティ性能が高いCMSであり、適切な運用を行えば、安全に使用できるでしょう。
WordPressのハッキング被害の件数は、他のCMSに比べても多いものの、それは世界的に圧倒的なシェアを誇っているからです。WordPressによるWebサイト全体のうち、ハッキング被害にあったWebサイトの割合を考えると非常に少なく、安全性の高いCMSと言えます。
ただし、当然ながら絶対的に安全であるとは言えず、後ほど紹介する対策を行わなかったり、WordPressに関する知見がない方が利用したりすると、ハッカーに狙われやすいWebサイトになってしまう可能性も大いに考えられるでしょう。
そのため、ここから紹介するWordPressの対策を十分に行った上で、Webサイトの運用を行うことを強く推奨します。
安全ではないWordPressの特徴とは?
安全ではないWordPressの特徴として、下記の3点の特徴が挙げられます。
- 最新版のWordPressを使用していない
- テーマやプラグインをバージョンアップしていない
- ホスティング環境が悪い
それぞれ順番に解説します。
最新版のWordPressを使用していない
WordPressは、日々システムや脆弱性の改善が行われており、最新版を利用することによって、改善されたシステムを利用できます。
その一方で、最新版のWordPressを使用していなければ、旧WordPressバージョンの脆弱性を突いた攻撃を受ける可能性が大いに考えられるのです。
実際に、ある調査によるとハッキング被害を受けたWordPressサイトの約40%が古いバージョンのWordPressを使用していたとされています。
WordPressそのものは、非常にセキュリティ性能が高いCMSではあるものの、最新版のバージョンを使用していなければ脆弱性を突いた攻撃を受ける可能性が考えられるため、こまめにアップデートがないかを確認するとともに、あった場合は最新版へのアップデートを行いましょう。
テーマやプラグインをバージョンアップしていない
WordPressだけではなく、WordPressにインストールしたテーマやプラグインにおいても、アップデート版の配信が行われます。テーマやプラグインのアップデートを行わなければ、脆弱性が残ってしまい、そのプラグインやテーマの脆弱性を突いた攻撃が行われるリスクがあります。
また、WordPressとの互換性の都合によって不具合が起きてしまうこともあるため、こまめにバージョンアップを行いましょう。
ホスティング環境が悪い
WordPressの脆弱性の原因の一つに、ホスティング環境が悪い場合も考えられます。ホスティング環境とは、サーバーを借りる際の環境のことです。
代表的な例で言うと、PHPのバージョンが古いことによって脆弱性があるケースが挙げられます。PHP5はPHP7に比べるとはるかに脆弱性が高いものの、メンテナンスが行われていないWordPressでは使用されており、これによってハッキングリスクが高まってしまっています。
上述したWordPress本体やテーマ・プラグインだけではなく、PHPバージョンも適宜アップデートを行っておくと良いでしょう。
レンタルサーバーを対象にした攻撃もある
ここまで、WordPressを対象にした攻撃とその原因について解説してきましたが、WordPressではなく、レンタルサーバーを対象とした攻撃もあります。
攻撃の代表的な例として、データベースの情報を閲覧し、抜き取られてしまうSQLインジェクションや、WordPressの設定ファイルである、「wp-config.php」を読み取る攻撃が行われることが挙げられます。
レンタルサーバーへの攻撃を防ぐためにも、通信を暗号化して行うSSLや、脆弱性を突いた攻撃から守るための、WAFなどを導入することがおすすめです。
WordPressに関係するサプライチェーン攻撃とは?
サプライチェーン攻撃とは、関連会社や取引先を通じて、攻撃対象となる企業のシステム等に不正侵入する攻撃のことです。
サプライチェーン攻撃を受けると、個人情報や取引先情報を抜き取られる可能性が高く、事業に大きな損害を与えるほかに、流出してしまった個人や取引先から損害賠償が求められるケースがあります。
サプライチェーン攻撃は、社員に届くメールなどが起因となっていることが多いため、社員にサイバー教育を行うことが、被害防止に直結します。
そのほかにも、管理画面等へのログインパスワードは10字以上の複雑なものにしたり、ウイルス対策ソフトの導入を検討したりすることが大切です。
WordPressの脆弱性を狙った攻撃にはどのようなものがある?
WordPressの脆弱性を狙った攻撃の代表例として、下記のものが挙げられます。
- SQLインジェクション:データベースに侵入し、操作を行う攻撃
- DDos攻撃:複数のIPアドレスから大量アクセスし、Webサイト等に大きな負荷を与える攻撃
- クロスサイトスクリプティング(XXS):Webサイト内に悪意のあるスクリプトやリンクなどを埋め込むこと
そのほかにも様々な攻撃があるものの、上記3つの攻撃が多く見られるため、これらに対する対策を行うことが大切です。
WordPressを安全にするためには
ここまで、WordPressの脆弱性の原因や脆弱性を突いた攻撃内容について解説してきました。これらの脆弱性を改善するとともに、改善を行うためにやるべきことは下記の通りです。
- ログイン用のユーザー名を「admin」から変更する
- WordPressを最新のバージョンに保つ
- プラグインやテーマを最新のものに保つ
- セキュリティ性能を高めるプラグインを導入する
「WordPress 脆弱性 一覧」の記事に内部リンクを繋ぐ。
WordPressの安全性を診断する3つの方法
WordPressの安全性を診断する3つの方法として、主に下記の3点が挙げられます。
- wp.supportを活用する
- WPScans.comで診断する
- wodoctorで診断する
それぞれ順番に解説します。
wp.supportを活用する
弊社e2eでは、「wp.support」と呼ばれるWordPressの保守管理サービスを展開しています。wp.supportでは、すべてのスタッフがWordPressに精通したエンジニアであるため、常にWebサイトの安全性を診断しつつ高いセキュリティ性を担保いたします。
WordPressをセキュリティ性高く維持したい場合は、ぜひ一度利用をご検討ください。
WPScans.comで診断する
「WPScans.com」と呼ばれるツールによって、WordPressのセキュリティ性を確かめることも可能です。
WebサイトのURLを入力し、スキャンを開始するだけでセキュリティ面に関する詳細なレポートを出力してくれるため、脆弱性の原因をいち早く見つけられます。
複数のWebサイトを一つのダッシュボードで管理できるため、複数のWebサイトを運営している方にとってもおすすめのツールと言えるでしょう。
wpdoctorで診断する
「wpdoctor」もWPScans.comと同様に、URLを入力するだけでWebサイト全体をスキャンするとともに脆弱性の有無や、脆弱性の原因を特定できるツールです。
WPScans.comと同様の機能を備えており、配布するプラグインを追加すればウイルスの駆除・除染なども行えることが大きな特徴です。どうしても不安に感じる場合は、WPScans.comと併用して脆弱性をチェックすると良いでしょう。
まとめ
本記事では、WordPressの安全性や、脆弱性を突いた攻撃の代表例について解説するとともに、対策となる施策もご紹介しました。
WordPressは非常に安全性の高いCMSであるものの、古いバージョンを使用していたり、ホスティング環境が悪かったりすることで、ハッキング被害を被る可能性も十分に考えられます。そのため、最低限のセキュリティ対策を行うとともに、必要であれば専門家のスキルも借りながら運用することを推奨します。
ぜひ本記事を参考に、WordPressの脆弱性の原因を確認しつつ、安全なWordPressテーマの運用を行うようにしてください。
WordPress保守・運用のパートナーなら「wp.support」にお任せ!
WordPressサイトを運用していて、以下のようなお悩みはありませんか?
- 管理画面を使いやすくしたいけれど、カスタマイズする時間や技術がない…
- サイトのUI/UXを改善したいけれど、自社内では難しい…
- WordPressサイトを高速化したいけれど、ノウハウがない…
- セキュリティ対策をしたいけれど、知識のある人材がいない…
- 日々の業務に追われて、バージョンアップなどの保守業務が放置気味…
- ちょっとしたトラブルを気軽に相談できる相手が欲しい…
「wp.support」は、WordPressのプロフェッショナル集団によるWordPress保守サービスです。
「セキュリティ対策」「バージョンアップ対応」「定期バックアップ」はもちろん、「電話サポートが無制限」なのでカスタマイズの方法やトラブル発生時にも気軽にプロに相談できます。
既に導入済みのお客様からも、
「些細なことでも気軽に相談できるパートナー的な存在」
「困ったら相談していいんだ、と気持ちが楽になった」
と大変ご好評をいただいています。
WordPress保守・運用のパートナーをお探しなら、ぜひお気軽にお問合せください。
バージョンアップが面倒だと思ったら WordPress保守・セキュリティ対策は『wp.support』にお任せ!
WordPressのバージョンアップやセキュリティ対策にお悩みではないですか?
面倒な保守・運用作業は全て任せて、コア事業に集中してください。
大手・上場企業100社以上のWebサイトの安全を守る、WordPressのプロフェッショナル集団が、あなたのWordPressサイトを守ります!
【対応範囲】
・WordPress、プラグインのバージョンアップ ・セキュリティ対策 ・継続的なバックアップ ・緊急時の復旧対応 ・技術サポート・電話/メールサポート無制限 etc...
WordPressに関することなら何でもご相談ください!