WordPressはサイバー攻撃の対象として狙われやすいCMSです。そのため、WordPressを利用する上では、最低限のセキュリティ対策が推奨されます。WordPressは狙われやすいとはいえ、全世界のWebサイトの約4割を占めており、多くの人が利用していることから、セキュリティ対策を施せば安全に利用できることの裏付けと言えるでしょう。
しかし、「WordPressはなぜ狙われやすいのか?」「セキュリティ対策とは具体的に何を行えばよいのか」と、疑問を持つ方も多いのではないでしょうか。
そこで今回は、WordPressが狙われやすい理由やWordPressのハッキング事例などを紹介するとともに、基本的な対策方法やおすすめのセキュリティ対策プラグインを解説していきます。
これからWordPressでWebサイトを構築しようと考えている方、WordPressのセキュリティ対策について知りたい方向けの記事ですので、ぜひご覧ください。
この記事の目次
WordPressのセキュリティは弱いのか?
結論からいえば、WordPress自体がセキュリティに弱いわけではありません。しかし、有名であるが故に狙われやすく、標的となってしまいやすいことは事実です。
ここでは、WordPressのセキュリティ周りについてお話ししていきます。
WordPressの脆弱性・リスクとは
脆弱性とはOSやソフトウェア上のセキュリティ的に弱い部分のことであり、主に設計ミスやバグによって生じます。脆弱性はWordPressだけでなく、世の中に存在するすべてのシステム、ソフトウェアなどが潜在的に保有するものです。
攻撃者は脆弱性を狙って攻撃を行いますが、その攻撃のためには脆弱性を特定する必要があります。WordPressが狙われやすい理由の一つは、OSS(オープンソースソフトウェア)であることが挙げられます。OSSはソースコードが開示され、誰でも自由に改変することができるソフトウェアですが、ソースコードを読み解く能力があれば、脆弱性を見つけ出すこともできるのです。
そのため、WordPressの脆弱性を狙って攻撃が行われやすいというわけですね。
WordPressを利用する上では、脆弱性を狙った攻撃が行われやすいというリスクを常に把握しておく必要があります。
なお、WordPressの脆弱性・リスクについてもっと詳しく知りたい方は、「WordPressの脆弱性とは?リスクや攻撃手法、対策方法をまとめて解説!」で詳しく解説していますので、こちらをご参照ください。
なぜ狙われる?
WordPressはOSSであるため脆弱性が見つかりやすく狙われやすい、とお話ししましたが、そのほかにもWordPressと同じOSSのCMSは存在します。しかし、WordPressが頭一つ飛び抜けて狙われやすいというイメージはないでしょうか。
ほかにもOSSのCMSが存在するにもかかわらず、WordPressが狙われやすい理由は「シェア率の高さ」にあります。W3Techsによれば、WordPressのシェア率は全Webサイトの37.8%であり、CMSのなかでは63.5%ものシェア率を誇ります。
一つの攻撃手法が多くのWebサイトで利用できることになるため、WordPressが狙われやすいというわけです。
WordPressのハッキング事例
具体的にWordPressを狙った攻撃にはどのような事例があるのでしょうか。ここでは、WordPressのハッキング事例として、いくつかの事例を紹介します。
WordPressがハッキングを受けた際に考えられる事象については、「WordPressがハッキングを受けたらどうなる?」でもまとめていますので、こちらもご参照ください。
別のサイトに勝手にリダイレクトされるページ改ざん
近年、WordPressのハッキング事例として最も多く見られる事例です。WordPressがハッキングされた結果、ユーザーがページにアクセスした際、自動的に別のWebサイトへとリダイレクトするようにページを改ざんしてしまうのです。
リダイレクト先のWebサイトは詐欺サイトの場合もあり、ユーザーに実害をもたらす可能性が高いため、発見した場合は早急に対処する必要があります。
Webサイトの改ざんによるスパムメール送信
こちらの事例ではWordPressがハッキングされた結果、Webサイトが改ざんされてしまい、大量のスパムメールを送信するように作り変えられてしまいました。
本事例では、1日に1万件ものスパムメールを送信しており、Webサイト自体もマルウェアに感染してGoogleのブラックリストに登録されてしまったとのこと。管理者権限もハッカーに奪われており、まさにWebサイトがすべて奪われてしまった、という事例もあるのです。
WordPressを踏み台にしたホスティングサーバーの乗っ取り
WordPressを踏み台としたホスティングサーバーの乗っ取り事例も存在します。こちらは大塚商会が運営するホスティングサービス「アルファメール/アルファメールダイレクト」への不正アクセスへと発展しました。
大塚商会がユーザーに提供していたWebサーバー上で、特定のユーザーが利用していたWordPressがハッキングに遭い、WordPressを踏み台としてWebサーバーへの攻撃が行われたのです。
これらの事例から分かるように、WordPressのセキュリティ対策は自分自身のためだけでなく、訪れるユーザーや関係者すべてを守るために実施しなければならない対策なのです。
WordPressのセキュリティ診断
WordPressのセキュリティ対策を施す前に、現状のセキュリティ対策状況を把握しておきましょう。その際に利用できるWordPressのセキュリティ診断サービス・プラグインを紹介します。
Wordfence Security
Wordfence Securityは、プラグインとしてWordPressに導入することで、さまざまな脆弱性の診断が行えるWordPressプラグインです。診断できる内容としては、次のようなものが挙げられます。
- WordPress本体
- テーマ
- プラグイン
- マルウェア
- 不正なURL
- バックドア
- SEOスパム
- など
メールアドレスを登録することでダッシュボード画面にアクセス可能になり、詳細な診断結果を見ることも可能です。
WPSEC.com
WPSEC.comは、Rubyで作られたオープンソースのWordPress脆弱性ツールである「WPScan」を利用したオンラインセキュリティ診断サービスです。
診断対象WebサイトのURLを入力するだけで診断ができ、どのサービス部分に脆弱性が多いかが数値で表示されます。無料の会員登録をすることで、より詳細な診断結果を閲覧できるため、一度利用してみてはいかがでしょうか。
なお、WordPressプラグインとしてもWPScanは提供されていますので、こちらの利用を検討してもよいでしょう。
WPdoctor
WPdoctorもWPSEC.comと同じく、WPscanの脆弱性データベースをもとにオンラインでセキュリティ診断ができるサービスです。
こちらも対象WebサイトのURLを入力するだけで診断が可能ですが、日本語で表示されるため、ここで紹介した他のプラグイン/サービスと比べて内容がわかりやすいといえます。
レポートの結果は簡素ですが、その分対処すべき項目がわかりやすいため、まずはWPdoctorで診断してみることをおすすめします。
WordPressのセキュリティ基本対策紹介
ここからは、WordPressのセキュリティ対策として基本的な対策方法を紹介します。いずれか一つだけを対応すればよいということではなく、網羅的に対応することが重要です。
ユーザー名/パスワードを強固にする
最も基本的な対策としては、ユーザー名/パスワードを強固にすることが非常に重要です。単純なユーザー名/パスワードを使っていると、ブルートフォースアタック(総当たり攻撃)などで簡単に管理者権限が奪取されてしまいます。
ユーザー名/パスワードともに推測しづらいものにすることをおすすめします。
ユーザー名には「admin」や「user」といった単純なものを利用しない、パスワードは8文字以上で英字・数字・記号を織り交ぜたものにする、といった対策を取りましょう。
ログイン画面の設定変更(URL変更・IP制限)
WordPressのログイン画面は、WordPressを扱ったことのある人なら誰でも予測できてしまいます。ログイン画面はたとえるならば、家で言うところの玄関であり、ユーザー名/パスワードが鍵と言えるでしょう。
あなたがWebサイト(家)に侵入する立場で考えた場合、ログイン画面(玄関)がわかっている場合とわからない場合では、どちらのほうが攻撃しやすいかは明白でしょう。
ログイン画面は管理者以外がアクセスする必要のない画面です。そのため、ログイン画面のURLを変更したり、特定のIPアドレス以外は管理画面にアクセスできないように対処したりすることをおすすめします。
WordPress本体/プラグインの最新化
WordPress本体やプラグインは、定期的にアップデートが配布されています。アップデートの内容には、脆弱性の対策を含むセキュリティアップデートも含まれているため、常に最新版を利用するよう意識しましょう。
今回紹介したWordPressのハッキング事例では、古いバージョンのWordPressを利用していたために脆弱性が残っており、その脆弱性を狙われたものも存在します。そのため、WordPressやプラグインの最新化はとても重要です。
不要なテーマ・プラグインを削除する
WordPress構築時にさまざまなテーマやプラグインを導入することも多いでしょう。
あなたは使わなくなったテーマやプラグインをそのままにしていたりしませんか?
使わなくなったテーマやプラグインは、アップデートが行われても更新しないまま放置していることもあるのではないでしょうか。不要なテーマなどは管理が行き届かなくなるため、削除することをおすすめします。
WordPressのテーマの脆弱性を悪用した事例も報告されていますので、不要なテーマ・プラグインは削除しましょう。
セキュリティ対策プラグインを導入する
WordPressのプラグインには、セキュリティ対策用のプラグインも存在します。セキュリティ対策プラグインを導入することで、比較的簡単にWordPressのセキュリティ対策が行えるため、導入されていない方はぜひ導入することをおすすめします。
セキュリティ対策プラグインの詳細に関しては後ほど紹介しますが、ログインURLを変更したり、特定IPアドレスからのアクセスを制限したりできるため、セキュリティ対策プラグインを導入しましょう。
有事に備えたバックアップ取得
セキュリティ対策として、バックアップを取得することも非常に効果的です。もしもあなたのWebサイトがハッキングの被害に遭ってしまったら、Webサイトを改ざんされる危険性が考えられます。
その際に、バックアップを取得していれば、ハッキングされる前の状態に戻すことができるのです。また、設定ミスなどによってWebサイトが表示されなくなった、などの有事に備えることができるため、定期的なバックアップを取得しましょう。
WordPressでバックアップを取得する場合、専用のプラグインである「BackWPup」や「UpdraftPlus」がおすすめです。
BackWPupの使い方に関しては、「BackWPUpの使い方・設定方法まとめ」で、UpdraftPlusの使い方に関しては、「WordPressをバックアップする簡単な方法」で詳しく解説していますので、こちらをご参照ください。
WordPressのおすすめセキュリティ対策プラグイン
WordPressにはセキュリティ対策プラグインが存在しており、ここではおすすめの3つのセキュリティ対策プラグインを紹介します。
紹介するプラグインを導入することで「WordPressのセキュリティ基本対策紹介」で解説した内容の対策が行えるものもありますので、こちらを参考に導入してみてはいかがでしょうか。
なお、今回紹介するプラグインはすべて無料で利用できるものに限定しています。一部のプラグインには有料版が存在しますが、基本機能は無料版でも利用可能です。
SiteGuard WP Plugin
SiteGuard WP Pluginのダウンロードはこちら
SiteGuard WP Pluginは、純国産のセキュリティ対策プラグインです。プラグインを導入するだけで最低限のセキュリティ対策ができ、もちろん、細かいカスタマイズも可能です。純国産のプラグインであるため、設定項目なども日本語で記載されており、扱いやすいプラグインといえるでしょう。
SiteGuard WP Pluginの機能の一例を以下に示します。
- ログインページの変更
- 管理ページアクセス制限
- 画像認証
- ログインロック
- ログインアラート
- XMLRPC防御
- など
WordPressログインページのURLは、WordPressの知識がある人ならば誰でも簡単に予測できてしまいます。SiteGuard WP Pluginでは、そのログインページを変更することをはじめとして、主に不正アクセスを防ぐことができるセキュリティ対策プラグインなのです。
セキュリティ対策に迷ったら、まずはSiteGuard WP Pluginを導入することを検討されてはいかがでしょうか。
All In One WP Security & Firewall
All In One WP Security & Firewallのダウンロードはこちら
All In One WP Security & Firewallは、名前のとおりWordPressのセキュリティをオールインワンにしたプラグインです。SiteGuard WP Pluginよりも設定項目が多く、難易度も高いといえますが、その分包括的なセキュリティ対策が施せます。
All In One WP Security & Firewallの機能の一部を簡単に紹介します。
- WordPressバージョンの隠蔽
- ログイン試行回数制限
- データベースの接頭辞の変更
- ファイルのアクセス、編集の禁止
- ファイアウォールの設定
- ブルートフォースアタック対策
- コメントスパム対策
- など
WordPressに対するあらゆる攻撃の対策を包括的に行いたい場合には、All In One WP Security & Firewallを導入してみてはいかがでしょうか。
iThemes Security
iThemes Securityは、絶対に不正アクセスされたくない方向けのセキュリティ対策プラグインと言えるでしょう。イメージとしては、SiteGuard WP Pluginよりも詳細に不正ログインに対する設定が行えると考えられます。
iThemes Securityの機能の一例を以下に示します。
- スケジュールによるダッシュボードへのアクセス無効化
- 特定IPアドレス、ユーザーエージェントでのアクセス拒否設定
- ファイル変更のモニタリング
- フォルダ、ファイルのパーミッションチェック
- ブルートフォースアタック対策
- データベースのバックアップ
- 各種通知メールの送信
- など
iThemesでは退席中モードというものがあり、設定することで一定時間はダッシュボードにアクセスできなくなります。つまり、管理者である自身が作業している時間以外のすべてのアクセスを禁止することが可能なのです。
また、有料のプロ版を利用することで、マルウェアスキャンや二要素認証など、さらに広範囲なセキュリティ対策も施せます。
まとめ
WordPressは世界中で利用されている非常に扱いやすいCMSですが、OSSであるため狙われやすく、セキュリティ対策が欠かせません。WordPressのセキュリティ対策を怠ると、あなただけでなくWebサイトに訪れたユーザーや、サーバーホスティング業者などにまで影響が及ぶ可能性があるため、しっかりと対策しなければなりません。
この記事では、基本的な対策方法とあわせて、おすすめのセキュリティ対策プラグインを紹介しましたので、ぜひ参考にWordPressのセキュリティ対策を行ってみてはいかがでしょうか。
もし、「セキュリティ対策は難しくて対応できない」という方がいらっしゃいましたら、WordPress保守・管理のプロ wp.supportにお気軽にご相談ください。
土井 純也
WordPressスペシャリスト・エンジニア
株式会社e2e 取締役
1985年北海道生まれ。200社以上のWordPressサイトの制作を担当し、「wp.support」では一部上場企業を含め、様々なサイトのWordPress保守・セキュリティをサポートしている。
