WordPressの脆弱性・リスクとは

脆弱性とはOSやソフトウェア上のセキュリティ的に弱い部分のことであり、主に設計ミスやバグによって生じます。脆弱性はWordPressだけでなく、世の中に存在するすべてのシステム、ソフトウェアなどが潜在的に保有するものです。

攻撃者は脆弱性を狙って攻撃を行いますが、その攻撃のためには脆弱性を特定する必要があります。WordPressが狙われやすい理由の一つは、OSS（オープンソースソフトウェア）であることが挙げられます。OSSはソースコードが開示され、誰でも自由に改変することができるソフトウェアですが、ソースコードを読み解く能力があれば、脆弱性を見つけ出すこともできるのです。
そのため、WordPressの脆弱性を狙って攻撃が行われやすいというわけですね。

WordPressを利用する上では、脆弱性を狙った攻撃が行われやすいというリスクを常に把握しておく必要があります。

なお、WordPressの脆弱性・リスクについてもっと詳しく知りたい方は、「WordPressの脆弱性とは？リスクや攻撃手法、対策方法をまとめて解説！」で詳しく解説していますので、こちらをご参照ください。

なぜ狙われる？

WordPressはOSSであるため脆弱性が見つかりやすく狙われやすい、とお話ししましたが、そのほかにもWordPressと同じOSSのCMSは存在します。しかし、WordPressが頭一つ飛び抜けて狙われやすいというイメージはないでしょうか。

ほかにもOSSのCMSが存在するにもかかわらず、WordPressが狙われやすい理由は「シェア率の高さ」にあります。W3Techsによれば、WordPressのシェア率は全Webサイトの37.8%であり、CMSのなかでは63.5%ものシェア率を誇ります。

一つの攻撃手法が多くのWebサイトで利用できることになるため、WordPressが狙われやすいというわけです。

WordPressのハッキング事例

具体的にWordPressを狙った攻撃にはどのような事例があるのでしょうか。ここでは、WordPressのハッキング事例として、いくつかの事例を紹介します。
WordPressがハッキングを受けた際に考えられる事象については、「WordPressがハッキングを受けたらどうなる？」でもまとめていますので、こちらもご参照ください。

Wordfence Security

Wordfence Securityのダウンロードはこちら

Wordfence Securityは、プラグインとしてWordPressに導入することで、さまざまな脆弱性の診断が行えるWordPressプラグインです。診断できる内容としては、次のようなものが挙げられます。

• WordPress本体
• テーマ
• プラグイン
• マルウェア
• 不正なURL
• バックドア
• SEOスパム
• など

メールアドレスを登録することでダッシュボード画面にアクセス可能になり、詳細な診断結果を見ることも可能です。

WPSEC.com

WPSEC.comの公式サイトはこちら

WPSEC.comは、Rubyで作られたオープンソースのWordPress脆弱性ツールである「WPScan」を利用したオンラインセキュリティ診断サービスです。

診断対象WebサイトのURLを入力するだけで診断ができ、どのサービス部分に脆弱性が多いかが数値で表示されます。無料の会員登録をすることで、より詳細な診断結果を閲覧できるため、一度利用してみてはいかがでしょうか。

なお、WordPressプラグインとしてもWPScanは提供されていますので、こちらの利用を検討してもよいでしょう。

WPdoctor

WPdoctorの公式サイトはこちら

WPdoctorもWPSEC.comと同じく、WPscanの脆弱性データベースをもとにオンラインでセキュリティ診断ができるサービスです。

こちらも対象WebサイトのURLを入力するだけで診断が可能ですが、日本語で表示されるため、ここで紹介した他のプラグイン/サービスと比べて内容がわかりやすいといえます。

レポートの結果は簡素ですが、その分対処すべき項目がわかりやすいため、まずはWPdoctorで診断してみることをおすすめします。

ユーザー名/パスワードを強固にする

最も基本的な対策としては、ユーザー名/パスワードを強固にすることが非常に重要です。単純なユーザー名/パスワードを使っていると、ブルートフォースアタック（総当たり攻撃）などで簡単に管理者権限が奪取されてしまいます。

ユーザー名/パスワードともに推測しづらいものにすることをおすすめします。
ユーザー名には「admin」や「user」といった単純なものを利用しない、パスワードは8文字以上で英字・数字・記号を織り交ぜたものにする、といった対策を取りましょう。

ログイン画面の設定変更(URL変更・IP制限)

WordPressのログイン画面は、WordPressを扱ったことのある人なら誰でも予測できてしまいます。ログイン画面はたとえるならば、家で言うところの玄関であり、ユーザー名/パスワードが鍵と言えるでしょう。
あなたがWebサイト（家）に侵入する立場で考えた場合、ログイン画面（玄関）がわかっている場合とわからない場合では、どちらのほうが攻撃しやすいかは明白でしょう。

ログイン画面は管理者以外がアクセスする必要のない画面です。そのため、ログイン画面のURLを変更したり、特定のIPアドレス以外は管理画面にアクセスできないように対処したりすることをおすすめします。

WordPress本体/プラグインの最新化

WordPress本体やプラグインは、定期的にアップデートが配布されています。アップデートの内容には、脆弱性の対策を含むセキュリティアップデートも含まれているため、常に最新版を利用するよう意識しましょう。

今回紹介したWordPressのハッキング事例では、古いバージョンのWordPressを利用していたために脆弱性が残っており、その脆弱性を狙われたものも存在します。そのため、WordPressやプラグインの最新化はとても重要です。

不要なテーマ・プラグインを削除する

WordPress構築時にさまざまなテーマやプラグインを導入することも多いでしょう。
あなたは使わなくなったテーマやプラグインをそのままにしていたりしませんか？

使わなくなったテーマやプラグインは、アップデートが行われても更新しないまま放置していることもあるのではないでしょうか。不要なテーマなどは管理が行き届かなくなるため、削除することをおすすめします。

WordPressのテーマの脆弱性を悪用した事例も報告されていますので、不要なテーマ・プラグインは削除しましょう。

セキュリティ対策プラグインを導入する

WordPressのプラグインには、セキュリティ対策用のプラグインも存在します。セキュリティ対策プラグインを導入することで、比較的簡単にWordPressのセキュリティ対策が行えるため、導入されていない方はぜひ導入することをおすすめします。

セキュリティ対策プラグインの詳細に関しては後ほど紹介しますが、ログインURLを変更したり、特定IPアドレスからのアクセスを制限したりできるため、セキュリティ対策プラグインを導入しましょう。

有事に備えたバックアップ取得

セキュリティ対策として、バックアップを取得することも非常に効果的です。もしもあなたのWebサイトがハッキングの被害に遭ってしまったら、Webサイトを改ざんされる危険性が考えられます。

その際に、バックアップを取得していれば、ハッキングされる前の状態に戻すことができるのです。また、設定ミスなどによってWebサイトが表示されなくなった、などの有事に備えることができるため、定期的なバックアップを取得しましょう。

WordPressでバックアップを取得する場合、専用のプラグインである「BackWPup」や「UpdraftPlus」がおすすめです。

BackWPupの使い方に関しては、「BackWPUpの使い方・設定方法まとめ」で、UpdraftPlusの使い方に関しては、「WordPressをバックアップする簡単な方法」で詳しく解説していますので、こちらをご参照ください。

SiteGuard WP Plugin

SiteGuard WP Pluginのダウンロードはこちら

SiteGuard WP Pluginは、純国産のセキュリティ対策プラグインです。プラグインを導入するだけで最低限のセキュリティ対策ができ、もちろん、細かいカスタマイズも可能です。純国産のプラグインであるため、設定項目なども日本語で記載されており、扱いやすいプラグインといえるでしょう。

SiteGuard WP Pluginの機能の一例を以下に示します。

• ログインページの変更
• 管理ページアクセス制限
• 画像認証
• ログインロック
• ログインアラート
• XMLRPC防御
• など

WordPressログインページのURLは、WordPressの知識がある人ならば誰でも簡単に予測できてしまいます。SiteGuard WP Pluginでは、そのログインページを変更することをはじめとして、主に不正アクセスを防ぐことができるセキュリティ対策プラグインなのです。

セキュリティ対策に迷ったら、まずはSiteGuard WP Pluginを導入することを検討されてはいかがでしょうか。

All In One WP Security & Firewall

All In One WP Security & Firewallのダウンロードはこちら

All In One WP Security & Firewallは、名前のとおりWordPressのセキュリティをオールインワンにしたプラグインです。SiteGuard WP Pluginよりも設定項目が多く、難易度も高いといえますが、その分包括的なセキュリティ対策が施せます。

All In One WP Security & Firewallの機能の一部を簡単に紹介します。

• WordPressバージョンの隠蔽
• ログイン試行回数制限
• データベースの接頭辞の変更
• ファイルのアクセス、編集の禁止
• ファイアウォールの設定
• ブルートフォースアタック対策
• コメントスパム対策
• など

WordPressに対するあらゆる攻撃の対策を包括的に行いたい場合には、All In One WP Security & Firewallを導入してみてはいかがでしょうか。

iThemes Security

iThemes Securityのダウンロードはこちら

iThemes Securityは、絶対に不正アクセスされたくない方向けのセキュリティ対策プラグインと言えるでしょう。イメージとしては、SiteGuard WP Pluginよりも詳細に不正ログインに対する設定が行えると考えられます。

iThemes Securityの機能の一例を以下に示します。

• スケジュールによるダッシュボードへのアクセス無効化
• 特定IPアドレス、ユーザーエージェントでのアクセス拒否設定
• ファイル変更のモニタリング
• フォルダ、ファイルのパーミッションチェック
• ブルートフォースアタック対策
• データベースのバックアップ
• 各種通知メールの送信
• など

iThemesでは退席中モードというものがあり、設定することで一定時間はダッシュボードにアクセスできなくなります。つまり、管理者である自身が作業している時間以外のすべてのアクセスを禁止することが可能なのです。

また、有料のプロ版を利用することで、マルウェアスキャンや二要素認証など、さらに広範囲なセキュリティ対策も施せます。