世界中のウェブサイトの35%はWordPress(ワードプレス)で作られています。
使いやすい管理画面、多くのプラグインやテーマによる自由度の高さなどから、日本国内でもブロガーやサイト運営者など多くの方に利用されています。
そんなWordPressですが、広く普及されているが故にブラックハッカーに狙われやすいのでセキュリティが不安視されることがあります。
そこで今回の記事では、やっておくべきWordPressのセキュリティ対策について解説していきます。
目次
ここからは、WordPressのセキュリティ対策の必要性について説明していきます。
まず、「WordPressはセキュリティが弱い」と思われがちですが、実際の所WordPress自体のセキュリティに特別な問題があるわけではありません。
なぜセキュリティが弱いと誤解されやすいかは、世界で多くの方が利用しているため、当然悪質なハッカーの標的にもなりやすくなっているのが原因です。そのためWordPressのアップデートは頻繁に行われています。
また、初心者でも簡単にインストールできるが故に、堅牢なパスワードの未設定や、第三者に分かりやすいものでログインされてしまうことで乗っ取られてしまうといったセキュリティトラブルもあり得ます。
このようなこともあり、WordPressのアカウントの乗っ取りによって、重要な情報などが盗み取られたり、ウェブサイトのデータが改ざんされたりする事が起こることは少なくありません。
WordPressを利用する際はセキュリティ対策について、しっかり考える必要があると言えるでしょう。
WordPressにセキュリティ対策をする必要があることが分かったところで、次に具体的な解説をしていきます。また、なぜWordPressが狙われるか、またどのようなハッキングの手法があるのかも併せてご紹介していきましょう。
世界中の多くの方が利用しているからという面もありますが、ログインURLや管理画面URLが決まっていることが多く、特定されやすいことや「オープンソースのソフトウェアである」という事も大きな要因です。ハッカーにしてみればURLが特定しやすいので、やりやすい相手だと言えるでしょう。
オープンソースとは…ソースコード(プログラミング言語で記述された文字列)を無償で公開し、誰でも自由に改良・再配布ができるようにしたソフトウェア。
オープンソースであることのメリットとして、さまざまな個人や企業が積極的にソフトウェアの発展に協力して貰えるという事があります。その一方で、システムに関する情報が多く一般に公開されるため、悪意のある方の目に晒されてしまうこともあり、脆弱性が突かれやすいという危険性もあります。そのためこのような弊害が生まれてしまうのです。
具体的にハッカーによるWordPressへの攻撃とはどのようなものなのでしょうか?
ハッキングの手段について、どのようなものがあるのか、またどのような対策があるのかをいくつかご紹介させて頂きます。
【Pharmaハッキング】
WordPressの古いバージョンに不正コードを挿入するハッキング手法です。
バージョンアップを怠っているサイトなどが、このハッキングの被害を受けてしまうことが多いです。新しいバージョンがリリースされたら、アップデートするように心掛けましょう。
【総当たり攻撃】
脆弱なパスワードにつけ込み、ハッカーが自動的に繰り返しログインをするシステムを使用して不法にサイトに侵入するハッキング手法です。
パスワードを「aaabbb」や「123456」など単純なものを設定してしまっている方は要注意です。パスワードに英数字や記号を混ぜるだけで被害の可能性を大幅に少なくすることができるため、パスワードはある程度複雑にしておくことをおすすめします。
【クロスサイトスクリプティング (XSS)】
ウェブサイト(標的サイト)の脆弱性(XSS脆弱性)を利用したハッキング手法です。
具体的にWordPressの場合、プラグインに悪意のあるプログラムを混入させる場合が多いです。身元不明のプラグインをサイトに追加するときは、充分に注意が必要です。
自分のWordPressのセキュリティ診断をする方法を紹介します。
一番手軽にセキュリティ診断をできるサービスはこちらです。
セキュリティ企業Sucuri社が提供しているサービスであり、URLを入力するだけでセキュリティ診断をすることが出来ます。
MinimalからCriticalの5段階でサイトの危険性の評価を表示し、マルウェアやブラックリストスタッツなどもリストとして表示されます。
誰でも簡単に、すぐに診断ができるためまずはやってみることをおすすめします。
こちらのサービスは日本の会社が運営しているワードプレスのセキュリティ診断です。
定期的にデータベースを更新しているようですので安心ですね。
こちらもサイトから簡単に診断することができますが、この会社はセキュリティ診断のできるプラグインも提供しており、プラグインを使用することでより詳しいセキュリティ診断を行うことが可能です。
WordPress(ワードプレス)脆弱性診断 セキュリティースキャナ
セキュリティに不安を感じている方はプラグインの導入を行い、セキュリティ診断をするのもおすすめです。
【無料】ワードプレス:マルウェアスキャン&セキュリティープラグイン [マルウェア・ウィルス検出と駆除]
次に、WordPressを強化する方法についていくつかご紹介します。
各ハッキング手法の対策は「WordPressへの攻撃・脅威」の項目でも少し触れましたが、ここでは、さらに詳しくWordPressのセキュリティの強化について解説していきましょう。
まずは基本的なことですが、「管理画面のユーザー名、パスワードの強化」についてです。
ユーザー名は、テーマによってはブログ内に公開されていたりするため、そこまで複雑なものにする必要は無いかと思われますが、パスワードがユーザー名と一緒にバレてしまえば、この時点でログインが出来てしまうので、パスワードは厳重に扱う必要があります。
「aaabbb」や「123456」など総当たり攻撃のプログラムで簡単に突破されてしまうパスワードが駄目なのは当然ですが、それよりも多くの方がやりがちなのが「パスワードの使い回し」です。これも、一つのパスワードが流出されてしまったら、同じパスワードにしていたすべてのサービスに被害が及ぶ可能性が高いため非常に危険です。
また、生まれた年の西暦や誕生日などわかりやすい数字はパスワードに設定することは出来るだけ避けるようにしましょう。パスワードを第三者に想像されにくいような文字列で作成することが重要です。
パスワードは英数字と記号を混ぜた複雑なものにする他に、月1回程度を目安に、定期的にパスワードの変更も行うことをおすすめします。この二つを怠らないだけで、かなりハッキングリスクを軽減出来るでしょう。
ワードプレスを古いバージョンのまま放置しているのも危険です。
最新のバージョンが出たら、なるべく早めにアップデートを行うようにしましょう。
古いバージョンだとハッキング被害に遭いやすい他、万一遭ってしまった場合のサポートなどにも大きく関わってきますので要注意です。
また、使っていないプラグインは削除するのをおすすめします。
長くウェブサイトを運営していると、過去に一度入れてみたものの今は全く使っていないプラグインの一つや二つがあることも多いかと思います。
管理の行き届いていない放置しているプラグインが自動的に更新等をされると、予期していないプログラムなどが入ってしまう可能性もあり、悪質な場合だとハッキング被害に繋がってしまう可能性もあります。
プラグインを削除することで、ウェブサイトの空き容量も増えますし、不要なプラグインをしっかり削除しておくことは大切です。
有料無料問わず、プラグイン提供側が脆弱性対応をするアップデートしないと、セキュリティーホールになることも考えられます。不要なプラグインは削除する方がよいでしょう。
「WordPressのセキュリティ診断」の項目ではセキュリティ診断が出来るプラグインをご紹介しましたが、セキュリティ自体を強化できるプラグインも存在します。
プラグインは有効化するだけで、手軽に導入できるセキュリティ強化の方法ですが、中にはセキュリティ強化と偽り悪意のプログラムを忍ばせるプラグインもあるので、プラグインの評判等をしっかり調べてから使うようにしましょう。
次の「おすすめのプラグイン」の項目で、具体的にセキュリティ強化のできるプラグインをご紹介します。
WordPressには豊富なプラグインがあり、セキュリティ対策のためのプラグインもいくつか存在します。
例えば、「SiteGuard WP Plugin」というプラグインは、いくつかのセキュリティ設定を行うことが可能です。また、設定項目がすべて日本語のため、使いやすいというところも魅力の1つです。
WordPressのログイン画面は、通常「https://ドメイン/wp-admin」になっています。そのため、URLの後ろに「wp-admin」とつけるだけでログイン画面に行くことができてしまいます。
しかし、このプラグインを使用することによって、ログイン画面のURLを自由にカスタムすることができ、ハッカーなどからの不正ログインを妨げることができます。
また、画像認証を設置する機能もあり、ロボットによる不正アクセスや不自然な大量ログインを防ぐことも可能です。
今回紹介したプラグインはほんの一例で、他にも多くのセキュリティ対策用のプラグインがありますので、調べてみるのも良いでしょう。
SiteGuard WP Plugin
https://ja.wordpress.org/plugins/siteguard/
WordPressは多くの方が利用する人気のCMSですが、その分ハッカーに狙われやすいという面もあります。そのため、今回の記事ではWordPressのセキュリティ対策について解説させて頂きました。
WordPressを利用する際はセキュリティ対策についてしっかり考える必要があるというのは事実ですが、多くの方が利用している分、セキュリティ対策の方法やセキュリティ対策に関する情報も多く存在します。
記事で紹介した通り、WordPressには手軽にできるセキュリティ対策の方法がたくさんあります。きちんとセキュリティ対策を行った上で、安全にWordPressでウェブサイトの運営を行いましょう。
SEOの内部施策を満たしたWebサイト制作
Webサイト制作に関して以下のお悩みを持ったことはありませんか?
「検索エンジンに好まれる内部施策をWebサイトに実装してくれるのか・・・」
「SEOに強いWebサイト制作会社を探してる・・・」
以前、私がWebサイト制作を外注する時に「SEO要件を満たしたWebサイトを作ってくれる会社なのか」「成果を最大化するアドバイスがもらえるのか」こうした会社を見つけることが出来ませんでした。
当社はWebサイト制作はもちろんのこと、SEO歴16年以上の実績を持つ「SEOの相談ができるWebサイト制作」を依頼できる会社です。なぜなら、SEO相談実績1000社以上で多くのWebサイトのSEO改善を図ってきたからです。また、経験豊富な専任コンサルタントが社内のSEOコンサルタントや制作チームと連携してWebマーケティングの収益最大化を目指すことができます。
当社の強みは以下にあります。
当社にWebサイト制作をお任せ頂いたお客様で様々な成果事例が報告されています。
当社は「SEO×クリエイティブ」のちからで課題を解決できるWebサイト制作の代行会社です。当社の「Webサイト制作サービス」をご確認ください。
WordPressは、Webサイトを誰でも簡単に作ることができるCMS(コンテンツ・マネジメント・システム)です。そのWordPressの機…
CMSはWebサイトを作成する際に必要なHTMLの知識やディレクトリ構造など、システム的な部分の知識が必要なく、管理画面から投稿するだけで簡…
サイト運営に欠かせないのが「サーバー」です。サーバーがサイトの命運を左右する、と言うサイト運営者もいるほど、サーバー選択は重要度の高い要素と…
Web制作をするにあたって、WordPressを使ってサイト構築をしている担当者も多いと思います。更新や管理がスムーズにでき、かつSEO対策…
EC・通販サイト運営における売上アップを考えたとき、ECサイトそのもののリニューアルを行うのは有効な手段です。特にサイト作成から時間が経過し…
さまざまなビジネスでオンライン化が加速していく中、物販を行っている方もインターンネット上での販売を併用するのが必須となってきています。また、…
あなたのサイトは、集客できていますか?各々の課題に沿ったSEOとユーザーに響くデザインを両立したサイト制作で、意識の高いターゲットをフロントへ呼び込みます。
Webマーケティングに関わる施策全般をワンストップで
ご提供します。
お気軽にご相談ください。
Webマーケティング最新ニュースのレポートや無料セミナーの先行案内が届く、お得なメルマガ配信中!
検索順位で1位まで上げるためのSEOポイント8つ
E-E-A-Tとは? SEOにおける重要性と評価の高め方を解説
成功確率アップ!BtoBのコンテンツマーケティング施策とは
YMYLとは?該当するジャンルとSEOにおける対策のポイント8つ
SEO内部施策とは?重要な項目16選【セルフチェックリストつき】