WordPressでサイトを運営している企業は自社の信頼とブランド、そしてサイト利用者を守るためにセキュリティ対策を必ず実施しなければなりません。セキュリティ対策をしないと、個人の情報が盗まれたりサイトの内容を改ざんされたりするなどの被害に遭う可能性が高いです。個人情報流出もサイト改ざんも規模が大きくなるとニュースや新聞で報道され、企業の信頼は損なわれ、売上に大きな影響を及ぼします。このような被害に遭うことを防ぐため、本記事ではWordPressのセキュリティ対策方法を紹介します。導入するべきプラグインや、セキュリティ対策をしなかった場合の被害についても解説しているので、この記事を読んでWordPressを安全に運営しましょう。
目次
WordPressの初心者も必見。必須のセキュリティ対策6選!
WordPressには多くのセキュリティ対策方法があります。それらの対策と具体的なプラグインによる対策をあわせて紹介します。
対策1:ログインパスワードを強固なものにして使い回さない
WordPressでサイトを運営するなら、大前提としてパスワードを強固なものにして使い回さないようにしましょう。
パスワードを強固にする理由は、簡単なパスワードだと攻撃者に突破されやすいからです。
攻撃者がよく実施する手法にブルートフォース攻撃(総当たり攻撃)があります。この攻撃は手当たり次第にIDとパスワードを入れてサイトへの侵入を試みる攻撃です。
IDとパスワードを総当たりで入力すればいいだけなので、簡単なパスワードを設定しているとすぐに突破されてしまいます。
Security NEXTのセキュリティニュースによると、2021年5月~8月の4ヶ月間、あるセキュリティソフトが検知したブルートフォース攻撃の回数は約550億回でした。
強固なパスワードを設定していないとこの攻撃からサイトを守るのは難しく、パスワードが破られてしまうのは時間の問題です。簡単に実行されるブルートフォース攻撃からサイトを守るためにも、強固なパスワードを実装しましょう。
強固なパスワードの例としては英字の大文字小文字、数字、記号を組み合わせた最低でも8文字以上の文字列が考えられます。
対策2:WordPressのおすすめセキュリティプラグインでセキュリティ対策を強化する
WordPressのセキュリティを高める代表的なプラグインを5つ紹介します。
1. SiteGuard WP Plugin
SiteGuard WP Pluginを使えばWordPressのログインURLを変更できます。例えば「https://hogehoge.com/」にWordPressをインストールすると通常「https://hogehoge.com/wp-admin/」になりますが、SiteGuard WP Pluginを適用すると「https://hogehoge.com/任意の文字列/」に変更可能です。
基本的に攻撃者はデフォルトのログインページに攻撃するケースが多いため、ログインURLを変更することで、攻撃者にログインURLを特定させず攻撃されにくいサイトになります。
2. All In One WP Security & Firewall
All In One WP Security & FirewallもSiteGuard WP Pluginと同様に、ログイン画面のURL変更ができますが、それに加えてログインの試行回数、ロックがかかる制限時間などの設定ができます。ログインの試行回数に制限をかけることで無制限にログイン試行ができなくなる上に、ロックがかかるとその間攻撃ができなくなることも大きなメリットです。また、海外からのアクセス(IP)も遮断できるので、日本でWordPressを運営している人であれば、海外の攻撃者から自社のサイトを守れます。
3. Google Authenticator
Google Authenticatorは2段階認証を有効にします。2段階認証が有効になるとWordPressのIDとパスワードが入力されただけではログインできません。事前に登録したメールアドレスor電話番号に認証コードを送信し、その認証コードを入力してはじめてログインできる機能です。そのため、事前に登録したメールアドレスor電話番号に届く認証コードを確認できる人のみ、WordPressにログインできる状況を作れます。また、自分がログイン認証をしていないにもかかわらず認証コードが送られてきたときには、不正なログインが実施されていることに気づけます。
4. Akismet
Akismetはスパムコメントを非表示にするプラグインです。攻撃者がスパムコメントをする理由は、投稿したコメントから詐欺サイトやウイルスに感染するサイトにユーザーを誘導するためで、現在でも世界中で実施されています。スパムコメントの対策をしないで投稿されたコメントを全て表示している状態は、サイト閲覧者を危険に晒している状態です。Akismetを使ってスパムコメントを非表示にすることで、ユーザーが安心して利用できるサイトを運営できます。
5. iThemes Security
iThemes Securityは多くのセキュリティ機能を持ったプラグインです。このプラグインには特定のIPアドレスでアクセスしてくるユーザーをブロックしたり、WordPressファイルの変更を検出したりする機能があります。特定のIPから攻撃が連続して行われている場合、この機能を使ってIPアドレスをブロックすることで攻撃を防げます。また、ファイル変更を関係者がしていないのに変更が検出された場合、サイトが部外者に改ざんされた可能性があるとすぐに気がつくでしょう。直接的に攻撃を防ぐことも重要ですが、すぐに攻撃を検知して被害を最小限にとどめるシステムを構築することも重要なので、このプラグインを活用してください。
対策3:自動更新で常にWordPressを最新版にアップデート
WordPressのアップデートにはバグの改修や脆弱性の対策などが含まれていることが多く、できるだけ早く更新することが望ましいです。パスワードやプラグインでセキュリティを高めることも重要ですが、そもそもシステムに穴があるといちサイト運営者では対応しきれないこともあるため、アップデートを適用して常に最新のWordPressでサイトを運営しましょう。WordPressは基本的に自動更新機能がオンになっていますが、稀に自動更新設定がオフになっている場合もあります。あらためてご自身の設定を確認してみてください。
対策4:ログインを管理する
ログインした人、時間を明確に管理しておくこともサイト運営では重要です。ログインを管理しておけば不正にログインが行われたとき、すぐにパスワードの変更を実施したり攻撃者を排除したりできるからです。そのほかにも、例えばサイトに何か変更があった場合、誰がいつどのような目的で変更したのかが明確になるため、誤った変更が行われたときにも迅速に修正できます。セキュリティ強化だけではなく、安定したサイト運営の意味でもログインの管理を実施しましょう。
対策5:不要なテーマやプラグインは削除する
更新されないまま放置されている不要なテーマやプラグインを残しておくと、そのテーマなどの脆弱性を狙われる可能性があります。「対策3:自動更新で常にWordPressを最新版にアップデート」でも解説したようにWordPress同様、テーマやプラグインも最新版にしないとバグや脆弱性が見つかる可能性があり、攻撃者はそこを狙って攻撃をする恐れがあります。そのため、不要な機能は削除しておくことでサイトの堅牢性を高めましょう。
対策6:脆弱性診断をかかさず実施する
対策の1~5までを実践すればWordPressのセキュリティは向上します。しかし、サイバー攻撃のリスクを完全に排除できるわけではありません。なぜなら、WordPressのシステムやテーマ、プラグインにはシステム作成者すら見落とした脆弱性が残っていることがあるからです。このシステムの脆弱性を狙って攻撃を受ける場合があるため、脆弱性がサイトに存在しないかを常に確認する必要があります。脆弱性を確認するには、SitecheckやWPScanなどのプラグインでも脆弱性診断自体は可能です。しかし、実行画面がCLI(プログラマなどが使用する画面)や診断結果が英語で非常にわかりにくく、適切な対策を取ることが非常に難しいです。そのため、適切な対応を取るのであれば日本企業が提供している脆弱性診断サービスの利用を検討してみてください。
企業が提供している脆弱性診断サービスはさまざまですが、当社で提供している「secuas」であれば無料で脆弱性診断を実施できます。診断結果は見やすく日本語で表示されるので、セキュリティの専門部署でなくても理解しやすいです。
脆弱性診断を実施して、適切な対策を行いWordPressのセキュリティ対策を万全にしたいならぜひ「secuas」をお試しください。
WordPressにはセキュリティリスクがいっぱい
WordPressのセキュリティ対策をせずにサイトを運営すると、さまざまな被害に遭います。具体的な被害内容を紹介します。
セキュリティの脆弱性を利用されてサイトも収益も信頼も失う
脆弱性を利用されて、サイトを乗っ取られるケースは非常に多いです。サイトを乗っ取られるとコンテンツやこれまで集めた顧客リストを回収することも難しく、サイトから収益を得られなくなります。
個人情報をサイト内やサーバー内に保持していた場合、そこから個人情報の流出が発生しニュースや新聞で取り上げられてしまう自体に発展しかねません。
このようにセキュリティ対策を怠ったことが原因で、サイトも収益も顧客からの信頼も失うことがあります。
意図せず自分が攻撃者になり関係者に迷惑をかける
サイトを攻撃された被害者の立場でありながら、そのサイトを攻撃者に利用されることで自分が意図せず攻撃者に加担することも考えられます。
自分が攻撃者に加担したときに想定される影響は以下のようなものです。
- 運営サイトを詐欺サイトに改ざんされ、ユーザーが詐欺被害に遭い訴訟問題になる
- 顧客に大量の迷惑メールを送付し、クライアントからの大量のクレームがくる
- 運営サイトがウイルスを配布し、アクセスした人をウイルス感染させる
上記のように自分のサイトが原因でより多くの被害者を発生させてしまうこともあるので、サイト運営者の責任としてWordPressのセキュリティを徹底しておくことは必須です。
セキュリティ対策を徹底して安全なサイトを運用しよう
WordPressは利用しやすい反面、脆弱性も見つかりやすいサービスです。そのため、脆弱性対策をしていないと簡単に攻撃されてしまうので、今すぐにでも脆弱性対策を実施する必要があります。
自分のサイト、サービス、そしてなによりユーザーを守るためにも、強固なWordPressセキュリティ対策の実施と脆弱性のないサービス運営を心がけましょう。
また、ご紹介したセキュリティ対策を実践すればWordPressのセキュリティは向上しますが、サイバー攻撃のリスクを完全に排除できるわけではありません。
サイバー攻撃のリスクを完全に排除するためにも、日頃からあなたのサイトに脆弱性がないかを常に確認することが重要です。
自分のサイトに脆弱性があるかどうかわからない場合には、当社サービス「secuas」をご利用ください。簡単な情報を入力するだけであなたのサイトにどのくらい脆弱性が存在するのか無料で診断できます。
自分が被害者になってサイトや収益を失わないように、そして、攻撃者になってユーザーやクライアントに迷惑をかけないように、自分のサイトのセキュリティを強化しましょう。