ウェブサイトを運営する際のサイトのセキュリティ対策は重要です。
仕事柄、様々なホームページの制作や運営管理、また相談を受けることが多いのですが、ホームページのセキュリティ対策については意外と無頓着という方も少なくありません。セキュリティの話をすると、「うちみたいに小さな会社のホームページなんて攻撃されないでしょう」と楽観的な答えが返ってくることも・・・。
ウェブサイトが攻撃者に乗っ取られてしまえば、サイトの改ざんやウィルス、マルウェアへの感染、フィッシングサイトの踏み台にされたり、個人情報の流出など深刻な被害に遭う恐れがあります。
近年、WordPressの脆弱性を狙ったサイバー攻撃が増加しています。悪意のある第三者がサイトに不正アクセスし、コンテンツの書き換えや不正広告の配信、マルウェアの仕込みなどの被害例が多数報告されています。実際に相談を受けた対応させていただいた方の大半が、先述のように「うちみたいに小さい会社の・・・」と口を揃えたようにいいます。
もちろん、そういったケースでは、意図せず攻撃されやすい環境・乗っ取られやすい環境になってしまっていたということが前提としてあるのですが、やはり巷で言われているように、WordPressでホームページやブログを運営する際のセキュリティ対策はサイト運営者であれば重要且つ必須と言えます。
本記事では、WordPressのセキュリティ対策の重要性から、具体的かつすぐに実行できる対策方法までを紹介します。
Contents
WordPressセキュリティ対策の重要性
冒頭でも述べた通りですが、WordPressサイトへの攻撃は年々増加しており、中小企業向けのサイトでも例外ではありません。会社の規模が小さいからといって狙われないと考えることは危険です。
攻撃者の目的は以下のようなものです。
- サイトの改ざん
- フィッシングサイトの踏み台
- ECサイト・会員サイトの個人情報漏えい
- ウイルス感染による金銭被害
攻撃された場合の影響
- サイトが閲覧できなくなる
- 信頼を失い利用者が離れる
- 情報漏えいによる損害賠償のリスク
- ブランドイメージの失墜
このように多大な損害が発生する可能性があるため、WordPressセキュリティ対策は欠かせません。中小企業であっても適切な対策が求められます。
攻撃を受けた事例
WordPressサイトに対するサイバー攻撃は後を絶ちません。攻撃を受けた場合、どのような被害が想定されるのでしょうか。具体的な事例を紹介しながら解説します。
サイトの改ざん
攻撃者によりWordPressサイトが改ざんされると、トップページやコンテンツ内容が書き換えられるなどの被害が発生します。悪質な広告やウイルス感染のリンク先が仕込まれたり、フィッシングサイトの踏み台とされたりする可能性もあります。
場所 | 事例 |
トップページ | 攻撃者の広告やウイルスリンクが表示される |
投稿記事 | 記事内容が書き換えられる |
サイドバー | 攻撃者の広告が表示される |
更新が止まったり放置されたりしているWordPressサイトでは、攻撃者に乗っ取られ改ざんされやすくなります。
フィッシングサイトの踏み台にされる
WordPressサイトが攻撃者に乗っ取られた場合、最悪の事態としてフィッシングサイトの踏み台にされる可能性があります。フィッシングとは、偽の銀行やクレジットカード会社を装ったウェブサイトに誘導し、個人情報を盗み取る手口です。
被害例 | 詳細 |
クレジットカード情報の盗難 | フィッシングサイトでカード情報を入力させられる |
金銭の被害 | 預金口座からの不正送金を指示される |
ハッカーは乗っ取ったWordPressサイトにフィッシングサイトへのリンクを埋め込み、検索エンジン経由で不特定多数のユーザーを誘導します。安心できるWordPressサイトにリンクがあれば、ユーザーは気付かずにフィッシングサイトに誘導されてしまいます。
フィッシングサイトの踏み台にされた場合、自サイトの信用が大きく失墜するだけでなく、法的な責任を問われる可能性もあります。
ECサイトや会員サイトの場合、個人情報漏えい
ECサイトや会員制サイトの場合、不正アクセスによる個人情報の漏えいは重大な事態です。攻撃者に漏えいした情報が悪用されると、次のような被害が考えられます。
被害例 | 説明 |
金銭的被害 | クレジットカード情報の不正利用による金銭被害 |
なりすまし被害 | 個人情報を使ったなりすまし行為による二次被害 |
プライバシー侵害 | 住所や電話番号などの個人情報が第三者に渡ることによる不安 |
ユーザーの大切な個人情報を守るため、WordPressの脆弱性対策には万全を期す必要があります。
ウイルス
WordPress サイトにウイルスが感染すると、様々な被害に遭う可能性があります。主な被害としては以下のようなものが挙げられます。
被害内容 | 説明 |
サイトの改ざん | ウイルスによりサイトのコンテンツが改ざんされ、悪意のあるコンテンツが表示される |
マルウェア感染 | ウイルスに感染することでマルウェアにも感染し、PCが乗っ取られる |
個人情報漏えい | ウイルスによりサイトのデータベースから個人情報が抜き取られる |
このようにウイルス感染はサイトの健全性を損ない、閲覧者や運営者の双方に被害を及ぼします。
すぐできる、基本のWordPressセキュリティ対策
ウェブサイトを攻撃者から守るためには、やはりセキュリティ対策をしっかりと行っていくことが重要で、そのための第一歩は、できるだけ攻撃されにくい状態にすることです。以下では、その第一歩として、基本的な設定を紹介しますが、逆に言えば、これらができていないと、セキュリティープラグインなどの設定をしていても、簡単に管理画面にログインされてしまうリスクを残したままになると言ってもいいでしょう。
ユーザー名・パスワードを適切に設定する
WordPressのセキュリティ対策において、最も基本となることが管理者アカウントのユーザー名とパスワードの適切な設定です。パスワードが適当すぎる場合は多く、自由な場合は半数以上が簡単なものを使っているのではないでしょうか。最低でもパスワードを英数字と記号を組み合わせた複雑なものに変更してください。
また、WordPressが使用しているMySQLデータベースのユーザー名とパスワードも、同様の対策が必要です。MySQLのルートユーザー名やデフォルトのパスワードはそのままでは危険です。インストール時に適切にカスタマイズしましょう。
常に最新バージョンにアップデートする
WordPress本体、プラグイン、テーマの最新バージョンへのアップデートは非常に重要です。最新版にアップデートすることで、以前のバージョンにあった脆弱性が解消されるためです。
古いバージョンを使い続けると、その脆弱性を狙った攻撃に遭う危険性が高くなります。実際に弊社で相談を受けた事例では、使わなくなって長期間放置していたWordPressサイトから攻撃され、さらに同サーバー内の運営中のWordPressサイトにまで被害が及んでいたというケースがありました。
稀に長期間古いバージョンのWordPressのまま運営されているウェブサイトを見ることがありますが、WordPressのバージョンが古かったり、インストールされているプラグインも既に開発者側の更新が止まっているもの、重大な脆弱性が報告されていたものがそのままになっていることが多かったです。
不要なプラグイン・テーマを削除する
不要なプラグインやテーマをそのままにしておくと、ウェブサイトの速度が遅くなるという話は聞いたことがあるかもしれませんが、それだけでなく、セキュリティ上のリスクが高まる可能性があります。WordPressでのウェブサイト運営においては、不要なプラグインやテーマは削除しておくことをおすすめします。
こういったリスクを排除するためには、
- 不要なプラグイン・テーマの確認
- 不要なプラグイン・テーマの削除
をして、ウェブサイトをできるだけ健全な状態に保つようにすることが大切です。
なお、削除作業時は、ウェブサイトに影響がないか必ず確認してください。プラグインやテーマを削除すると予期せぬ動作を引き起こす可能性があるためです。
WAFの設定
WAF(Web Application Firewall)は、WordPressサイトへの不正アクセスを検知し、攻撃を防御するセキュリティ対策です。WAFを設定することで、以下のようなメリットがあります。
- 既知の攻撃パターンを検知してブロックする
- SQLインジェクション、XSSなどの攻撃を防ぐ
- 不正な自動化ツールの検知が可能
WordPressにWAFを設定する方法は、主に2つあります。
- WordPressプラグインを利用
- WordPressにWAFプラグインをインストールする
- 代表的なプラグインに、Wordfence、Sucuri等がある
- レンタルサーバーのWAFサービスを利用
- 有料サービスが多いが、高度なWAF機能を使える
- 例えば、ConoHaWINGやXserver等が提供
WAFは万全ではないものの、強力な防御システムです。適切に設定することで、高いセキュリティ対策が期待できます。
高度なWordPressセキュリティ対策
WordPressサイトに対する攻撃は年々高度化しており、基本的な対策だけでは不十分になってきました。より高度なセキュリティ対策を講じる必要があります。
パーミッション(アクセス権限)の設定
WordPressサイトのセキュリティ強化のため、ファイルやディレクトリのパーミッション(アクセス権限)を適切に設定することが重要です。パーミッションが緩すぎると、不正アクセスの危険性が高まります。
設定は、WordPressの管理画面から直接変更することはできません。FTPクライアントやSSH経由で設定する必要があります。
パーミッションの変更は慎重に行う必要があるため、確実な知識がない場合は専門家に相談することをおすすめします。
セキュリティプラグインの活用
WordPressのセキュリティ強化にはプラグインの活用が有効です。主なセキュリティプラグインを紹介します。
All In One WP Security & Firewall
All In One WP Security & Firewallは、総合的なセキュリティ対策ができるプラグインです。主な機能は以下の通りです。
機能 | 説明 |
ユーザー調査 | 不審なユーザーのログインを監視・制限できます。 |
ファイル変更監視 | WordPressコアファイルの改ざんを検知します。 |
IPブラックリスト | 攻撃元のIPアドレスをブロックできます。 |
.htaccessセキュリティ | .htaccessファイルを強化してサイトを保護します。 |
設定画面から簡単に各機能をON/OFFできるため、ウェブサイトの状況に合わせてカスタマイズが可能です。定期的にログ確認やメールアラート設定をするのがおすすめです。
SiteGuard WP Plugin
SiteGuard WP Pluginは、WordPressサイトを総合的に保護するセキュリティプラグインです。主な機能は以下の通りです。
- ログインセキュリティ
- 二要素認証の実装
- ログイン試行回数の制限
- マルウェアスキャン
- サイト内のファイルをリアルタイムでスキャン
- マルウェアの自動削除
- ファイル変更モニタリング
- WordPressコアファイルの変更を監視
- 不正な変更をリアルタイムで検知
- IP制限
- 特定のIPアドレスからのアクセスをブロック
SiteGuardはWAFや高度なファイアウォールを内包しており、包括的なセキュリティ対策が可能です。また、高度な機能を搭載しつつ設定が簡単で、セキュリティ初心者でも扱いやすいことが特徴です。
Google Authenticator
Google Authenticatorは、Googleが提供する二段階認証アプリです。WordPressサイトにログインする際、通常のユーザー名とパスワードに加えて、Google Authenticatorで生成された6桁の認証コードを要求されます。
パスワードだけでなく変化する認証コードが必要になるため、セキュリティが大幅に向上します。
Google Authenticatorは以下の手順で設定できます。
- プラグイン「Google Authenticator」をインストール
- 設定画面で「認証設定ウィザード」を起動
- 表示されたQRコードをスマホアプリで読み取る
- 完了
WordPressのセキュリティ診断ツール
ここからはWordPressのセキュリティ診断ツールを紹介します。まずは診断ツールを利用して、現状把握をしましょう。
WPScan
WPScanは、WordPressのセキュリティ脆弱性を見つけるためのオープンソースツールです。Rubyで書かれており、コマンドラインから実行できます。以下の機能があります。
- WordPressバージョンの検出
- プラグイン・テーマの列挙と脆弱性のチェック
- ユーザー列挙
- 既知の脆弱性の検出
使用方法は簡単で、ターミナルでコマンドを実行するだけです。
WPdoctor
WordPressサイトのセキュリティを効率的に診断できるツールが「WPdoctor」です。このツールは、WordPressサイトの脆弱性を網羅的にスキャンし、セキュリティ上の問題箇所を特定してくれます。
WPdoctorの主な機能は以下の通りです。
機能 | 説明 |
脆弱性スキャン | WordPressのコア、プラグイン、テーマの脆弱性を検知 |
コンテンツスキャン | マルウェアやブラックリストIPからのアクセスを検知 |
レポート作成 | 診断結果をPDFレポートで出力 |
WPdoctorの利用手順は、以下の通りです。
- WPdoctor公式サイトからツールをダウンロード
- WordPressサイトのURL等を入力し診断を実行
- 診断結果を確認し、対策を実施
このツールを活用することで、WordPressサイトの脆弱性を見逃すことなく検知し、適切な対策を講じることが可能です。セキュリティ強化の一助としてご活用ください。
専門家によるWordPressセキュリティ対策
WordPressサイトのセキュリティ対策は自身で行うことももちろん重要ですが、専門家に依頼することで高いレベルの対策が可能となります。
専門家による主なWordPressセキュリティ対策は以下の通りです。
- サーバーレベルでの高度な設定
- .htaccessファイルの最適化
- セキュリティヘッダーの設定
- その他サーバー側の高度な設定
- WordPressコア・プラグイン・テーマのレビュー
- 脆弱性チェック
- 最新版との差分確認
- 不要なコードの削除
- 定期的なセキュリティ監視・対応
- 不正アクセス監視
- インシデント発生時の対応
- 定期的なセキュリティパッチ適用
費用はかかってしまいますが、対応レベルが高く、時間も手間もかかりません。しっかりとセキュリティ対策をしたいけど、時間やノウハウがない人は、専門家への依頼がおすすめです。
WordPressのセキュリティ対策は入念に
WordPressサイトのセキュリティ対策は非常に重要です。サイトが乗っ取られたり、改ざんされたりすると、個人情報の流出や金銭的な被害に加えて、企業の信用が失墺してしまう可能性があります。
サイトの規模に関わらず、WordPressセキュリティ対策は怠ってはいけません。万が一の被害を未然に防ぐため、セキュリティ強化は必須です。本記事を参考に、今すぐセキュリティ対策をはじめましょう。
さらに、PLUS SPIRALのウェブサポートサービス(WSS)では、WordPressサイトのセキュリティ状況を定期的に確認し、必要に応じて対策を講じることで、安心してサイト運営ができるようサポートしております。コンテンツの更新だけでなく、セキュリティ面でも万全のバックアップを行います。セキュリティ関連を強化したい人のご依頼もお待ちしております。