WordPressのセキュリティを強化するには?対策やおすすめのプラグインまで|サイバーセキュリティ.com

  1. ホーム /
  2. コラム /
  3. WordPressのセキュリティを強化するには?対策やおすすめのプラグインまで
             

WordPressのセキュリティを強化するには?対策やおすすめのプラグインまで



WordPressは世界中で人気のCMSですが、その一方でセキュリティ面の脆弱性が指摘されています。
WordPressサイトは、普及率の高さやプラグインの脆弱性、ユーザーの設定ミスなどから攻撃者の格好のターゲットとなっており、クロスサイトスクリプティングやSQLインジェクション、ブルートフォース攻撃などのリスクにさらされています。
セキュリティ対策を怠ると、サイトの改ざんや情報漏洩、マルウェア感染など深刻な被害につながる恐れがあります。
本記事では、WordPressセキュリティの重要性を解説した上で、基本的な対策からおすすめのプラグイン、SSL化やバックアップなどの追加策まで、セキュリティ強化のための具体的な方法を詳しく紹介します。

WordPressセキュリティの重要性

WordPressは世界中で広く利用されている人気のCMSですが、その一方でセキュリティ面での脆弱性が指摘されています。WordPressを使用してWebサイトを運営する上で、セキュリティ対策は非常に重要な課題となっています。ここでは、WordPressセキュリティの重要性について詳しく解説していきます。

WordPressサイトが狙われる理由

WordPressが攻撃者から狙われる主な理由は以下の通りです。

    1. WordPressの普及率の高さ
      WordPressは世界中で非常に多くのWebサイトに利用されているため、攻撃者にとって格好のターゲットとなっています。
      WordPressの普及率の高さゆえに、脆弱性を突いた攻撃が広範囲に及ぶ可能性があるのです。
    2. プラグインやテーマの脆弱性
      WordPressには多数のプラグインやテーマが存在しますが、それらの中にはセキュリティ上の欠陥を抱えているものもあります。攻撃者はそうした脆弱性を突いてサイトに侵入しようとします。
    3. ユーザーの設定ミス
      WordPressの管理画面のログインパスワードが単純だったり、ユーザー名が推測しやすいものだったりすると、不正アクセスを許してしまう恐れがあります。

WordPressの脆弱性とセキュリティリスク

WordPressには以下のようなセキュリティ上の脆弱性やリスクが存在します。

脆弱性・リスク 内容
クロスサイトスクリプティング(XSS) 管理画面経由で任意のスクリプトを埋め込まれ、cookieの盗聴などを許してしまう。
SQLインジェクション データベースへの不正なSQLクエリの挿入により、情報漏洩や改ざんが行われる。
ブルートフォース攻撃 侵入に必要なIDやパスワードを総当たりで探る攻撃により不正ログインを許す。
DoS攻撃 大量のアクセスによりサーバーに過剰な負荷をかけ、サイトを閲覧不能にする。

こうした脆弱性を放置しておくと、Webサイトが改ざんされたり、機密情報が盗まれたりするなど、深刻な被害を受ける可能性があります。

WordPressの脆弱性とは?攻撃事例や対策方法
2017.5.14
WordPressは、世界中で広く使われている人気のCMSですが、その一方で脆弱性を抱えているケースも少なくありません。 WordPressの脆弱性を放置すると、サイトが改ざんされたり、情報漏洩といった深刻な被害につながる恐れがあります。

セキュリティ対策を怠った場合の影響

WordPressのセキュリティ対策を怠ると、次のような悪影響が生じる恐れがあります。

  • サイトのコンテンツが改ざんされ、企業イメージを損なう
  • 顧客情報などの機密データが流出し、損害賠償請求を受ける
  • マルウェアに感染し、サイト訪問者にも被害が及ぶ
  • スパムの踏み台にされ、サーバーに負荷がかかる
  • 検索エンジンからペナルティを受け、検索順位が下落する

セキュリティ侵害による損失は計り知れません。
WordPressを利用する以上、セキュリティ対策は運営者の重大な責務
だと言えるでしょう。

WordPressセキュリティ強化の基本対策

WordPressのセキュリティを高めるためには、まず基本的な対策を確実に行うことが重要です。ここでは、WordPressサイトの管理者が最低限実施すべきセキュリティ対策を解説します。

最新バージョンへの更新

WordPressの脆弱性を突いた攻撃を防ぐには、常に最新のバージョンにアップデートしておくことが欠かせません。
WordPressコアだけでなく、プラグインやテーマも定期的に更新しましょう。古いバージョンを使い続けていると、既知の脆弱性を狙われてしまう恐れがあります。

アップデートの適用は、管理画面の「更新」メニューから行えます。自動更新を有効にしておけば、手間をかけずに最新の状態を保てるでしょう。ただし、メジャーアップデートについては事前にバックアップを取っておくなど、万が一に備えた対策も忘れずに。

強力なパスワードの設定

推測されやすい単純なパスワードを使っていると、ブルートフォース攻撃による不正ログインの危険性が高まります。WordPressのログインパスワードは、十分な長さと複雑さを持ったものを設定しましょう。

パスワードは以下のような条件を満たすのが理想的です。

  • 8文字以上の長さがある
  • 英大文字、英小文字、数字、記号を含んでいる
  • 一般的な単語や連続した文字・数字列を避ける

また、管理者アカウントのユーザー名についても、「admin」など推測されやすいものは使わないようにします。

必要のないプラグインやテーマの削除

プラグインやテーマの中には、セキュリティホールとなり得るものも存在します。
使っていないプラグインやテーマはサイトから削除するのが賢明と言えるでしょう。

不要なプラグインやテーマを整理することで、それらに起因する脆弱性を減らせます。また、無駄なリソースを減らすことで、サーバーへの負荷軽減にもつながります。

プラグインやテーマの削除は、管理画面の「プラグイン」「外観」メニューから行います。アクティブでないプラグインやテーマは「削除」ボタンをクリックして完全に取り除きましょう。

おすすめのセキュリティ強化プラグイン

WordPressのセキュリティを高めるためには、定番の対策に加えて、セキュリティ専用のプラグインを導入するのも効果的です。ここでは、WordPressサイトの防御力を大幅に高められる優れたセキュリティプラグインを3つ紹介します。

Wordfence Security

Wordfence Securityは、WordPressサイトの包括的な保護を実現する人気のプラグインです。主な機能は以下の通りです。

  • ファイアウォールによる不正アクセスの遮断
  • 既知の脆弱性を突く攻撃の自動ブロック
  • ログインページの2段階認証
  • ブルートフォース攻撃対策
  • マルウェアスキャン

Wordfenceは高度な防御機能と使いやすさを兼ね備えており、初心者から上級者まで幅広く活用されています。
無料版でも十分な保護が得られますが、より高度なセキュリティを求めるならば有料版への移行もおすすめです。

iThemes Security

iThemes Securityは30種類以上のセキュリティ対策ツールを搭載した強力なプラグインです。主要な機能は次の通りです。

  • brute force攻撃防止
  • 不正ログイン試行の監視とロック
  • ファイル変更の検知
  • データベースのバックアップ
  • SSL/HTTPSの強制

iThemes Securityは初期設定が簡単で、セキュリティ知識が乏しいユーザーでも手軽に使い始められます。
1つのプラグインでWordPressを多角的に守れるのが魅力です。

Sucuri Security

Sucuri Securityは、Webサイトのセキュリティに特化したSucuri社の提供するプラグインです。特徴的な機能は以下の通りです。

  • セキュリティ活動の監査ログ
  • ファイルの整合性チェック
  • ブラックリストの監視
  • セキュリティ通知の設定
  • Sucuriファイアウォールとの連携

Sucuri SecurityはWebサイト全体を監視してリスクを検知する高性能なプラグインです。
有料のクラウドファイアウォールサービスと組み合わせることで、さらに強固な防御態勢を整えられます。
セキュリティ専門ベンダーの技術を直接導入できる点が強みと言えるでしょう。

これらのプラグインを使えば、たとえ初心者でも確実にセキュリティレベルを底上げできます。脅威に対する多層防御を実現するためにも、基本対策と並行して利用を検討すべきでしょう。ただし、プラグインの設定を誤ると、かえって脆弱性が生まれる恐れもあります。導入の際は十分に注意を払い、正しい使い方を心がけることが肝要です。

その他のセキュリティ対策

WordPressのセキュリティを高めるには、基本的な対策に加えて、より高度な設定も行っていく必要があります。ここでは、WordPressサイトの防御力をさらに強化するための追加策を3つ紹介します。

SSL/HTTPSの導入

SSL/HTTPSは、サイトとユーザー間の通信を暗号化し、データの盗聴や改ざんを防ぐセキュリティ技術です。
SSL/HTTPSを導入することで、ログイン情報やクレジットカード番号など、機密性の高い情報を安全にやり取りできるようになります。

SSL/HTTPSへの切り替えは、以下のような手順で行います。

  1. SSLサーバー証明書を取得する
  2. サーバー上でSSL設定を行う
  3. WordPressの一般設定でURLをhttpsに変更する
  4. .htaccessファイルにリダイレクト設定を記述する

最近ではSSL/HTTPS化を推奨する動きが高まっており、検索エンジンもHTTPS対応サイトを優遇するようになっています。セキュリティだけでなくSEO面でもメリットが大きいため、ぜひ導入を検討したいところです。

httpsとは?httpとの違いやよくある勘違い・セキュリティの基礎まで
2018.7.16
インターネット上でWebサイトにアクセスする際に使用される通信プロトコルには、HTTPとHTTPSがあります。 HTTPは暗号化されていない平文でデータを送受信するのに対し、HTTPSはSSL/TLSによって暗号化されたデータを送受信する

定期的なバックアップの実施

万が一サイトがクラッキングされてデータが消失しても、定期的にバックアップを取っておけば、被害を最小限に抑えられます。
理想的にはサイトファイルとデータベースの両方について、自動バックアップを設定しておくのがよいでしょう。

バックアップの頻度は、サイトの更新頻度に応じて適切に設定します。毎日更新するようなサイトなら1日1回、あまり更新しないサイトなら1週間に1回程度が目安となります。

バックアップデータは、Webサーバーとは別の場所(ローカルPCやクラウドストレージなど)に保管するのが鉄則です。サーバーごとデータが消されるリスクを避けるためにも、物理的に離れた場所にバックアップを置くことが重要です。

ファイルやフォルダのアクセス制限

Webサーバー上の設定ファイルやデータベース関連のファイルには、外部からアクセスされないよう制限をかけておく必要があります。.htaccessを使ってディレクトリ単位でアクセス制御をかけたり、ファイルのパーミッション(読み書き権限)を適切に設定したりすることで、

不正アクセスのリスクを減らせます。

重要なファイルを保護するための具体的な方法としては、以下のようなものが挙げられます。

  • wp-config.phpの406などのエラー対策
  • xmlrpc.phpのアクセス制限
  • wp-content/uploads/ディレクトリの保護
  • wp-content/plugins/ディレクトリの保護
  • wp-includes/ディレクトリの保護

これらの対策を施すことで、WordPressの設定情報やプラグインのソースコードを安全に保てます。ただし、アクセス制限の設定を誤ると、サイトが正常に機能しなくなる恐れもあるので、慎重に行う必要があります。

以上、WordPressのセキュリティを強化するための追加策を紹介しました。これらの対策を基本的なセキュリティ対策と組み合わせることで、高い防御力を実現できるはずです。サイトの規模や用途に合わせて必要な対策を選択し、継続的に運用していくことが肝要だと言えるでしょう。

まとめ

WordPressのセキュリティを強化するには、最新バージョンへの更新、強力なパスワード設定、不要なプラグイン削除などの基本対策が重要です。
加えて、Wordfence SecurityやiThemes Security、Sucuri Securityといった定番のセキュリティプラグインを導入することで、不正アクセスやマルウェア感染のリスクを大幅に減らせます。
さらに、SSL/HTTPS化、定期バックアップ、ファイルやフォルダのアクセス制限など、より高度な設定も行うことで、WordPressサイトの防御力を格段に高められるでしょう。
セキュリティ対策は面倒に感じるかもしれませんが、情報漏洩や改ざんを防ぐためにも必須の取り組みです。手間を惜しまず、WordPressの安全性向上に努めましょう。

関連コラム(あわせて、以下の記事もよく読まれています)

製品・サービス(当該コラムの内容に関連する製品・サービスはこちら)


SNSでもご購読できます。