WordPressのセキュリティ対策の方法と強化プラグインまとめ

WordPressは、手軽にウェブサイトやブログを構築できることから、世界トップシェアを誇るCMSです。

カスタマイズやSEOがしやすく、利用者が多いので困ったときに情報を得やすいなど、Wordpressを利用するメリットはたくさんありますが、一方でセキュリティー面に関して注意が必要な部分もあります。

この記事では、なぜWordPressはセキュリティが弱いといわれる理由や、すぐに実践できるセキュリティ対策、プラグインなどについて解説します。

【脆弱性】Wordpressのセキュリティが弱いといわれる理由

WordPressは、セキュリティが脆弱だといわれることも多いのですが、これは真実なのでしょうか。セキュリティが弱いと言われる理由について見ていきましょう。

WordPressは世界中で使用されるメジャーCMSなので狙われやすい

WordPressは、世界シェアトップのCMSです。世界的にメジャーであり、ユーザー数も多いことから、攻撃のターゲットになりやすくなってしまっています。

また、WordPressでつくられているサイトは、一目でそれがWordPressで運用されていることが分かるつくりになっていることも、それに拍車をかける原因となっています。

WordPressの脆弱性が高いというわけではなく、シェアが多いことから狙われやすく、結果的に被害数が多くなってしまうのです。

オープンソースなのでセキュリティホールが発見されやすい

WordPressは、無料で利用ができるオープンソースです。オープンソースは多くの人が使いやすく拡張しやすいというメリットがあります。しかし、プログラム構造やシステムの仕様が公開されているため、セキュリティホールが発見しやすいというデメリットもあります。

管理画面のURLがデフォルトでは固定化されている

WordPressでは、管理画面のURLがデフォルトでは固定化されているので、誰でも簡単にログインページへアクセスできてしまいます。

もちろんユーザー名とパスワードが分からなければログインはできませんが、攻撃者はログイン画面に入れれば、パスワードの総当たり攻撃（ブルートフォースアタック）が可能になります。パスワードが短かったり、数字のみの単純な文字列だったりすると、これで簡単にログインされてしまう恐れがあります。

ブログやホームページを初めて運営する人は、設定を変えていないことが多く、パスワードも覚えやすい簡単なものであることから、被害に遭いやすくなります。

WordPressでセキュリティ対策をしない具体的リスク

WordPressの脆弱性を狙われると、具体的にどのような被害に遭う可能性があるのかを、詳しくみていきたいと思います。

• サイトの乗っ取り
• ページの改ざん
• 個人情報の流出
• 不正サイトへの誘導

前述しましたが、Wordpressは何もセキュリティ対策をしていない状態だと、管理画面のURLが固定であるため、ID・パスワードを総当たりで攻撃される「ブルートフォースアタック」が簡単にできてしまいます。

それによってサイトのパスワードが変更され、本来のサイト管理者がログインできなくされてしまうのがサイトの乗っ取りです。

乗っ取られてしまうと、サイトを自由に操作、改ざんができてしまいます。また、会員制のサイトであれば、会員の個人情報が流出してしまう危険性もあります。

他にも、スパムコメントの量産や不正なサイトへの誘導などに使われることもあります。こうしたリスクを避けるためにも、Wordpressのセキュリティ対策を行う必要があるのです。

今すぐ強化！最低限行うべきWordpressのセキュリティ対策

WordPressは特別セキュリティが脆弱ということはありませんが、前述のとおり、ユーザー数が多いことから、狙われやすいのも事実です。

ここでは、WordPressを利用する際には最低限行っておきたいセキュリティ対策を7つご紹介します。

• WordPressのバージョンは最新の状態に保つ
• 管理画面のユーザー名・パスワードを複雑化する
• SSL化する
• 設定ファイルには所有者のみがアクセスできるようにする
• 国外IPアドレスからのアクセスを制限する
• プラグインの導入は必要最小限に
• WAFを導入する

WordPressのバージョンは最新の状態に保つ

WordPressは、脆弱性やセキュリティホールなどが発見される度に随時更新されるため、常に最新のバージョンを保つことが、セキュリティ対策の基本です。

セキュリティやバグの修正であるマイナーアップデートに関しては、リリース後しばらくすると自動でアップデートされます。しかし、自動でアップデートされるまで、やや時間がかかる場合もあるため、通知に気付いたタイミングで、手動対応した方が安全です。

WordPressをバージョンを古いままにしておくのは、セキュリティ面でリスクとなるので、常に最新の状態に保つことを心掛けましょう。

管理画面のユーザー名・パスワードを複雑化する

管理画面のユーザー名が簡単なものになっている、簡単なパスワードを使用している人も少なくありません。

ユーザー名がadminだったり、パスワードに生年月日などを設定していると、悪意のある第三者に簡単にログインされてしまいます。

また、ユーザー名とサイト上の表示名（ニックネーム）を同じにしている人も多いですが、これはログイン情報を半分公開しているようなものです。

WordPressのユーザー名とパスワードは、意味のある単語ではなく、意味のない文字列の羅列にし、英数、記号を組み合わせた複雑なものを設定すようにしましょう。

SSL化する

WordPressに限ったことではありませんが、ウェブサイトを運営するうえでSSL化対応は必須です。
SSLとは「Secure Sockets Layer」のことで、インターネット上の通信を暗号化する仕組みのことです。サイトを常時SSL化することで、端末とサーバー間の盗聴や改ざんを防ぐことができ、ログイン情報などを守ることが可能になります。

また、SSL化されていないサイトは、ブラウザで警告表示されるため、ユーザーに不安を与えてしまいます。閲覧者の信頼を高めるうえでもSSL化を行うことは必要です。

SSL化はWordPress側とレンタルサーバー側の両方で行います。詳細はこちらの記事の「ステップ4：ドメインをSSL化させる」を参考にしてください。

設定ファイルには所有者のみがアクセスできるようにする

WordPressには、データベースのIDやパスワード、WordPressの設定情報などが記載されている「wp-config.php」というファイルがあります。

このファイルに外部からアクセスされてしまうと、サイトが乗っ取られるなどのリスクとなるので、第三者がアクセスできないように設定しておきましょう。

具体的な方法は、FTPソフトでパーミッション（ファイルの属性）を、デフォルトの「644」から「600」に変更することで、所有者のみ読み取りと書き込みができるようにします。

こうすることで、ファイルの所有者だけがファイルを扱えるようになるため、不正にアクセスされるリスクを減らすことができます。

国外IPアドレスからのアクセスを制限する

WordPressへの不正アクセスやアタックは、海外から行われることが多いので、国外IPアドレスからのアクセスを制限しておくといいでしょう。

レンタルサーバーによっては、海外からのアクセスを拒否・制限できるサービスを提供しているケースもあります。また、管理画面への海外からのアクセスをブロックできるプラグインなどもあるため、それらを利用すると便利です。

具体的な方法は後述します。

プラグインの導入は必要最小限に

WordPressにはさまざまなプラグインがあり、それらを使うことで自由にカスタマイズできたり拡張できたりすることが魅力です。しかし、必要ないプラグインを大量に導入してしまうと、不正アクセスなどを受けやすくなるリスクがあるため注意しましょう。

プラグインもWordPressの本体と同様に脆弱性が発見されるケースがあります。そのままの状態にしておくと不正アクセスなどを受けやすくなってしまうため、定期的にアップデートを行わなければいけません。

導入したけれども使っていないからとアップデートしない人も少なくありませんが、使っていなくても攻撃のターゲットになります。不要なプラグインは導入しない、使わなくなったものは削除することを心がけましょう。

WAFを導入する

WAF（ワフ）とは、「Web Application Firewall」の略称です。「Webアプリケーションの脆弱性を悪用した攻撃」からの保護を目的としたセキュリティ対策のひとつといえます。不正な通信などを検出し、それを遮断してログを記録しつつ、webサイトの運営者に警告メッセージを送信します。

詳細はこちらを参考にしてください。

WordPressのセキュリティ強化のためのプラグイン

WordPressにはセキュリティ強化のためのプラグインが数多くあります。どれを導入するかで迷って人のために、人気のものを4つご紹介します。

SiteGuard WP Plugin

「SiteGuard WP Plugin」は、WordPressのログイン画面や管理画面の保護を目的にした無料プラグインです。SiteGuard WP Pluginの主な機能は以下の通りです。

• 管理画面へのアクセス制限
• 画像認証
• ログインURLの変更
• ログインロック
• ログインアラート
• 不正アクセス履歴の閲覧

管理画面へのアクセス制限を使うことで、ログインしていないユーザーは管理画面へアクセスできなくなります。管理画面への侵入を防げるため、改ざんや情報の流出のリスクが軽減します。

画像認証とは、管理画面へのログインやコメントなどを残す際に、画像に表示された文字を入力しなければいけない機能です。不正アクセスは自動プログラムであるボットで行われることが多いのですが、ボットは画像の文字を認識できません。

複数回ログインに失敗したユーザーを一定時間ロックする、管理画面へのログインがあった際の通知機能などもあります。また、アクセス履歴も確認できるため、万が一不正アクセスが成功していた場合でもすぐに把握でき、パスワードの変更といった対策がとりやすいのです。

All In One WP Security & Firewall

「All In One WP Security & Firewall」はWordPressのセキュリティ対策プラグインの中でもメジャーなもので、さまざまな攻撃を防げます。機能としては、次の通りです。

• WordPressのバージョンを隠す
• ログインロック
• データベースの接頭辞(wp_)変更
• ファイルへのアクセス・編集禁止
• ファイアウォール設定
• ブルートフォースアタックの阻止
• コメントスパム対策

さまざまな対策をまとめて行えることが特徴です。バージョンを隠すことで脆弱性のあるバージョンかどうかが判別できなくなる、接頭辞を一括で変更しておくことでデータベースのセキュリティが高まるといった効果があります。

ログインロックやブルートフォースアタック機能では総当たり攻撃を防げるため、不正アクセスなどのリスクが軽減します。

IP Location Block（IP Geo Block）

「IP Geo Block」は、海外からの攻撃やスパムを防ぐためのプラグインです。管理画面、公開画面双方への国外IPアドレスからの不正アクセスをブロックできます。

特に、総当たり攻撃であるブルートフォースアタックは海外からのアクセスによるものが多いため、IP Geo Blockを導入することで効率的に防げるでしょう。接続の拒否は国コードによって指定できるため、不正アクセスが多い国からの攻撃をピンポイントで指定できるのも特徴です。

ただ、 IP Geo Blockは4年以上更新されておらず、安全性に懸念が残ります。

なので、これから海外からのアクセスを拒否したり、ブロックしたりしたい方は、後継プラグインの「 IP Location Block 」を利用しましょう。

具体的なIP制限の方法は以下のとおりです。

まずはWordPressの管理画面から、 IP Location Block の設定画面を開きます。

次に、上から7番目の「国コードの前の追加 IP アドレスのブラックリスト」を確認してください。

注意点として、海外IPアドレスのブロックや制限はSEOに悪影響を与える可能性があります。その理由は以下のとおりです。

• Googlebotのクロールもブロックしてしまうから
• Googlebotだけを許可し、海外ユーザーを拒否するとクローキングに該当するから

Googlebotは米国IPなので、IP制限をするとクローリングもブロックしてしまうことになります。では、Googlebotだけアクセス許可すればいいのかというとそうでもありません。クローキングに該当するからです。

クローキングとは、ユーザーと検索エンジンに異なるページを表示する行為を指します。詳細はこちらを参考にしてください。

要するに、米国のユーザーにはアクセス制限のページを表示する一方、Goolebotには通常のページを表示してしまうと、悪意はなくてもクローキングと判断されるリスクがあるということです。

SEOで検索順位を上げたい方は、海外IP制限以外の方法を取り入れたほうがいいでしょう。

Akismet

「Akismet」はスパム対策を目的としたプラグインで、WordPressにデフォルトでインストールされています。投稿されたコメントやトラックバックがスパムかどうかを自動判別してくれるほか、スパムコメントなどを「スパムフォルダ」に自動で移動して削除してくれます。

このプラグインを有効化しておくだけで、手動でスパムを削除する必要がほとんどなくなります。

WordPressのセキュリティのセキュリティ診断ツール

現状の自身のサイトのセキュリティ状態を簡易的に診断するツールを2つご紹介します。無料ツールなので、あくまで参考程度のものになりますが、セキュリティが気になっている方はチェックして確認してみましょう。

WPScans.com

「WPScans.com」とは、WordPress専用のWeb診断サービスで、脆弱性をチェックしてくれます。

WPScans.comにホームページやブログのURLを入力し、ボタンをクリックするだけで簡単に診断可能です。しばらくするとレポートが表示されるので、確認しましょう。簡易版は無料、詳細レポートは有料で、表記は英語のみです。

WPScans.com

WPdoctor

「WPdoctor」もWeb上で簡単に脆弱性をチェックできる診断サービスです。診断したいホームページなどのURLを入力し、「サイトを検査」をクリックします。WPdoctorは日本語表示されるため、英語に自信がない人でも使いやすいでしょう。

WPdoctor

WordPressのセキュリティで問題が発生した際の対処法

WordPressのセキュリティ対策で問題が発生し、トラブルが解決しないなら、別のホームページ作成ツールを利用するのも手です。

簡易的なwebサイトであれば、基本無料で開設でき、有料プランに移行すれば独自ドメインも取得できます。

詳細はこちらの記事を参考にしてください。

セキュリティ対策を意識してWordpressを利用しよう

WordPressは自由度が高くカスタマイズしやすいCMSですが、世界的に利用者が多いためサイバー攻撃の対象になりやすいのも事実です。そのため、WordPressを利用してホームページやブログを作成するのなら、セキュリティ対策をしっかり意識する必要があります。

プログラムを最新に保つ、ユーザー名やパスワードを複雑化するなど、基本的なことを抑えるだけでも、十分にリスクを軽減することができます。

プラグインやサーバーのセキュリティ機能などを上手に利用して、WordPressのセキュリティを強化しましょう。