【WordPressセキュリティ対策】リスクの種類からおすすめ対策まで

WordPressの瀬キュロティ対策
目次

WordPressについて

WordPressは、オープンソースのCMS(Contents Management System)。
オープソースである自由度の高さから、様々なプラグインなどが開発・流通されています。
現在では様々なサイトがWordPressdで作られています。

WordPressの管理画面

WordPressが人気な理由

WordPressが広く浸透しているのには理由があります。
代表的な3つ理由をご紹介いたします。

無料で利用できる

オープンソースイニシアチブ

WordPressは前述のとおりオープソースのCMSで無料で利用できます。
オープソースとはソースコードの著作権が放棄されており、どなたでも自由に利用・解析・改変・再配布することができる仕組みを指します。
このような配布形態となっていることから、世界中の人に親しまれており、世界中のサイトの3分の1に利用されるほど浸透することとなりました。

プログラミング知識不要

ノーコード

WordPressを用いたサイトの制作・運用はプログラミングの知識がなくても、管理画面からオフィスソフトのようにページ制作ができるようになっています。

高い拡張性と豊富なデザイン

拡張性

WordPressはシェアの高さと自由度の高さから、 「プラグイン」と呼ばれるさまざまな機能を追加できるプログラムモジュールが開発・流通されています。

さらに「テーマ」と呼ばれるサイトの構造とデザインがセットになったテンプレートも、無償のものから有償のものまで、たくさんのサイト用に配布されております。

WordPressが狙われる理由

世界シェアNo.1の宿命

WordPressは世界シェアNo.1のCMSです。ユーザー数が多いということは攻撃のターゲットも多いということになります。攻撃者にとって、ユーザー数が多いほど、脆弱性を見つけ出す費用対効果は高くなります。

共通の管理画面URL

wp-login

初期設定のままの場合、ドメイン末尾に「/wp-login.php」と入力することで、管理者用のログイン画面が表示されてしまいます。管理画面を特定されると、ブルートフォース攻撃などの攻撃を受けやすくなります。

オープンソース

オープンソースイニシアチブ

プログラムのソースが公開されており、誰でも自由に利用・カスタマイズができるメリットと裏腹に、ソースが公開されていることから、脆弱性を見つけやすい構造になっているとも言えます。

テーマやプラグインの追加

WordPressは便利なサードパーティのプラグインやテーマを、数クリックするだけで簡単に導入できてしまいます。しかしアップデートされず放置されたプラグインやテーマは、新たな攻撃が想定されておらず脆弱性生む可能性があります。

WordPressの代表的なリスク

WordPressを利用している際の代表的なセキュリティリスクにはどのようなものがあるのでしょうか?
以下にいくつかご紹介させていただきます。

クロスサイトスクリプティング

偽のウェブページへユーザーを誘導し、不正なスクリプトを仕込んだURL等をクリックさせることによって、ウェブページの改ざんや管理者権限の不正取得などを行なう方法です。

クロスサイトスクリプティングのイメージ図

SQLインジェクション

WordPressのデータベースを操作するSQL文に不正なコード等を注入し、データの操作や破壊を行なう方法です。
インジェクションは直訳すると「注入」という意味です。

SQLインジェクションのイメージ
SQLインジェクションのイメージ

ブルートフォース攻撃

パスワードなどを解読する攻撃手法で、総当たり攻撃とも呼ばれる。ユーザーIDを固定し、パスワードのあらゆる組み合わせを試行することで、認証の突破を狙う方法です。

ブルートフォース攻撃のイメージ
ブルートフォース攻撃のイメージ

ディレクトリトラバーサル

別名パストラバーサル攻撃とも呼ばれる。脆弱性を悪用し、ファイルの保存場所であるパスを不正に操作することによって、本来アクセスできない設定ファイル等へアクセスする手法です。

ディレクトリとトラバーサルのイメージ
ディレクトリとトラバーサルのイメージ

セキュリティ対策できる、おすすめプラグイン

SiteGuard WP Plugin

SiteGuard WP Plugin

日本語対応のシンプル・簡単プラグインで、以下の攻撃を防ぐことができます。

  • 不正ログイン
  • 管理ページ(/wp-admin/)への不正アクセス
  • コメントスパム

Google Authenticator

Google Authenticator

管理画面へのログインを二段階認証にするプラグインです。 二段階認証コードを取得するための手段として Google が提供しているスマートフォン用アプリを使いますので、既にGoogleで二段階認証を利用されている方は手軽に利用できます。

初期構築時にできるセキュリティ対策まとめ

WordPressの初期構築や初期設定時に行うべきセキュリティ対策をまとめました。
こちらを参考にセキュリティを高めましょう。

設定種別項目説明
インフラSSLを設定するニーズ・要望に応じてSSLを設定する(DV<OV<EV)
設計テスト環境と本番環境を分けるテスト環境と本番環境をわけ、拡張やコンテンツ更新を開発環境で検証してから、本番環境に反映する。可能であればGitを利用して運用する体制を構築する
初期設定データベース接頭辞の変更SQLインジェクションを避けるため、初期値の「wp」は使わない
初期設定アカウントを複雑なものにする
(adminは利用しない)
強度が強力になるよう半角英数記号&大文字・小文字を設定した12桁にする
初期設定コメント機能を使わない訪問者と、または訪問者同士でコミュニケーションを促進させるサイトでなければオフにする
コミュニケーションを行う場合はあらかじめコミュニケーションルールを設けて運用する
.htaccess
インフラ
wp-config.phpへのアクセスを禁止するWordPressの設定情報を編集されないよう、wp-config.phpへのアクセスを不可にする
.htaccess管理画面にベーシック認証を設定する管理画面にBasic認証を設定し、セキュリティを高める
.htaccess接続元のIPアドレスを制限する管理画面にアクセスできるIPアドレスを設定にする
プラグインセキュリティ対策プラグインを導入する国産&法人が開発している「SiteGuard WP Plugin」をインストール&設定する
php管理画面のURLを変更するfunctions.phpを編集して「wp-login.php」などの初期値から変更する
phpバージョン情報を非表示にするバージョンを知られないよう、functions.phpを編集する
初期構築時にできるセキュリティ対策一覧

運用時に行うべきセキュリティ対策

サイト公開・運用時に行えるセキュリティ対策をまとめました。
初期設定と合わせて行い、さらにセキュリティを高めましょう!

設定種別項目説明
WordPress本体とプラグインのバージョンアップを行う本体とプラグインのバージョンアップを定期的に行う
事前に本体のバージョンにプラグインが適応しているか確認する
実施はテスト環境で検証してから本番環境に反映する
WordPressプラグインを多用しないプラグインは便利だが、悪意のあるプログラムを埋め込まれている可能性もある
不必要にプラグインを追加しない
WordPress不要なプラグインは削除する不要になったプラグインはセキュリティ対策及び安定動作の面から削除する
WordPress不要なユーザーは削除するメディア等複数人で運用している場合、不要になったユーザーは削除する
インフラ
WordPress
定期的にバックアップを取得する万が一に備え速やかにリカバリできるよう定期的なバックアップを行う
バックアップデータはサーバのみならず他のクラウドストレージやローカルにも取得しておく
運用時に行うべきセキュリティ対策一覧

面倒なセキュリティ対策、お気軽にご相談ください!

「WordPressのセキュリティ対策として何をするべきかはわかったけど、手一杯で回らない!」、「自社にはエンジニアがいないので、運用時の対応ができない」などのお悩みがございましたら、お気軽にトラムへご連絡ください!
WordPressの保守や操作説明などを行うサービスを提供しております。
詳しくは下記の記事をご覧ください!

あわせて読みたい
「相談できる安心、任せて安全」WordPressの保守なら【WP保守デキタ!】 【こんな症状やお悩み、ございませんか?】   どうもサイトが不安定でたまにエラーが出る アップデートの告知がでるけど更新して良いの? アップデートしたら一部...

「サイトのセキュリティ対策ができているのか不安」という方もお気軽にご相談ください!
手軽にコストパフォーマンス良くセキュリティ診断が行えるサービスがございます。
ご希望の方は下記よりお問い合わせください!

ご相談・お問い合わせはこちら

WordPressのセキュリティを高めて、安全なサイト運営を実現しましょう!

よかったらシェアしてね!

この記事を書いた人

株式会社トラムが運営するGarageのアカウントです。
デジタルマーケティング担当者、Webサイトの運用担当者、中小企業経営者にとって役立つWebサイトの構築・運用情報を提供してまいります。

目次
閉じる