WordPressのセキュリティ対策とは？サイバー攻撃の内容や強度チェックの方法も紹介

WordPressは高度なプログラミング知識が不要なため、簡単にWebサイトを作成できます。そのため、個人のブログだけではなく企業のWebサイトやオウンドメディアにもよく利用されています。しかし、簡単で便利な反面、セキュリティに不安を抱えている方もいるでしょう。WordPressは世界中で多く利用されているため、サイバー攻撃を受けやすいCMSです。ここではWordPressが受けるサイバー攻撃にどのようなものがあるか紹介します。

コンテンツの改ざんが行われる

WordPressへのサイバー攻撃の一つとして、コンテンツの改ざんが挙げられます。制作したコンテンツの書き換えが行われてしまうと、記事を一つひとつ修正しなければなりません。また、乗っ取りにより別のコンテンツを設置されてしまうおそれもあります。ファイルの調査や削除などが起こった場合、所有しているコンテンツが多いほど修復作業の量は増えるでしょう。

詐欺サイトへの自動転送が行われる

WordPress内に自動転送プログラムが組み込まれることで、自動で詐欺サイトへ遷移してしまうおそれのあるサイバー攻撃です。2019年春ごろから特定のプラグインに対して行われ始めたサイバー攻撃で、詐欺サイトへ誘導されてしまう危険があります。コンテンツを閲覧しているユーザーにも被害が及ぶ可能性のあるサイバー攻撃です。

不特定多数にメールアドレスが送信される

WordPress内にメール送信プログラムが組み込まれて、不特定多数のメールアドレスへ勝手にメールが大量送信されてしまうサイバー攻撃もあります。メール送信のサイバー攻撃は問い合わせフォームに対してだけではなく、コメントフォームでも行われるおそれがあります。

WordPressをさまざまなサイバー攻撃から守るためには、自分自身でセキュリティ対策を講じる必要があります。ここでは企業のWebサイトをサイバー攻撃から守るために、WordPressで行っておきたいセキュリティ対策を紹介します。

パスワードを見直して複雑にする

まずはWordPressのログインパスワードの見直しを行いましょう。他のセキュリティ対策を万全にした場合でも、パスワードを単純で分かりやすいものにしてしまうと簡単に管理画面へ侵入されてしまいます。

パスワードを設定する際は数字だけではなく、英字や記号を混ぜて簡単に予測しにくいパスワードにしましょう。WordPressにはパスワードの強度チェッカーがあるため、パスワードの候補を考えたらチェッカーで確認を行い設定することをおすすめします。

テーマ/プラグインはアップデートして最新の状態にする

最新のテーマ/プラグインにアップデートしておくと、最新のセキュリティ対策が施されます。更新せず古いバージョンを使い続けていると、脆弱性も残ったままになってしまいます。WordPressには自動更新機能も備わっていますが、自分で追加したテーマやプラグインは自動更新されない可能性もあるでしょう。そのため、自動更新に頼り切らず目視で最新のバージョンになっているか確認をおすすめします。

不要なテーマ/プラグインは削除する

WordPress内に使わないテーマやプラグインを残していると、セキュリティの脆弱性からサイバー攻撃の対象になってしまう可能性があります。プラグインを無効化していても利用されるおそれがあるでしょう。サイバー攻撃のリスクを減らすためにも、不要なテーマやプラグインは削除がおすすめです。

レンタルサーバーのセキュリティ対策を活用する

使っているレンタルサーバーによっては、セキュリティ対策機能の提供を行っています。専門的な知識がなくてもセキュリティ対策が行えるメリットがあります。現在利用しているレンタルサーバーのセキュリティ対策機能や、各サーバーの提供するセキュリティ対策機能をチェックしましょう。

セキュリティ用プラグインを導入する

WordPressは管理画面でさえも外部から侵入できてしまうおそれがあります。管理画面への侵入を防ぐためには、管理画面のURLの変更やアクセス制限などが可能なプラグインを導入しましょう。また、IP認証またはBasic認証を導入するのも有効です。REST APIへのアクセス制限を行うことで怪しいユーザーの侵入を防ぎましょう。

FTPからSSH接続を行うSFTPに変更する

FTPはサーバーとPC間のデータのやり取りが暗号化されていません。そのため、パスワードやユーザーネームなどがそのままの状態でやり取りされます。悪意のある第三者が転送データにアクセスしてしまうと情報漏洩の危険があるでしょう。

データを第三者に読み取られないようにするためには、データを暗号化してやり取りし、カギを持っていないとデータを見られないSSH接続を利用したSFTPに設定を変更することが大切です。SFTPではデータを暗号化して送るため、転送データに不正アクセスが行われてもカギがない限りデータ内容の読み取りはできません。

WordPressでセキュリティ対策を行った後は、十分なセキュリティ強度になっているかチェックを行いましょう。WordPressの主なセキュリティ強度チェック方法は以下の3つです。

Wordfence Securityでチェックする

WordPressの総合的なセキュリティ対策ができるプラグインです。WordPressのコアファイル・テーマ・プラグインなどにマルウェアや不正なコードが含まれていないかスキャンで確認できます。セキュリティの脆弱性の有無をチェックできるため、セキュリティ対策を講じた後にチェックを行いましょう。無料で利用可能な点も魅力です。

WPScans.comでチェックする

WPScans.comは、WordPressのセキュリティ状態を診断してくれるサービスです。「Your WordPress website is safe !」と表示されたら、セキュリティに問題ありません。こちらは英語版ではありますが、無料でチェックが可能です。

WPdoctorでチェックする

WPdoctorはWordPressのセキュリティ状況を診断してくれるシステムです。セキュリティ強度に問題がある項目を画面に表示してくれます。注意項目に対応していくことでセキュリティの強化が可能です。セキュリティ対策で何から始めたらよいか分からないという方は、最初にWPdoctorでチェックを行い、必要な対策を確認するのもよいでしょう。

※2024年1月現在、この診断はデータの更新が止まっており最新ではないとアナウンスがあります。詳しくはサービスサイトにてご確認ください。

WordPressは世界中で多くの人が利用するCMSツールです。高度なプログラミング知識が不要で完成度の高いWebサイトを作成できるため、個人だけではなく企業でも多く利用されています。しかし、簡単で便利な分セキュリティ面に不安が残る方もいるでしょう。WordPressはサイバー攻撃を受けやすく、コンテンツの改ざんや自動転送プログラムの設置、不特定多数へのメール送信などさまざまな被害が発生しています。WordPressへのサイバー攻撃を防ぐためにはセキュリティ対策が欠かせません。パスワードの複雑化といった簡単な設定や、FTPからSSH接続を行うSFTPへの切り替えなど、さまざまな方面からセキュリティ強度を高めましょう。

株式会社デパートでは、Webサイトの構築やリニューアルをはじめ、Webシステム開発も承っています。CMSの導入やWebサービス開発を担っており、企業に合わせたさまざまなシステムの開発を実現します。またWebサイトの構築にも対応しているため、CMSを利用しない自社独自のWebサイトを立ち上げたいと考えている方はぜひ一度ご相談ください。セキュリティ対策を講じ、安心して利用できるWebサイト運用の実現をお手伝いします。

デパート採用情報

株式会社デパートでは一緒に働く仲間を募集しています