WordPressが狙われやすい原因とその対策方法
WordPressへログインせずに半年ほど放っておくと、あの日突然ホームページが表示できなくなり、エラーや警告が表示されたりすることがあります。
メニューをクリックすると知らないサイトに飛んだり、googleの検索結果の表示がサイトと全く関係ないものが記載されていたりします。場合によってはホームページの改ざん、メールの大量配信、個人情報の漏えいが生じ、サイトの信用を損なってしまうことになります。
他のCMSではこのような症状をあまり聞いたことが無いのですが、どうしてWordPressは狙われやすいのでしょうか?何かセキュリティに問題があるのでしょうか?
今回はWordPressが狙われやすい原因とその対策方法ついてご説明します。
WordPressが最も狙われやすい4つの原因
1.WordPressの利用者が多く、攻撃者のリターンが大きい
最初に以下の表を見てください。世界のCMSシェアランキングと日本のCMSシェアランキングです。
どちらも圧倒的にWordPressのシェアが高いです。
参考:Usage statistics of content management systems|W3Techs
参考:Distribution of content management systems among websites that use Japanese|W3Techs
もしあなたがハッカーなら、この表を見てどのCMSを狙いますか?
答えを聞くまでもないのですが、多くの方はWordPressを狙うと思います。
もし何か1つの脆弱性が見つかったら、その脆弱性を狙って多くのWordPressサイトを効率よく攻撃できるからです。
シェアの低い別のCMSを攻撃しても手間がかかる割に、利用されているサイト自体が少ないので得られるものは少ないです。
ハッカーも別のCMSを狙うメリットがあまりないので、シェアの高いWordPressを狙う事になります。
2.ソースコードが公開されているので、脆弱性を発見しやすい
WordPressはオープンソースなので、ソースコードが公開されています。そのため高度なプログラムのスキルを持った人であれば、ソースコードを解析して脆弱性を発見できてしまいます。
3.膨大な数のプラグインが存在するので、サイバー攻撃の入り口が多くなる
WordPressだけでなく、プラグインもオープンソースで開発されているので脆弱性が見つかりやすいです。
しかも膨大な数のプラグインが存在するので、WordPressよりかなりリスクが高いと言えます。
ちなみに2024年6月時点で発見されたWordPressの脆弱性の一覧の一部をご覧ください。
脆弱性を指摘されているのはWordPressではなく、プラグインの脆弱性ばかりです。
つまり利用するプラグインの数が多いほど、プラグインの脆弱性が見つかるリスクが高くなってしまいます。
4.WordPress利用者のセキュリティに対する意識が低い
WordPressは初心者でも簡単に使えるようになっているので導入しやすいのですが、その後の運用やメンテナンスについては手間がかかることが多く、十分に考慮されていません。特にセキュリティ対策については、知識が少なく、意識が低いのが大きなリスクとなっています。
WordPressのセキュリティ対策として有効な5つの方法
上記の理由によりWordPressにはセキュリティ対策が必要不可欠であることをご理解いただけましたか?
では実際にどのようにWordPressのセキュリティ対策を行えばよいのでしょうか?
次にご紹介する5つの方法をご参考ください。
1.WordPressとプラグインの定期アップデート
WordPressとプラグインは定期的にアップデートを行ってください。
サイトの更新頻度やサイトの内容にもよりますが、あまり更新のないサイトであれば、月に1回のバックアップで十分です。
アップデート時のトラブルについて
ご存知のない方もいるかもしれませんが、WordPressの管理とプラグインの管理は別のところで行われていて、WordPressとプラグインが完全に連動している訳ではありません。
プラグインが最新のWordPressに対応していないのに、WordPressを更新すると不具合が生じることがあります。
またメジャーアップデートと言って大規模な更新が行われる時は不具合が多いので、アップデートについては特に注意して行ってください。
2.定期バックアップ
万が一の場合に備えて定期バックアップを行ってください。
サイトの更新頻度やサイトの内容にもよりますが、あまり更新のないサイトであれば、月に1回のバックアップで十分です。
なお、バックアップについてはプラグインのBackWPupを利用することをお勧めします。
このプラグインだとサイトが動作していなくても、データからサイトの復元が可能だからです。
プラグインの設定方法については、以下の記事をご参考ください。
https://hikkoshi.macnet.jp/blog/wordpress-backup
3.プラグインの数を減らす
プラグインの数が多いほどセキュリティのリスクが高まります。
プラグインの数は必要最小限にし、信用できるプラグインだけを使いましょう。
なおプラグインの選び方については、下記の記事をご覧ください。
https://hikkoshi.macnet.jp/blog/howto-select-plugin
4.ログイン画面の強化
ログイン画面を強化する方法は4つあります。 (1)は必須で、(2)~(4)のいずれか1つをご利用ください。
(1)ログイン時のパスワードを複雑なものにする
パスワードは8文字以上、英数字の大文字と小文字、記号を組み合わせてください。
(2)プラグインのSiteGuard WP Pluginを利用する
SiteGuard WP Pluginをお勧めするのは、画像認証でひらがなを入力するからです。
多くの攻撃が海外のものなので、非常に有効です。またログイン時のURLを簡単に変更できるので、便利です。
(3)アクセス制限をかける
ログイン時のパスワードとは別にアクセス制限をかけてください。 レンタルサーバーの機能でアクセス制限が設定できるので、それで設定するのが一番簡単です。
(4)IPアドレスを制限する
固定IP取得していれば、ログイン画面へは特定のIPアドレスしか許可しないようにしてください。
5.パソコンのセキュリティ対策
WordPressのセキュリティ対策も大事ですが、利用しているパソコンなどの端末のセキュリティ対策もしっかり行う必要があります。
ウィルスはメールやサイト経由で感染しますが、ウィルスの中にはパソコンのFTPソフトの情報を取得し、サーバーを攻撃することもあり、管理しているサイトが狙われる恐れがあります。
パソコンのセキュリティ対策には以下のことを行ってください。
- OSやソフトのアップデート
- メールには最新の注意を払う(添付ファイル、リンク先のクリック)
- セキュリティソフトを入れ、定期的にセキュリティのチェックを行う
最後に
WordPressのセキュリティ対策を正しく行い継続すれば、WordPressのセキュリティは高まります。
ただ、WordPressに詳しくない方が行うには少しハードルが高いかもしれません。特に企業・団体のサイトが狙われサイトが復元できないようになると大変です。ご自分では難しいと思う場合は、なるべくWordPressに詳しい方に依頼するか、WordPressの保守サービスをご利用ください。
なお、弊社もWordPress保守サービスを行っております。
月額5500円で電話サポートあります。お気軽にお問い合わせください。