WordPressが狙われやすい原因とその対策方法
WordPressへログインせずに半年ほど放置すると、ある日突然ホームページが表示できなくなり、エラーや警告が表示されることがあります。
メニューをクリックすると知らないサイトに飛んだり、googleの検索結果の表示がサイトと全く関係ないものが記載されていたりします。場合によってはホームページの改ざん、メールの大量配信、個人情報の漏えいが生じ、サイトの信用を損なってしまうことになります。
他のCMSではこのような症状をあまり聞いたことがないのですが、なぜWordPressは狙われやすいのでしょうか?
何かセキュリティに問題があるのでしょうか?
今回はWordPressが狙われやすい原因とその対策方法ついてご説明します。
WordPressが最も狙われやすい4つの原因
1.WordPressの利用者が多く、攻撃者のリターンが大きい
最初に以下の表を見てください。世界のCMSシェアランキングと日本のCMSシェアランキングです。
どちらも圧倒的にWordPressのシェアが高いです。
参考:Usage statistics of content management systems|W3Techs
参考:Distribution of content management systems among websites that use Japanese|W3Techs
もしあなたがハッカーなら、この表を見てどのCMSを狙うでしょうか? 答えを聞くまでもないのですが、多くの方はWordPressを狙うと思います。
もし何か1つの脆弱性が見つかったら、その脆弱性を狙って多くのWordPressサイトを効率よく攻撃できるからです。
シェアの低い別のCMSを攻撃しても手間がかかる割に、利用されているサイト自体が少ないので得られるものは少ないです。
ハッカーも別のCMSを狙うメリットがあまりないので、シェアの高いWordPressを狙う事になります。
2.ソースコードが公開されているので、脆弱性を発見しやすい
WordPressはオープンソースなので、ソースコードが公開されています。そのため高度なプログラムのスキルを持った人であれば、ソースコードを解析して脆弱性を発見できてしまいます。
3.膨大な数のプラグインが存在するので、サイバー攻撃の入り口が多くなる
WordPress本体だけでなく、プラグインもオープンソースで開発されているため、脆弱性が発見されやすい特徴があります。 さらに、プラグインの種類は非常に多岐にわたるため、WordPress本体と比較してリスクが高いと言えるでしょう。
参考までに、2024年6月時点で報告されているWordPress関連の脆弱性の一覧の一部をご覧ください。 ご覧いただくとわかるように、指摘されているのは主にプラグインに関する脆弱性であり、WordPress本体ではありません。
つまり、使用するプラグインの数が多いほど、プラグインの脆弱性が発見されるリスクが高くなってしまうということです。
4.WordPress利用者のセキュリティに対する意識が低い
WordPressは初心者でも簡単に使えるようになっているので導入しやすいのですが、その後の運用やメンテナンスについては手間がかかることが多く、十分に考慮されていません。特にセキュリティ対策については、知識が少なく、意識が低いのが大きなリスクとなっています。
WordPressのセキュリティ対策として有効な5つの方法
上記の理由によりWordPressにはセキュリティ対策が必要不可欠であることをご理解いただけましたか?
では実際にどのようにWordPressのセキュリティ対策を行えばよいのでしょうか?
次にご紹介する5つの方法をご参考ください。
1.WordPressとプラグインの定期アップデート
WordPress本体やプラグインは、定期的にアップデートを行うことをおすすめします。
アップデート時のトラブルについて
ご存じない方もいらっしゃるかもしれませんが、WordPress本体の管理とプラグインの管理はそれぞれ別の仕組みで行われており、WordPressとプラグインが完全に連動しているわけではありません。
そのため、プラグインが最新のWordPressに対応していない状態でWordPressを更新すると、不具合が発生する可能性があります。
特に「メジャーアップデート」と呼ばれる大規模な更新が行われる際には、不具合が起こりやすくなる傾向がありますので、アップデートを行う際には十分に注意していただくことをおすすめします。
2.定期バックアップ
万が一の場合に備えて定期バックアップを行ってください。
バックアップの頻度はサイトの更新状況や内容によって異なりますが、更新が少ないサイトの場合、月に1回のバックアップでも十分な場合があります。 ただし、サイトの種類や目的によって最適な頻度は異なりますので、状況に応じて適切な対応を検討してください。
なお、バックアップについてはプラグインのBackWPupを利用することをお勧めします。
このプラグインだとサイトが動作していなくても、データからサイトの復元が可能だからです。
プラグインの設定方法については、以下の記事をご参考ください。
https://hikkoshi.macnet.jp/blog/wordpress-backup
3.プラグインの数を減らす
プラグインの数が多くなるほど、セキュリティリスクが高まる可能性があります。 特に、更新が停止しているプラグインや、同じ機能を持つプラグインが複数ある場合は注意が必要です。 これらを見直し、必要最小限のプラグインだけを使用するようにしましょう。 また、利用するプラグインは信頼性が高く、定期的にメンテナンスされているものを選ぶことをおすすめします。
プラグインの選び方については、下記の記事をご覧ください。
https://hikkoshi.macnet.jp/blog/howto-select-plugin
4.ログイン画面の強化
ログイン画面を強化する方法は4つあります。 (1)は必須で、(2)~(4)のいずれか1つをご利用ください。
(1)ログイン時のパスワードを複雑なものにする
パスワードは8文字以上、英数字の大文字と小文字、記号を組み合わせてください。
(2)プラグインのSiteGuard WP Pluginを利用する
SiteGuard WP Pluginをお勧めするのは、画像認証でひらがなを入力するからです。
多くの攻撃が海外のものなので、非常に有効です。またログイン時のURLを簡単に変更できるので、便利です。
(3)アクセス制限をかける
ログイン時のパスワードとは別にアクセス制限をかけてください。 レンタルサーバーの機能でアクセス制限が設定できるので、それで設定するのが一番簡単です。
(4)IPアドレスを制限する
固定IP取得していれば、ログイン画面へは特定のIPアドレスしか許可しないようにしてください。
5.パソコンのセキュリティ対策
WordPressのセキュリティ対策も大事ですが、利用しているパソコンなどの端末のセキュリティ対策もしっかり行う必要があります。
ウィルスはメールやサイト経由で感染しますが、ウィルスの中にはパソコンのFTPソフトの情報を取得し、サーバーを攻撃することもあり、管理しているサイトが狙われる恐れがあります。
パソコンのセキュリティ対策には以下のことを行ってください。
- OSやソフトのアップデート
- メールには最新の注意を払う(添付ファイル、リンク先のクリック)
- セキュリティソフトを入れ、定期的にセキュリティのチェックを行う
最後に
WordPressのセキュリティ対策は、正しく実施し継続することで大幅に向上させることが可能です。
しかしながら、WordPressに関する知識や経験があまりない方にとっては、対策を適切に行うのはやや難しい場合があります。特に、企業や団体のサイトが攻撃の対象となり、復元できない状況に陥ると深刻な問題となります。
そのため、ご自身で対応するのが難しいと感じる場合は、WordPressに詳しい専門家に依頼するか、保守サービスをご利用いただくことをおすすめします。
なお、弊社ではWordPress保守サービスを提供しております。
月額5,500円(税込)で、電話によるサポートもご利用いただけますので、ぜひお気軽にお問い合わせください。