この記事では一部分を中心に解説しています。
全体像や関連知識もあわせて理解したい方は、以下の記事もぜひご覧ください。
WordPressのセキュリティ対策が重要な理由
WordPressは世界でもっとも利用されているCMSのひとつであり、多くの企業サイトや個人ブログ、ECサイトなどで採用されています。使いやすく拡張性にも優れている反面、世界中で利用者が多いことから、悪意のある第三者に狙われやすいという側面もあります。
「小さな会社だから狙われない」「個人ブログだから大丈夫」と考えている方も少なくありません。しかし実際には、攻撃者がプログラムを使って自動的にWordPressサイトを探し、脆弱性のあるサイトへ一斉に攻撃を仕掛けるケースが数多く報告されています。そのため、アクセス数や会社の規模に関係なく、基本的なセキュリティ対策を行うことが重要です。
WordPressは適切に管理・運用すれば十分安全に利用できます。大切なのは、危険性を理解し、基本的な対策を継続して行うことです。
狙われやすいCMSである
WordPressは世界中のWebサイトで利用されているため、攻撃者もWordPress専用の攻撃ツールを数多く作成しています。特に「ブルートフォースアタック(総当たり攻撃)」や、古いプラグイン・テーマの脆弱性を狙った攻撃は非常に多く、自動化されたプログラムによって24時間サイトが狙われています。
初期設定のまま運用しているサイトや、長期間更新されていないサイトは特に攻撃対象になりやすく、一度侵入されると被害が拡大する恐れがあります。
被害が出ると影響が大きい
万が一サイトが改ざんされると、知らないページが勝手に作成されたり、ウイルスを配布するサイトとして利用されたりする可能性があります。また、訪問者へ不正な広告や偽サイトへ誘導するリンクが表示されるケースもあります。
さらにGoogleから「危険なサイト」と判定されると検索順位が大きく下がったり、検索結果に警告が表示されたりすることもあります。一度失った信頼を取り戻すには時間も費用もかかるため、事前の対策が非常に重要です。
最低限やっておきたいセキュリティ対策
WordPressには専門的なセキュリティ対策もありますが、まずは基本となる設定を見直すだけでも大きな効果があります。初心者の方でも実践しやすい内容から始めていきましょう。
ログインURLを変更する
WordPressの管理画面は通常「/wp-admin」や「/wp-login.php」でアクセスできます。このURLは世界中で共通のため、攻撃者も最初に狙ってきます。
ログインURLを変更することで、不正ログインを試みる攻撃を大幅に減らすことができます。専用プラグインを利用すれば数分で設定できるため、最初に行いたい対策の一つです。
ユーザー名を「admin」にしない
初期のWordPressでは「admin」というユーザー名がよく利用されていました。そのため、現在でも攻撃者は最初に「admin」でログインを試みます。
ユーザー名が推測されると、あとはパスワードだけを狙われることになるため危険です。管理者アカウントは推測されにくいユーザー名を設定し、「admin」は使用しないようにしましょう。
強固なパスワードを設定する
パスワードは最低でも12文字以上を目安にし、大文字・小文字・数字・記号を組み合わせた複雑なものを設定します。
誕生日や会社名、電話番号など推測されやすい情報は避けましょう。また、他のサービスと同じパスワードを使い回すことも危険です。パスワード管理ソフトを利用すると安全かつ便利に管理できます。
プラグインで強化する方法
WordPressには便利なセキュリティプラグインが多数公開されています。専門知識がなくても導入できるため、多くのサイトで利用されています。
ログイン制限を設定する
ブルートフォースアタックを防ぐためには、ログイン試行回数を制限することが有効です。
例えば5回ログインに失敗したら一定時間アクセスできなくする設定にしておけば、自動的に大量のパスワードを試す攻撃を防ぎやすくなります。
セキュリティプラグインを導入する
総合的なセキュリティ対策ができるプラグインを導入すると、不正アクセスの監視やファイル改ざんの検知、ファイアウォール機能などをまとめて利用できます。
ただし、セキュリティプラグインを複数導入すると機能が競合する場合があります。基本的には信頼できるプラグインを1つ選んで運用するのがおすすめです。
コードでできるセキュリティ対策
より安全なサイト運営を目指すなら、WordPressの設定だけでなくサーバー側やコードレベルでの対策も有効です。
WordPressのバージョン情報を非表示にする
WordPressは初期状態ではバージョン情報が出力されることがあります。この情報から使用しているバージョンが分かると、そのバージョン固有の脆弱性を狙われる可能性があります。
<meta name="generator" content="WordPress">
この情報は不要であれば削除し、バージョン情報を公開しないように設定しておくと安心です。
XML-RPCを無効化する
XML-RPCは外部サービスとWordPressを連携するための機能ですが、利用していない場合は攻撃対象になることがあります。
特にログイン攻撃で悪用されるケースがあるため、不要であれば無効化しておくことをおすすめします。
<Files xmlrpc.php>
<Require all denied>
</Files>
なお、Jetpackなど一部のサービスではXML-RPCを利用する場合があるため、利用状況を確認してから設定しましょう。
運用面でのセキュリティ対策
どれだけ設定をしっかり行っていても、日々の運用を怠るとセキュリティレベルは低下します。継続的な管理が安全なサイト運営につながります。
WordPress本体・テーマ・プラグインを更新する
WordPressでは脆弱性が見つかると、修正版が公開されます。更新を行わず古いバージョンのまま運用していると、その脆弱性を狙われる危険があります。
更新前には必ずバックアップを取得し、不具合がないことを確認しながら最新版へアップデートしましょう。
定期的にバックアップを取る
万が一サイトが改ざんされた場合でも、バックアップがあれば比較的短時間で復旧できます。
バックアップはサーバー内だけでなく、クラウドストレージやパソコンなど別の場所にも保存しておくとより安心です。また、自動バックアップを設定しておけば、更新忘れも防げます。
まとめ
WordPressは便利なCMSですが、適切なセキュリティ対策を行わなければ、不正アクセスや改ざんなどの被害を受ける可能性があります。
特別な知識がなくても、まずは次のような基本対策を実施するだけで安全性は大きく向上します。
・ログイン情報を強化する
・セキュリティプラグインを活用する
・コードレベルの対策を行う
・WordPressやプラグインを常に最新に保つ
・定期的なバックアップを行う
セキュリティ対策は一度設定して終わりではなく、継続して管理することが大切です。安心してサイトを運営するためにも、日頃から定期的に設定や更新状況を確認し、安全なWordPress環境を維持していきましょう。
今回解説した内容に関連するテーマは、以下の記事でも詳しく解説しています。
理解を深めたい方は、あわせてご覧ください。