WordPressの利用にあたって、「セキュリティ対策って何か必要なの?」といった疑問を抱えていませんか?
この記事では、初心者でもできるWordPressでの基本的なセキュリティ対策について解説します。
クサカベ
この記事で解決できる疑問はこれ!
- 「WordPressにセキュリティ対策は必要?」
- 「最低限やるべきセキュリティ対策は?」
- 「攻撃にあうとどんなことが起きる?」
「WordPressはみんな使っているから」、「まだアクセスが少ないから」と油断している人もいるかもしれません。
しかし、こうした油断こそがとても危険です。
被害にあうと攻撃の踏み台にされたり、記事を書き換えられたりと復旧がとても大変です。
せっかく立ち上げたブログやサイトを台無しにしないためにも、あらかじめしっかり対策しておきましょう。
WordPressは狙われやすい?その理由とは
はじめに、「WordPressは狙われやすい」ということを念頭においておきましょう。
何もセキュリティ対策をしていないと、それだけで攻撃にあうリスクは高いです。
WordPressが狙われやすい理由は、主に以下の3つです。
利用者が多いから
WordPressが狙われやすい理由の一つは、利用者が多いからです。
W3Techsのデータによると、全世界のCMS(コンテンツ管理システム)のシェアにおいて、WordPressはダントツの1位。
2位のShopifyと比べても、10倍近いユーザーがいます。
| 順位 | CMS | シェア率 |
|---|---|---|
| 1位 | WordPress | 62.7% |
| 2位 | Shopify | 6.4% |
| 3位 | Wix | 4.0% |
参考:W3Techs
CMS(コンテンツ管理システム)の脆弱性は、それぞれCMSによって異なります。
攻撃者の視点では、利用者が多いWordPressを狙ったほうが、同じ手段で多数のサイトを攻撃できることから「効率がいい」のです。
利用者が多いのはユーザーにとって安心材料ですが、それだけ攻撃を企んでいる人も多いことを覚えておきましょう。
利用者のセキュリティ意識が低いから
WordPressが狙われやすい理由として、利用者のセキュリティ意識が低いことが挙げられます。
たとえば、株式会社ロードマップが実施した調査では、企業経営者の44.8%がWordPressのセキュリティを「意識したことない」と回答しました。
みなさんのなかにも、「WordPressはみんな使っているし、大丈夫でしょ」という気持ちがあるのではないでしょうか?
セキュリティ対策がされていないサイトは、いうなれば「ノーガード」の状態。
悪用を考えている人からすれば、格好の標的になってしまいます。
とくにブログやサイトを立ち上げたばかりだと、開設したことに満足してしまい、セキュリティ対策まで手が及ばないかもしれません。
しかし、「まだアクセスが少ないから大丈夫」とはせず、早めのセキュリティ対策が重要なのです。
オープンソースで中身を検証しやすいから
3つ目の理由として、WordPressがオープンソースであることが挙げられます。
「オープンソース」とは、プログラムのソースコードが公開されており、誰でも改変できるソフトウェアのこと。
つまり、悪用を考えている人たちからすると、プログラムの脆弱性がWeb上に公開されていることになります。
WordPressがオープンソースであることは、無料で利用できるなどのメリットが多いですが、それだけセキュリティ対策の重要性は高いと言えるでしょう。
WordPressを乗っ取られると何が起きる?
では、「実際に攻撃されたらどうなるの?」と気になりますよね?
WordPressを乗っ取られたときの被害例は以下のようなものです。
記事コンテンツが改ざんされる
WordPressを乗っ取られると、記事を悪意のある情報やでたらめな記号などに書き換えられることがあります。
過去には、WordPressの脆弱性をつくコードが濫用され、約150万のサイトが改ざん被害にあうこともありました。
(参考:WordPressサイトの改ざん被害は150万件超に 「最悪級の脆弱性」)
改ざんの被害にあうと、文章を修正したり、不正なリンクやファイルを削除したりと、膨大な作業を強いられます。
これまで積み重ねてきた記事をもう一度作り直すことになり、時間のロスは計り知れないでしょう。
迷惑メールの踏み台にされる
自分のブログやサイトから、大量の迷惑メールが送られるケースもあります。
これは、セキュリティの穴を突いて、有害な動作をするマルウェアを埋め込まれるなどで起こります。
そのほか、お問い合わせフォームの自動返信機能を悪用して、迷惑メールが送られる事例もあります。
メールとは異なりますが、自動転送プログラムを埋め込まれ、詐欺サイトに転送されたり、ウイルスをサイト内に埋め込まれたりするパターンも。
こうした被害にあうと、知らず知らずのうちに犯罪に加担してしまう、なんてことにもなりかねません。
データの流出・情報漏えい
WordPressで管理しているデータや情報を盗み取られることもあります。
たとえば、ECサイトのように、機密性の高い情報を多く扱うWordPressサイトはとくに危険です。
機密性の高い情報が流出すれば、社会的信用が失墜するだけでなく、損害賠償請求がなされる可能性も十分にあります。
とくに企業でWordPressを利用する場合は、顧客情報の管理には細心の注意が必要です。
【初心者はまずこれ】WordPressのセキュリティ対策7つ
ここからは実際に、WordPress初心者が行っておくべきセキュリティ対策を解説します。
実際の画面を参考にし、さっそく自分のWordPress管理画面から設定してみてください。
1. パスワードの強度を上げる
はじめに、WordPress管理画面へのパスワードを見直しましょう。
たとえば、以下のようなパスワードを設定している場合、簡単に推測されてしまいます。
すぐに強度の高いパスワードへ変更しましょう!
- ユーザー名と同じ文字列
- 生年月日
- 「123456789」などの分かりやすい数字の並び
- 使いまわしの文字列
- 桁数が少ない文字列(8文字以下など)
パスワードは、大文字や小文字、数字、記号などを織り交ぜると、より強力になります。
パスワードの変更手順は以下のとおり。
WordPressが自動で測定してくれるパスワード強度を参考に、設定していきましょう。
ツールバー右上の「こんにちは、〇〇さん」にマウスカーソルをあて、「プロフィールを編集」をクリック
画面下部にある「アカウント管理」から、「新しいパスワードを設定」をクリック
パスワードが「強力」となっていることを確認
画面下部の「プロフィールを更新」をクリック
また、セキュリティ保全のためには、定期的にパスワードを変更することが大切です。
2. WordPress、テーマ、プラグインをアップデートする
WordPress本体、テーマ、プラグインなどは、常に最新の状態にアップデートしておきましょう。
アップデートが必要なときは、必ず管理画面にて通知が届きます。
メニュー部にも赤いバッジが表示されるので分かりやすいです。
アップデートは1分程度で終わることが多いため、通知をみたらすぐにアップデートする癖をつけるといいでしょう。
「更新通知を見逃さないか心配」という人は、自動更新ONに設定しておくのがおすすめです。
それぞれの更新手順として、以下の内容を順に紹介していきます。
- WordPress本体の更新設定の状態を確認する方法
- WordPress本体の手動更新手順
- WordPress本体の自動更新設定手順
- プラグインの手動更新手順
- プラグインの自動更新設定手順
- テーマの手動更新手順
- テーマの自動更新設定手順
WordPress本体の更新設定の状態を確認する方法
「ダッシュボード」内の「更新」メニューをクリックしてください。
「現在のバージョン」記載の少し下に出ているメッセージを確認すれば、状態を確認できます。
「このサイトは WordPress のメンテナンスリリースとセキュリティリリースのみで自動的に最新の状態に保たれます。」と書いてある場合
セキュリティとメンテナンスに関わるアップデートのみ自動適用されます。
「このサイトは WordPress の新しいバージョンごとに自動的に最新の状態に保たれます。」と書いてある場合
すべてのアップデートが自動適用されます
WordPressを最新の状態に保つという意味では、すべての更新を自動的に適用する設定をおすすめします。
ただ、アップデート適用時には不具合が起こりやすいため、きちんとコントロールしたいという方は、限られたアップデートを自動適用する設定としてください。
クサカベ
ダッシュボードから「サイトヘルスステータス」を見ると、WordPressの状態やセキュリティ改善の提案も確認できます。
こちらも活用してみましょう!
WordPress本体の手動更新手順
以下の手順で更新を適用できます。
ダッシュボードの「更新」をクリック
「WordPressの新しいバージョンがあります」の項目内にある「今すぐ更新」ボタンをクリック
WordPress本体の自動更新設定手順
すべての更新を自動適用する設定にするには、以下の手順に沿ってください。
ダッシュボードの「更新」をクリック
「WordPress のすべての新しいバージョンに対する自動更新を有効にします。」をクリック
「すべての WordPress バージョンに対する自動更新を有効化しました。ありがとうございます。」と表示されたら、自動更新手続き完了
プラグインの手動更新手順
管理画面の「プラグイン」メニューに進んだあと、青字の「更新」をクリックすればOKです。
プラグインの自動更新設定手順
管理画面の「プラグイン」メニューに進んだあと、プラグイン一覧の右端に表示されている「自動更新を有効化」を押せば完了です。
テーマの手動更新手順
「外観」内の「テーマ」メニューに進み、「新しいバージョンがあります」と表示されている部分の「今すぐ更新」をクリックすればOKです!
テーマの自動更新設定手順
「外観」内の「テーマ」メニューに進み、対象テーマの上にカーソルを乗せ、「テーマの詳細」をクリック
「自動更新を有効化」をクリック
WordPress公式ディレクトリに登録されていないテーマだと、有効化しない限り設定を有効化できません。
公式に登録されているテーマは、無効化されていても自動更新を有効化できますが、使わないテーマであれば削除しておくのが安全です。
更新されるタイミングでは、サイトに不具合が生じることもあります。
自動更新に設定しておくのは便利ですが、定期的にサイトの確認を行うことも忘れてはいけません。
自動だからといって放置せず、異常にはすぐ気づける運用を心がけましょう。
更新後のバージョンで問題が起きた場合は、以前のバージョンに戻す方法もあります。
3. 使っていないテーマやプラグインを削除する
テーマやプラグインは、定期的に不要なものがないかチェックし、削除しておくことが大切です。
これはインストールされているテーマやプラグインは、無効化していても攻撃の踏み台にされることがあるためです。
また、無効化しているものは自動更新ができず、リスクが増大する可能性もあります。
被害にあうリスクを下げるためにも、不要なものは定期的に削除しましょう。
プラグインは、「プラグイン」メニューに進んだあと、一覧の中に「削除」メニューがあります。
テーマは、「外観」内の「テーマ」メニューに進み、「テーマ詳細」画面の右下に「削除」メニューがあります。
4. レンタルサーバーのセキュリティ機能を活用する
ブログやサイト運営にあたってレンタルサーバーを契約している人は、各レンタルサーバー会社が提供するセキュリティ機能を活用するといいでしょう。
たとえば、当社が提供する『エックスサーバー』では、以下のようなセキュリティ機能があります。
- 国外IPアクセス制限設定:国外からの攻撃を防止
- ログイン試行回数制限設定:不正ログインを防止
- コメント・トラックバック制限設定:国外からのコメントやリンク作成を防止
上記のセキュリティ機能は初期時点で有効になっていますが、念のため無効になっていないか確認しておくと安心です。
クサカベ
手間やコストをかけずにセキュリティを強化できますので、ぜひ活用しましょう!
5. バックアップをとっておく
改ざんによる被害を最小限に抑えるには、バックアップをとっておくと安心です。
被害を受ける前のWordPressサイトを復元できる可能性があり、万が一の状況では非常に有用です。
簡単にバックアップをとるなら、以下のような方法があります。
- レンタルサーバーのバックアップ機能を使う
- バックアッププラグインを使う
たとえば、当社が提供する『エックスサーバー』では、「自動バックアップ」機能を無料で提供しており、常に過去14日分のデータを保持しています。
データの復元も、サーバーの管理画面から簡単に行えるため、もしものときもスムーズに対処できます。
また、バックアップ用のプラグインを使う方法もあります。たとえば、著名なプラグインでは「BackWPup」など。
事前に設定した頻度で自動的にバックアップデータを取得してくれるため、便利です。
クサカベ
バックアップを事前にとっておけば、もしものときでも慌てずにサイトやブログを復元できます!
6. プラグインを導入する
専用のプラグインを導入することで、サイトやブログのセキュリティを強化することもできます。
たとえば、セキュリティ用のプラグイン「XO Security」です。
出典:XO Security
以下のようにレビュー評価も高く、セキュリティを強化したい人はインストールしておくといいでしょう。
設定画面もわかりやすく、作動も安定していて、ログイン試行履歴とかも見れます(結構不正ログインされようとしているのがわかって楽しい)、随時他のサイトのセキュリティプラグインもこちらに切り替えていこうと思っています。感謝感謝
引用元:XO Security
軽量かつマルチサイトも対応で素晴らしいです。
引用元:XO Security
「XO Security」にはさまざまな機能がありますが、以下のような設定がとくに重要です。
- CAPTCHA(画像認証)
- ログインページのURL変更
- ログイン試行回数の制限
とくに便利なのは、画像認証を簡単に追加できること。
設定をひらがなにしておけば、国外からの不正アクセスに対する強度をアップできます。
いずれの設定も、管理画面の「設定」にある「XO Security」から変更できます。
CAPTCHA(画像認証)について
CAPTCHAとは、画像を用いたテストによって、ロボットか人間かを見分ける仕組みのことです。
CAPTCHAによる画像認証を設定しておくことで、ロボットによる不正なログインを防止できます。
手順は以下のとおりです。
「設定」から「XO Security」をクリック
「ログイン」タブをクリック
「ログインフォーム」内の「CAPTCHA」で言語を設定
画面下部の「変更を保存」をクリック
言語は、国外からの不正アクセスを防止しやすい「ひらがな」を指定するのがおすすめです。
ログインページのURL変更について
ログインページのURLを変更することで、セキュリティを強化できます。
WordPressのログインページは、初期状態ではどのサイトでも同じURLであるため、容易に特定できてしまうためです。
変更手順は以下のとおりです。
「設定」から「XO Security」をクリック
「ログイン」タブをクリック
「ログインページの変更」をオンにし、「ログインファイル」欄に任意のファイル名を入力
画面下部の「変更を保存」をクリック
設定後は、サイトアドレスの後ろに、上記で入力したファイル名を入れることでログインページにアクセスできます。
変更したこと自体や、変更後のファイル名を忘れないように注意してくださいね!
クサカベ
URLを変更したらブックマークしておくのがおすすめ!
ログイン試行回数の制限について
短時間のうちにログインしようとする回数を制限することで、セキュリティを強化する設定です。
これは、パスワード解読の手口として有名な「ブルートフォースアタック」に有効なセキュリティです。
ブルートフォースアタックとは、考えられるパスワードのパターンの総当たりで解読する手口のこと。
「ブルートフォース(Brute-force)」とは「強引な」という意味があります。
パスワードのパターンはとてつもない数がありますが、コンピューターに実行させることで、総当たりを可能にしています。
手口の性質上、パスワードの桁数を増やして強度を上げたり、一定時間内のログイン試行回数を制限すれば防止しやすくなります。
設定手順は以下のとおりです。
「設定」から「XO Security」をクリック
「ログイン」タブをクリック
「ログイン」内の「試行回数制限」にて、時間と回数を入力
画面下部の「変更を保存」をクリック
設定時間を長くするほど、強度は高くなりますが、自身の運用に照らして設定してみてください。
時間は「1時間」または「12時間」、リトライ回数は「5回」程度までにしておくのがおすすめです。
7. Googleサーチコンソールに登録する
検索パフォーマンスを計測するのに便利なGoogle サーチコンソールも、セキュリティ対策に役立てられます。
Google サーチコンソールは、以下の3つを検知するとユーザーに報告を行います。
そのため、知らず知らずのうちに被害を受けたときでも、早期発見につながるでしょう。
- ハッキングされたコンテンツ
- マルウェアなど悪質なソフトウェア
- ソーシャル エンジニアリング
(機密情報の公開やソフトウェアのダウンロードなど)
Google サーチコンソールでは、ほかにもサイトの表示回数や検索順位の推移などを確認できます。
無料で利用できるため、セキュリティ対策もかねて登録しておくといいでしょう。
導入方法は以下の記事を参考にしてみてくださいね。
それでもセキュリティ被害にあったときの対処法
ここまで7つのセキュリティ対策を紹介しましたが、それでもセキュリティ被害にあうかもしれません。
そんなときは、まずは以下を行いましょう。
- ユーザー名やパスワードの変更
- 不審なユーザー、テーマ、プラグインの削除
まずは早急にユーザー名とパスワードを変更するのが肝要です。
また、不正アクセス用のユーザーを追加しておいたり、テーマやプラグインを悪用されることもあります。
見覚えのない不審なものがあれば削除しておきましょう。
そのあとはサイトを復旧していくことになりますが、バックアップデータから復元するのが手っ取り早いです。
そもそものログインができない場合も、バックアップデータを用いて復元するのがよいでしょう。
クサカベ
バックアップデータでの復元でも解決しないような場合、復旧はかなり困難になってきます。
そんな状況に陥らないように、日頃から異常にはすぐに気づけるようにしておくことが大事です!
まとめ
この記事では、初心者がまずやるべきセキュリティ対策をご紹介いたしました。
ポイントをまとめると以下のとおりです。
- WordPressのセキュリティ対策は必須
- WordPressは人気の高さから狙われやすい
- 日頃から異常に気づける運用を心がけることが大事
また、以下のような対策を紹介しました。一つずつ振り返って設定してみてください。
WordPressはユーザーが多く、ユーザーの意識が低いことから、攻撃を受けやすい傾向にあります。
どれだけセキュリティ対策に注力しても、不正アクセスを100%ブロックできるとは限りません。
しかし、今回紹介した7つの方法を組み合わせれば、セキュリティ強度は相応にアップします。
何もしていない状態に比べれば、セキュリティには大きな差が出るでしょう。
WordPressを乗っ取られると、改ざんや不正アクセス、さらには情報漏えいのリスクがあります。
ぜひこの記事で紹介した7つの方法を実践し、自分のWordPressサイトを守っていきましょう!
WordPressを実際に始めたい方へ
WordPressサイト用のレンタルサーバーやテーマはお決まりですか?
もしまだならレンタルサーバー『エックスサーバー』&WordPressテーマ『XWRITE』がおすすめです!
国内シェアNo.1※レンタルサーバー「エックスサーバー」では2025年1月7日(火)17時まで、サーバー利用料金が最大30%オフになる期間限定キャンペーンを開催中です!
今なら月額693円~とお得にWordPressブログが始められます!
.comや.netなど大人気ドメインも永久無料と過去最大級にお得です。
ぜひこのお得な機会にWordPressをご検討ください!
『XWRITE』は、国内シェアNo.1※のレンタルサーバー「エックスサーバー」を提供する、当社エックスサーバー株式会社が開発したブログ向けのWordPressテーマ。
記事を魅力的に仕上げる装飾や機能が豊富で、初心者でも簡単にブログが書けます!
初心者でも簡単にブログが書ける!WordPressテーマ『XWRITE』
『エックスサーバー』からならお得な限定価格で『XWRITE』が購入可能!
ぜひセットでのご利用をご検討ください!
※ 2024年10月時点、W3Techs調べ。
『エックスサーバー』でWordPressを始める手順は以下の記事でくわしく紹介しています。
