WordPressのセキュリティ対策が重要な理由とは?
WordPressでサイトやブログを作る際には、できるだけセキュリティ対策を万全にする必要があります。
ウェブサイト・ウェブサービスは開かれた場所にある性質上、攻撃者の標的にされやすいのが特徴です。
知らず知らずのうちに攻撃やいたずら行為を受けてサイトを危険な状態に陥らせてしまわないように、管理者として十分注意することが大切です。
しかしながら、初めてWordPressでサイトを構築する際にはどのようなセキュリティ対策をするのか有効なのかわからないことも少なくありません。
そこで今回は、WordPressのセキュリティ対策が重要な理由を見ながら、おすすめの基本対策を紹介していきます。
WordPressのセキュリティ対策が重要な理由
はじめに、WordPressでのセキュリティ対策が重要と言われる理由について解説していきたいと思います。
主な理由は、利用者が多いため狙われやすい、簡単に操作できるためセキュリティ対策が不十分なことが多い、の2つです。
特に初めてWordPressに触れる人は、2つ目の理由については、しっかりと当事者意識と危機感を持っておくことが必要です。
ひとつひとつ、その理由について詳細を解説していきます。
利用者が多いため狙われやすい
WordPressは、ホームページを作成・更新するシステムとして世界No.1のシェアを誇ります。
したがって攻撃者のターゲットにされやすいのが大きな特徴になります。
多くの人に利用されているシステムということは、それだけ攻撃者にとって脆弱性を突くためのノウハウもたくさん存在するということです。
実際に、WordPressのシステムにはこれまでにもいろいろな種類の脆弱性が発覚しています。
そのたびに大規模な被害も出ており、WordPressでサイト・ブログを運営している人にとっては、悪意ある第三者から攻撃を受けることは決して他人事ではないのです。
WordPressでサイトやブログを運営する際には、最低限サイバー攻撃やセキュリティに関して知識を持ったうえで、最新の対策を講じる必要があるといえるでしょう。
セキュリティ対策が不十分なことが多い
WordPressでセキュリティ対策が重要なのは、WordPressはある程度誰でも簡単に操作ができるからです。
WordPressはCMSとして非常に使いやすい設計になっており、ホームページを作成したことがない人でも比較的直観的に操作できるのが利点です。
しかしこれは一方で、弱点にもなり得ます。
誰でも簡単に扱えるということは、その分IT知識が不十分な管理者も多いということです。
そのような管理者が運営するサイトは、セキュリティ対策が徹底されていないことも多いのです。
セキュリティ対策が不十分なサイトやブログは、攻撃者にとって格好の的です。
サイトが改ざんされたり、ウイルスをばらまくための踏み台にされたりする可能性は高まります。
したがって、「ITに詳しくないためWordPressではセキュリティ対策で何をすれば良いのかわからず、結果として何もしないまま放置している」という状態のサイトは大変危険です。
WordPressのサイト運営初心者でも対策できることは多数あるため、まずはできる対策から始めて、サイトのセキュリティをより強固にしていく必要があります。
WordPressにおけるサイバー攻撃の事例
WordPressを狙ったサイバー攻撃の事例は珍しくありません。
ここでは、主な被害の事例として、ピングバック機能の悪用と、REST APIの脆弱性の2つを紹介していきます。
いずれも大きな被害が確認された攻撃のため、危機意識を高めるためにも、あらかじめ理解を深めておきましょう。
Pingback機能の悪用(2014年)
2014年には、WordPressにおけるPingback機能を悪用したサイバー攻撃が確認されました。
この機能はサイト間の通知とも呼ばれる機能のことで、他サイトの記事URLを自サイトに貼ると、そのことを知らせる通知が当該サイトに行くのが特徴です。
もっとも、この通知を受け取るには通知をWordPress内の設定を許可しておく必要があるのですが、基本的にこのPingback機能の許可はデフォルトでONの状態になっています。
そして攻撃者はこの機能を悪用し、特定のサイトをダウンへと追い込んだのです。
まず攻撃者はWordPressで作られたサイトを踏み台にしたうえで、大量のPingbackを特定のサイトに対して送信しました。
この送信件数は1秒あたり数百件にも及ぶ数で、Pingbackという基本機能が悪用されたという点で当時は大きな注目を集めました。
REST APIの脆弱性(2017年)
2017年には、WordPress4.7の「REST API」の脆弱性を突いた大規模なサイバー攻撃が行われました。
この脆弱性は簡単に言うと、攻撃者が特定のリクエストを送ることで、サイトの改ざんができてしまう内容のものでした。
本来権限のないユーザーでも、このリクエストの送信さえすれば、誰でも簡単にコンテンツを改ざんすることが可能な状態だったのです。
この攻撃により被害を受けたサイトは155万件にも及びます。
WordPress公式は脆弱性の修正対応を迅速に行いましたが、結果として出てしまった被害件数は決して少ないものではありませんでした。
もちろんこれら以外にも、WordPress関連のサイバーテロの事例は存在します。WordPressのログインID・パスワード流出に伴うサイト乗っ取りなどは、今も世界中のあちらこちらで起きているといえるでしょう。
せっかく作ったサイトを脅威にさらさないためには、このような被害事例について理解を深めたうえで、対策をできる限り強化していくことが重要と考えられます。
WordPressのおすすめのセキュリティ対策5つ
WordPressで作成したサイトやブログを攻撃者から守るためには、しっかりとセキュリティ対策を強化しておくことが重要になります。
セキュリティ対策と聞くと難しい印象を受けるかもしれませんが、実際のところ、初心者でも実践できる対策はたくさんあります。
ちょっとした対策でもセキュリティ強化には十分につながるため、まずはできることから始めていくことが大切です。
今からできる主な基本対策としては、以下のようなポイントが挙げられます。
いずれの対策も、安心してサイトを運営していくには必要になります。
どれも比較的簡単に実践できるため、それぞれの対策における重要な点を整理していきましょう。
パスワードをより強固なものにしておく
まず大事にしたいのは、WordPressにおけるパスワード管理の徹底です。
パスワードは保護の強度を上げるために、簡単な文字列のものは絶対に控えるようにしましょう。
誰にでも推測できるようなパスワードは、攻撃者によってすぐに読み取られてしまいます。
攻撃者はプログラムを使い、想定されるパスワードを総当たり方式で試してきます。
読み取られやすい文字列だと、すぐに突破されてしまうでしょう。
WordPressにおいても、パスワードで避けるべき文字列は、各種サービスにおけるパスワードの考え方と同様です。
- 何らかの日付(誕生日・会社設立日・ブログ開設日など)
- 意味のある単語(wordpress・blog・サイト名・管理者名など)
- なじみある数字の並び(電話番号の下4桁など)
- 同じ数字やアルファベットが連続している(1111・aaaaなど)
- よくある数字やアルファベットの並び(1234・abc・aiueoなど)
- IDとパスワードが同じ
例えばこのような文字列は控えるべきです。
WordPressで構築されたサイトは、サイトURLの後ろに「wp-login」と付け足せば、基本的に誰でもログイン画面にたどり着くことができるのが特徴です。
攻撃者はそういった事情ももちろんわかっているため、ログインの機会を与えやすいのもWordPress運用におけるリスクの一つといえるでしょう。
そういったリスクがある中でわかりやすいパスワードを設定しているのは非常に危険です。
アルファベット(大文字も小文字も)、数字、記号を上手に組み合わせて、強固なパスワードで管理を行っていきましょう。
使っていないプラグイン・テーマを削除する
サイト運営を行っていると、使っていないプラグインやテーマがWordPress内に残ったままになることがしばしばあります。
いずれも無効化されている状態であれば現状のサイトに影響は出ないため、多くの人は使っていないプラグインやテーマの処理を後回しにしてしまいがちです。
しかし使っていないプラグインやテーマは、できるだけ早めに削除するのが望ましいでしょう。
それは、万が一プラグインやテーマに不具合や脆弱性が確認されたとき、サイトにプラグインやテーマが残ったままだと、サイバー攻撃の対象になる可能性があるためです。
テーマとプラグインは定期的に整理し、使っていないものは削除するように心がけましょう。
プラグイン・テーマを最新バージョンへアップデートする
プラグインやテーマについては、常に最新のバージョンを利用するようにしましょう。
というのも、バージョンが古いと、最新で確認されている不具合や脆弱性に対応できない可能性があるためです。
各テーマやプラグインでは、不具合が確認されると、提供元が都度修正を行ったうえで最新バージョンの配布を行います。
実際にWordPressも、前述のREST APIの脆弱性については、被害が出た際に即刻アップデートの対応を実施しています。
WordPressのシステムや利用中のテーマ、プラグインが最新版になっているかどうかは、ダッシュボードの「更新」のメニューから確認できます。
最新バージョンのデータが配布されているときもここで確認ができるため、サイトを運営していく際にはこまめに確認するようにしましょう。
セキュリティに特化したプラグインを導入する
WordPressのセキュリティ対策は、まずセキュリティに特化したプラグインを導入することから始めるのをおすすめします。
プラグインなら簡単に導入できて、かつ高品質なセキュリティ体制を構築できるのが利点です。初心者にもおすすめの対策といえるでしょう。
セキュリティ対策に役立つ人気のプラグインには、主に以下のようなものが挙げられます。
- SiteGuard WP Plugin
- Akismet Spam Protection
- iThemes Security
SiteGuard WP Pluginは、セキュリティ分野において有名なプラグインなので積極的に導入することをおすすめします。
管理画面へのアクセス制限やログイン画面(wp-login.php)のURL変更機能、ログインの際の画像認証機能などが主に備わっています。
導入するだけでさまざまなセキュリティ対策ができるのがポイントです。
Akismet Spam Protectionも人気の高いセキュリティ系プラグインです。
ページに寄せられるコメントに対して、スパムかどうか判断してくれる機能を持っています。
コメントを許可している場合は、積極的に導入を行っておきましょう。
iThemes Securityも、さまざまな観点からセキュリティ対策ができるおすすめのプラグインになります。
サイトのセキュリティチェックやデータベースのバックアップ機能、ログイン時間指定機能、パスワードの総当たり攻撃のブロック機能などが利用可能です。
プラグインは難しい操作は必要なく、基本的には設定を必要に応じて変えるだけでセキュリティ対策ができるため、積極的に取り入れておきたい対策の一つといえるでしょう。
管理画面へアクセス制限をかける
WordPressはログイン画面・管理画面のURLが簡単に推測できてしまうという性質があるため、アクセス制限を積極的にかけておくことをおすすめします。
wp-login.phpのログイン画面にアクセス制限をかけるには、まずWordPressをインストールしているディレクトリから「.htaccess」ファイルをダウンロードしましょう。
具体的には、サーバーにアクセスしたうえで、「/ディレクトリ名/.htaccess」と入力するとダウンロードができます。
その後はファイルをテキストエディタ(メモ帳)などで開きましょう。そのうえでファイル内には、以下のように記述してください。
<Files wp-login.php> Order deny,allow Deny from all Allow from 〇〇〇.〇〇〇.〇〇〇.〇〇〇(※サイトにログインする環境のIPアドレス) </Files>
この内容だと、上の固定IPアドレスでアクセスを許可できるようになります。
その後はファイルを保存し、契約しているサーバーのファイルマネージャー等で上書きすれば設定は完了です。
なお、契約しているサーバーによっては、マイページのメニューなどから簡単に「.htaccess」ファイルの設定ができる場合もあります。
わからないときは、まずサーバーの設定を確認してみましょう。
もしくは、前項で紹介してきたようなセキュリティ系のプラグインでもアクセス制限の設定は可能なため、難しい場合はプラグインを使うのもありです。
まとめ
今回は、WordPressに必要なセキュリティ対策について解説しました。
WordPressではさまざまな観点からセキュリティ対策を行い、強固な保護体制を構築していくことが重要になります。
CMSとしてシェア率が高いWordPressは攻撃者からターゲットにされやすく、特にセキュリティ対策が不十分な初心者のサイトはリスクが高いといえます。
不正アクセスや改ざんの被害を受ければ、重大な機密情報やその他個人情報などが外部へ流出してしまう可能性もあります。
大きな被害につながる前にセキュリティ対策を強化し、安全なサイト・ブログ運営を行っていきましょう。
誰でも10分!WordPressブログの始め方
ブログを始めるには、ライブドアブログやはてなブログといった無料ブログを使う方法、あるいはWordPressなどを使用する方法があります。
まだWordPressを持っていない人でも、簡単に準備できる方法を以下の記事で解説してます。
初心者でもわずか10分で始められるので、参考にしてみてください。
合わせて読みたい
【完全ガイド】誰でも10分!WordPressブログの始め方
独自ドメインを取得するなら「お名前.com」
「お名前.com」は、国内No.1のドメイン登録サービス。独自ドメインと合わせて、WordPressの自動インストールに対応したレンタルサーバーも利用できます。
WordPressや独自ドメインを一度も使ったことのない人でも、スムーズに始められるはず。
独自ドメインを取得しようと考えている方は、以下のリンクから、ぜひご利用ください。