【放置は危険!】WordPressの脆弱性を防ぐ最低限セキュリティ対策

  • 担当:桜井ゆかこ
  • 投稿日:2021年07月19日

[wp-svg-icons icon="pencil" wrap="i"]この記事のまとめ

 

今回は、最低限行っておきたいWordpressのセキュリティについてご紹介します。
最初にセキュリティ対策を行わないと起こりうる危険や、サイトのどこが狙われるのかについて書いています。
そして、セキュリティ対策として、ログイン画面対策4選こまめな更新が重要という内容になっています。

 

こんにちは!
アクセルパートナーズのスタッフ桜井です。

今、ご覧の人はWordpressでサイトを運営していらっしゃる、あるいはこれから始めようと思っていらっしゃるのではないでしょうか。

自社で設置しているウェブサイトのセキュリティを不安に感じたことはありませんか?
このままじゃまずいかもと思っていても、慣れていないウェブサイトの運営で、下手なことして変な風になったら嫌だ、何をしていいか分からない、と途方に暮れてしまいますよね。

実はアクセルパートナーズも、自社サイトのセキュリティをがちがちに組む努力をするより、サービスの質の向上に重きを置いていたという事情がありました。

しかし最近、オリンピックによって日本への注目が集まった影響もあって、Wordpressサイトへの攻撃が増加していると話を聞き、セキュリティの再確認を行うことになりました。

WordPressはコンテンツの更新・管理が容易、カスタマイズがしやすい、費用が抑えられるなど初心者にも使い勝手がよく、多くの人々が使っています。その分、セキュリティ面が心配という点があります。

今回は、サイトの利便性を下げず、運用状況にあうものは採用する方針に沿って導入しているセキュリティ対策をご紹介したいと思います。

[word_balloon id=”unset” src=”https://www.listing-partners.com/wp/wp-content/uploads/2020/12/a4ec9d9fe2e966b3ac8e10b381502576-e1608093167813-150×150.png” size=”M” position=”L” name_position=”under_avatar” radius=”true” name=”桜井” balloon=”talk” balloon_shadow=”true”]Wordpressで作った自社サイトのセキュリティが不安、という方はぜひ確認してみてください![/word_balloon]

疑問:Wordpressのセキュリティを考えないと何がまずい?

そもそも、Wordpressのセキュリティ対策しないと、何がまずいのでしょうか。
まずはその点から見てみたいと思います。

セキュリティ対策をしないと起こりうること

調べた限りで分かった危険性を以下にまとめました。

[wp-svg-icons icon="pencil" wrap="i"]Wordpressのセキュリティ対策が脆弱だと起こりうること

 

[wp-svg-icons icon="checkmark-2" wrap="i"]ウイルスなどのマルウェア埋め込みが行われる
[wp-svg-icons icon="checkmark-2" wrap="i"]個人情報の漏洩が起こる
[wp-svg-icons icon="checkmark-2" wrap="i"]パスワードをはじめとするログイン情報の変更が勝手に行われ、自社サイトにログインできなくなる
[wp-svg-icons icon="checkmark-2" wrap="i"]URL・ドメインの変更をされてしまう
[wp-svg-icons icon="checkmark-2" wrap="i"]データ消去・サイト自体の消去がされる
[wp-svg-icons icon="checkmark-2" wrap="i"]記事の削除・書き換え・投稿をされてしまう
[wp-svg-icons icon="checkmark-2" wrap="i"]不正なリンクの挿入がされる

 

このような被害を起こさないためにも、Wordpressのセキュリティを確認していきたいと思います。

サイトが狙われる2つのルート 管理画面・本体&プラグイン

上記のような被害は、どういう風に起きてしまうのでしょうか。サイトが狙われるルートは以下の2つの事例をよく見かけました。

[wp-svg-icons icon="pencil" wrap="i"]サイトが狙われる2つのルート

 

[wp-svg-icons icon="checkmark-2" wrap="i"]WordPressの管理画面へ不正アクセスされる
[wp-svg-icons icon="checkmark-2" wrap="i"]WordPressの本体やプラグインなどの脆弱性をついて攻撃される

[word_balloon id=”unset” src=”https://www.listing-partners.com/wp/wp-content/uploads/2020/12/a4ec9d9fe2e966b3ac8e10b381502576-e1608093167813-150×150.png” size=”M” position=”L” name_position=”under_avatar” radius=”true” name=”桜井” balloon=”talk” balloon_shadow=”true”]もちろん、攻撃される点はこの2つだけに限りませんが、管理画面と更新に気を配れば、大部分の攻撃を防ぐ対策になります!初心者の方は必ず確認していただきたいです。[/word_balloon]

1.WordPressのログイン画面を確認

WordPressのログイン画面を初期設定から変更していない場合、自社のHPのURL(サイトドメイン)に/wp-login.phpまたは/wp-adminをつけると、誰でも管理画面のログインページへ飛ぶことができてしまいます
これはWordpressの利用者ならば多くの人が知っていることです。
ログイン画面に容易にたどりつけるということは、例えば総当たり攻撃を受け、不正アクセスされる可能性が格段に上がってしまうなど、大変危険な状態といえます。
逆に、侵入さえさせなければ、大半の攻撃を防ぐことにも繋がるのです。

不正ログイン対策として、以下の4つの方法を組み合わせて導入するのがおすすめです。採用すればするほど、よりセキュリティを強固にすることができます。

[wp-svg-icons icon="pencil" wrap="i"]ログイン画面に入らせない!4つの方法を組み合わせてセキュリティ対策

 

[wp-svg-icons icon="checkmark-2" wrap="i"]ログインURLを変更する
[wp-svg-icons icon="checkmark-2" wrap="i"]パスワードを複雑にする
[wp-svg-icons icon="checkmark-2" wrap="i"]二段階認証を採用する
[wp-svg-icons icon="checkmark-2" wrap="i"]ログインの回数制限を行う

 

今すぐ変更!ログインURL

1番にやっていただきたいのが、ログインURLの変更です。最低限、この変更をやっておくだけで、危険性はかなり軽減されます。
プラグインを入れることで、ログインURLを簡単に変更することができます。 プラグインのなかにはログインURLを変更するだけのシンプルなものから、ログインURLの変更をはじめとして、様々な機能が入ったものまで様々な種類があります。 当社では、色々調べたなかで、SiteGuard WP Pluginというプラグインが自社の運用状況との兼ね合いも良さそうだったので、これを導入しました。

SiteGuard WP Pluginでは、ログインURLの変更はもちろん、画像認識の導入、ログイン失敗を繰り返す接続を一定期間ロックする機能などがあります。このプラグインを選んだのは、多くの人が利用しているため使い方の解説もネット上に豊富なことや、システムに詳しくない人間でも扱える設定の量という点などが主な理由です。

[word_balloon id=”unset” src=”https://www.listing-partners.com/wp/wp-content/uploads/2020/12/a4ec9d9fe2e966b3ac8e10b381502576-e1608093167813-150×150.png” size=”M” position=”L” name_position=”under_avatar” radius=”true” name=”桜井” balloon=”talk” balloon_shadow=”true”]パスワードを複雑にしたり、二段階認証を採用することも、プラグインを利用して簡単に導入することができます。
運用状況にあったプラグインを探してレビューを確認し導入するのがおすすめです![/word_balloon]

2.WordPress・テーマ・プラグインの定期的な確認

PCやスマホを使っていると定期的に「バージョンアップしてください」というような通知がくると思います。PCやスマホ本体を更新したり、アプリをアップデートしたりした経験はありませんか?
それと同様に、Wordpress、テーマ、プラグインなども更新があります。
更新によって、プログラムの脆弱性の修正が行われていることもあるので、こまめな更新が重要です。

この3つを更新する際、注意が必要なことがあります。それは、バックアップをとっておくことです。

バックアップをとっておかないと何が起こるのでしょうか。
特にWordpress自体やテーマの更新後にページを見てみたら、トラブルが起こったということが結構あります。
具体的には、データが消えていたり、レイアウトが崩れていたり、初期化されていたりなどのことがありうるのです。
この場合、バックアップをとっていれば、復旧も楽ですが1からとなると非常に手間がかかり大変です。

ちなみに、当社では、WordPressのバックアップはプラグインの「BackWPup」を利用しています。

WordPress、テーマ、プラグインそれぞれの更新についてもう少し詳しく解説したいと思います。

WordPress自体の更新

WordPress自体の更新では、小さいシステム改修と大きなシステム更新2つのアップデートがあります。
小さなシステム改修は基本的に自動で行われますが、大きなシステム改修は手動で行わなければなりません。

特に大きなシステム改修を含むアップデートを行う際は、投稿画面の仕様が変わることや、レイアウトが変わったり、崩れたり、それまでと使い勝手が変わることもあるので、バックアップをとりつつ、評判をみつつ、実施していくのがおすすめです。
自サイトで使っているテーマやプラグインがWordpressの最新バージョンに対応していないことで不具合が起きてしまう場合もあります。

テーマの更新

WordPressを使用する際、テーマを利用していると思います。テーマを入れると、簡単にサイトのデザインや構成を整えることができて便利です。
テーマでも、定期的に更新があり、バグの修正や新機能の追加があります。

ちなみにテーマを直接カスタムしている場合、内容が初期化されてしまうので子テーマを導入する必要があります。

プラグインの更新と整理

また、使っていないプラグインなどを放置しておくと、こちらもプログラムの脆弱性を攻撃されてしまうことがあるので、定期的な更新や整理を行っていきたいです。

まとめ

[wp-svg-icons icon="pencil" wrap="i"]今回のまとめ

 

今回は、最低限行っておきたいWordpressのセキュリティについてご紹介しました。
はじめにセキュリティ対策を行わないと起こりうる危険や、サイトのどこが狙われるのかについて書いています。
そして、セキュリティ対策として、ログイン画面対策4選とこまめな更新について言及しました。

 

【ログイン画面】
[wp-svg-icons icon="checkmark-2" wrap="i"]ログインURLを変更する
[wp-svg-icons icon="checkmark-2" wrap="i"]パスワードを複雑にする
[wp-svg-icons icon="checkmark-2" wrap="i"]二段階認証を採用する
[wp-svg-icons icon="checkmark-2" wrap="i"]ログインの回数制限を行う

 

【こまめな更新】
WordPress、テーマ、プラグインの更新

[word_balloon id=”unset” src=”https://www.listing-partners.com/wp/wp-content/uploads/2020/12/a4ec9d9fe2e966b3ac8e10b381502576-e1608093167813-150×150.png” size=”M” position=”L” name_position=”under_avatar” radius=”true” name=”桜井” balloon=”talk” balloon_shadow=”true”]分からないから放置した結果、不正アクセスされ、今まで更新してきたものを失う、あるいはユーザーの信用まで失ってしまうことに繋がりかねません。
今回ご紹介した対策は、すぐに導入できますので、自社のセキュリティ対策を見直してみてはいかがでしょうか。[/word_balloon]

]]>