フリーランスから中小企業、大企業に至るまで、多くのビジネスパーソンがブログやWebサイトを立ち上げる際にはWordPressを活用しています。

しかしWordPressは、だれでも手軽に導入できる一方、セキュリティ面に関してはやや不安が残るソフトなのも実情です。

今回はWordPressのセキュリティ面について、最低限行っておきたいセキュリティ対策やおすすめプラグイン、セキュリティリスクをチェックできるツールなどを解説します。

弊社GIGではセキュアなWordPress構築について豊富な実績があります。WordPressのセキュリティに関してお悩みなら、お気軽にご相談ください。  
■実績紹介
■お問い合わせはこちら

WordPressにセキュリティ対策が必要な理由

まずはWordPressのセキュリティ面に関して、十分な対策が必要な理由を確認しておきましょう。

理由1. 世界中の人が使うオープンソースソフトである

WordPressは、世界中で利用されているオープンソースのCMSです。マーケティングリサーチを行っているW3Techsの調査によると、2023年1月時点でのCMSのマーケットシェア率において、WordPressは実に63.4％のシェア率を獲得しています。

・CMS：Contents Management Systemの略。サイトのコンテンツを構成するテキストや画像、デザイン、レイアウト情報（テンプレート）などをまとめて保存・管理するシステムのこと。

・オープンソース：ソフトウェアを構成しているプログラムである「ソースコード」を、無償で一般公開すること。誰でもそのソフトウェアの改良や再配布が行なえるようになり、世界中の有志たちにより継続的に改良され続ける効果がある。

しかし、悪意ある攻撃者からすると、ユーザーの多いシステムを狙ったほうが、ハッキングなどに成功する確率が高くなります。WordPress内に脆弱性をひとつでも見つければ、WordPressを利用しているWebサイトすべてを標的にでき、効率よくハッキングできるからです。

理由2. セキュリティ意識の低いユーザーが多く、狙われやすい

WordPressはオープンソースのCMSであると同時に、HTMLやCSSなどの専門知識がない方でも手軽にWebサイトの制作が可能なのが大きな特徴。インターネット初心者でも利用するハードルが低いソフトです。

しかし、それゆえにITリテラシーの低いユーザーが必要なセキュリティ対策を行っていないケースが多いのも事実です。

理由3. プラグインに脆弱性が潜んでいる

WordPressのプラグインとは、WordPress特有の拡張機能のことを指します。自分のサイトに必要だと思うプラグインをインストールし、有効化することで、WordPressに機能を追加できます。

プラグインは世界中のプログラマーたちが制作しているため、なかにはセキュリティ対策が不十分なものもあります。

実際、ソフトウェアの脆弱性情報を公開しているJapan Vulnerability Notesの「脆弱性対策情報データベース検索」を見てみると、WordPressに関してはプラグインの脆弱性の多さが確認できます。

WordPress自体はアップデートを繰り返しているので、脆弱性は少なくなってきている印象です。が、セキュリティ対策が不十分なプラグインは多いのが実情で、攻撃者はそこをターゲットにしてきます。

理由4. 管理画面がインターネット上にある

WordPressの管理画面である「ダッシュボード」は、インターネット上に存在しています。ユーザーはこのダッシュボードを通じて、記事の投稿やHTML、CSSの修正などを行います。

しかし、インターネット上にあるということは、ダッシュボードへのログインページとユーザー名・パスワードがわかれば、誰でもログインができるということでもあります。

ログインページのURLが初期設定のままだと、ログインに必要な情報を簡単に推測されてしまうでしょう。

WordPressへの攻撃事例

WordPressがセキュリティの脆弱性を突かれて攻撃されてしまうと、どのような被害を受けることになるのでしょうか。

ここでは、実際に想定される被害内容を解説します。

事例1. 詐欺サイトへの自動転送

WordPress内に自動転送プログラムなどが組み込まれてしまうと、運営しているサイトを訪れたユーザーが、勝手に詐欺サイトなどに転送される事態が発生します。

見るからに詐欺サイトだと判断できるページへ転送された場合だと、そのサイトの信用はガタ落ちするものの、実際に詐欺にあう被害は少ない傾向にあります。

しかし、これが該当するサイトそっくりに作られた詐欺サイトに転送された場合、訪れたユーザーは何の疑いもなく個人情報を登録してしまう可能性が高いです。

そうなると、詐欺サイト経由で個人情報が盗み取られ、さらに悪質なサイトへ誘導されてしまったり、ウイルスへ感染したりといった大問題に発展する可能性も考えられます。

事例2. コンテンツの改ざん

WordPress内に特定のWebサイトなどにDDoS攻撃（そのサイトが処理できない大量のアクセス要求を行い、サービスを停止させる攻撃）を自動で仕掛けるようプログラムを仕込まれれば、自分のサイトが犯罪の踏み台にされる被害が考えられます。

また運営者情報を悪意のある内容に書き換えたり、コンテンツを面白おかしく適当なものに書き換えたりといった、イタズラ感覚で行われる改ざんの被害にあうリスクもあります。

他にも、広告を配置しているWebサイトの場合、本来なら運営者が管理している広告が表示される部分が、不正アクセスを行った第三者の発行した広告に差し替えられ、サイト運営者の収益が奪われる被害も発生しています。

事例3. スパムメールの配信元に

WordPressのセキュリティが脆弱だと、メール送信プログラムを埋め込まれる攻撃を受けてしまう恐れがあります。

この攻撃を受けると、不特定多数のメールアドレス宛に、勝手に大量のスパムメールが送信されてしまいます。

このような攻撃は、おもに問い合わせフォームなどのプラグインで発生するのですが、WordPressのコメントフォームを対象にする場合もあり、注意が必要です。

WordPressのセキュリティ対策5選

WordPress自体も、定期的に脆弱性やセキュリティ対策のためのアップデートを行っていますが、アップデートだけでは完全に悪意のある第三者からの攻撃を防ぐことはできません。

ここでは、最低限必要なWordPressのセキュリティ対策を5つ解説します。ここで紹介するものだけでも、まずは取り入れることをおすすめします。

対策1. ユーザー名やパスワードを推測されにくくする

WordPressの管理画面「ダッシュボード」にログインするためのユーザー名・パスワードは、それぞれ推測されないよう複雑にしておきましょう。

よくあるのが、ユーザー名とニックネームを同じにしていたり、パスワードを誕生日などわかりやすいものにしていたりするケースです。これでは簡単に情報が盗まれ、不正ログインを許すことにつながります。

WordPressのセキュリティを高めるためには、面倒がらずに定期的にパスワードを変更することがおすすめです。また、複雑なパスワードを自動生成してくれるツールの活用も検討しましょう。

対策2. 不要なテーマやプラグインは削除する

使っていないテーマやプラグインは、なるべく削除する癖をつけましょう。使用していないテーマやプラグインは、攻撃に利用されるリスクがあるためです。

「わざわざ削除しなくても、無効化しておけばいいでしょ」と思われるかもしれません。しかし、無効化したテーマやプラグインが攻撃に利用されるケースもあるため、無効化ではなく「削除」が必要です。

テーマやプラグインの削除は、WordPressの管理画面から簡単にできます。使っていないテーマやプラグインがないか、定期的にチェックするようにしましょう。

対策3. テーマやプラグインは最新の状態にする

WordPressのテーマやプラグインは、古くなるにつれてセキュリティの脆弱性が増していく傾向にあります。テーマやプラグインには定期的にアップデートを行い、常に最新の状態を保つことが求められます。

WordPressには、テーマやプラグインを自動更新してくれる機能がついていますが、アップデートによってセキュリティ面で新たな脆弱性が発生したり、セキュリティ以外の機能面が改悪される可能性もあるのが実情です。

基本的には最新の状態に更新することがセキュリティ対策になるものの、余裕があればアップデート内容をチェックし、公式サイトやSNSなどでアップデートに関する警告などがないかを確認することをおすすめします。

対策4. 外部から重要なファイルにアクセスできないようにする

WordPressでは、管理画面などにある重要なファイルに外部からアクセスできてしまう恐れがあります。そのため、なるべくデータやファイルに外部からアクセスできないようにしておくことが大切です。

その対策として有効なのは、FTPソフトで設定できる「ファイルの属性（パーミッション）」を「400」にしておくことです。

しかし、利用しているレンタルサーバーによってはパーミッションを「400」に変更できないことがあります。その場合は、サイトの所有者のみが読み取りと書き取りができる「600」というパーミッションを設定することもできます。実際、WordPressでは「600」の値が推奨されています。

またWordPressの中には「wp-config.php」というシステムファイルがあり、このファイルにはデータベースに接続する情報やWordPressの基礎となる情報が記載されています。つまり、WordPressの中でも重要度の高いファイルです。

外部から「wp-config.php」へのアクセスを阻止することで、情報漏えいやWebサイトの改ざんリスクを軽減できます。レンタルサーバーの設定などを見直し、外部からのアクセスを遮断するようにしましょう。

対策5. セキュリティ対策用のプラグインを導入する

WordPressのプラグインには、無料でもセキュリティを強化できるものがいくつかあります。

しかし、脆弱性が含まれているプラグインをインストールしてしまうと、逆にセキュリティを低下させてしまう恐れがあります。レビューなどを参考にして、安心して使えるセキュリティ対策プラグインを選択するように心がけましょう。

WordPressのセキュリティ対策におすすめのプラグイン

WordPressの強みは、オープンソースゆえの豊富なプラグインです。もちろんセキュリティ対策用のプラグインも例外ではなく、無数のプラグインをインストールすることができます。

ですが、「セキュリティに不安があるから」とあれもこれもインストールしてしまうと、サーバーの容量がいっぱいになり、サイトが重くなることも。また、セキュリティ対策プラグインをたくさんインストールすれば、セキュリティが強固になるわけでもありません。

ここでは、セキュリティ対策用におすすめのプラグインを厳選して紹介します。

1. All In One WP Security & Firewall

▲出典：All In One WP Security & Firewall

All In One WP Security & Firewallは、WordPressの総合的なセキュリティ対策機能を備えているプラグインです。WordPressへの攻撃が不安な方は、まずこのプラグインを使えばセキュリティ面での不安を軽減することができるはずです。

世界中でインストールされている定番のプラグインなので、信頼性も抜群。ただ、All In One WP Security & Firewallの設定はすべて英語表記のため、英語が苦手な方は少々使いづらいかもしれません。

All In One WP Security & Firewallでできることは、以下の通りです。

・WordPress管理画面のログインページURLの変更
・ログイン情報の入力にCAPTCHAを追加
・データベースのセキュリティ対策
・「.htaccess」ファイルへの外部からのアクセス拒否
・ファイルのアップロードサイズ制限
・スパムメール防止

また、海外からのWordPress管理画面へのアクセスを遮断できるのも、導入メリットのひとつとなります。

2. SiteGuard WP Plugin

▲出典：SiteGuard WP Plugin

SiteGuard WP Pluginは、WordPressの管理画面とログインページの保護を目的としたプラグインです。日本語に対応しているので、英語が苦手な方にとっても使い勝手の良いプラグインといえます。

SiteGuard WP Pluginでできることは、以下の通りです。

・WordPress管理画面のログインページURL変更
・ログイン情報の入力に画像認証追加
・WordPress本体やプラグインのアップデート情報をメールにて配信

3. Google Authenticator

▲出典：Google Authenticator

Google Authenticatorは、不正アクセス防止対策を強化したい場合に導入すべきプラグインです。具体的には、「二段階認証」を導入できる点が大きなメリットです。

二段階認証とは、ユーザーID・パスワードのほかに、セキュリティコードを追加するシステムのことを指します。

二段階認証を導入しておくことで、仮にユーザーID・パスワードが外部に漏れた場合も、管理画面への不正アクセスを防止することに役立ちます。

WordPressのセキュリティリスクをチェックできるツール

WordPressのセキュリティリスクについては、かんたんなチェックを無料で行ってくれるツールがいくつかあります。ここでは、簡易チェックによく使われる代表的なツールを2つ紹介します。

1. WPScans.com

▲出典：WPScans.com

WPScans.comは、チェックしたいWordPressで作成されたWebサイトのURLを入力し、ボタンを押すだけでかんたんなチェックを無料で行ってくれます。

診断結果に、「Your WordPress website is safe !」と表示されたら特に問題はありません。ただし、より詳細な診断結果を確認したい場合は、有償サービスを活用することになります。

かんたんにリスクを点検したい場合、ここをクリアできれば問題ないでしょう。

2. WPdoctor

▲出典：WPdoctor

WPdoctorは、WPScan.comと異なり、無料でもかなり詳細な診断をしてくれるセキュリティチェックツールです。

こちらも使い方は非常にシンプル。WPdoctorを開き、少し画面下にスクロールします。「下の欄に調べたいワードプレスサイトのトップディレクトリを入力してください」と記載されているので、そこにチェックしたいURLを入力して「サイトを検索」ボタンを押すだけ。

診断結果には、緊急対応を要する項目と、注意が必要な項目とがそれぞれ表示されます。これらにひとつずつ対応していくことで、高度なセキュリティ対策が実現できるはずです。

WordPressのセキュリティ対策はGIGにお任せください

情報漏えいやウイルス感染などは絶対に起こしてはいけません。起こさないためにも予算や計画はしっかりと立て、セキュリティ対策はまんべんなく実施する必要があります。

しかし「本当に必要で効果的なセキュリティ対策はなんなのか」という判断は正直難しい部分でもあります。WordPressのセキュリティ対策について少しでも疑問点がある場合には、ぜひGIGにご相談ください。

セキュアなWordPress構築には自信があり、数多くのサイト制作でWordPressの利点を活かしながら高度なセキュリティ対策を施してきました。

無料相談から承っていますので、ぜひ一度お問い合わせください。

GIG BLOG編集部

株式会社GIGのメンバーによって構成される編集部。GIG社員のインタビューや、GIGで行われたイベントのレポート、その他GIGにかかわるさまざまな情報をお届けします。