WordPressはセキュリティ的にどうなのか
Webサイトを制作する際、セキュリティリスクやセキュリティ対策の有無について気になる方は多いでしょう。
全世界のウェブサイトの1/3以上が運営されているWordpressですが、セキュリティ的にどうなのか気になるでしょう。
そこでこの記事では、Wordpressのセキュリティには問題がないのか、セキュリティリスクや対策方法について詳しく解説していきます。
まずは、セキュリティ的にどうなのかについてですが、以下の3つの観点から詳しく見ていきたいと思います。
- WordPressはオープンソース
- プラグインに脆弱性がある
- 過去にセキュリティを突かれた事例も
WordPressはオープンソース
まずは、Wordpressはオープンソースであり世界中で利用されています。2022年時点でのCMSにおけるシェアは約64%と非常に高いです。
しかし、オープンソースは誰でも見ることができるだけでなく、修正や配信も行えてしまうことからハッキングの標的となりやすい傾向があります。
ハッキング被害の対象となりうる可能性があることをしっかりと理解したうえで、対策を行っていくことが重要となります。
プラグインに脆弱性がある
WordPressでサイトを制作する際、Wordpress特有の拡張機能であるプラグインを利用する人が多いのではないでしょうか。
Webサイトの運用において必要となるプラグインをインストールして追懐していくのですが、このプラグインには脆弱性があるということを前提として理解しておくことが必要です。
WordPressのプラグインは、だれでも作成・配信することができるため、セキュリティが不十分なものも配信されているのが現状となります。
さらに、マルチプラットフォームのセキュリティ会社SUCURIから、近年の脆弱なプラグインがマルウェア感染のリスクを高めていると発表されています。
WordPressの脆弱性をハッカーが発見しにくくなるよう日々アップデートが繰り返されているWordpress本体ですが、日々新しく誕生しているプラグインが原因でハッキング被害を受けてしまう可能性があることを理解しておきましょう。
過去にセキュリティを突かれた事例も
WordPressを利用しているユーザーの中には過去にセキュリティを突かれた事例もありますので、見ていきましょう。
- 悪意のある外部サイトへと誘導される状態となる
- メール送信機能を悪用され大量のスパムメール送信の踏み台にされた
上記の事例はどれも多くのユーザーが訪れる企業や官公庁などが運営するWebサイトで起こった事例です。
WordPressの脆弱なセキュリティを突かれた場合や、追加後に長年放置していた古いプラグインの脆弱性を突かれたものであることが原因となっています。
WordPress本体やプラグインのインストール・有効化には費用が掛からず比較的簡単に利用できることから、導入後は放置されてしまうケースも少なくありません。
ハッキングの被害によって大きな損害となってしまうだけでなく、企業への信頼を失ってしまう可能性もあることから、Web制作にはリスクを理解したうえでしっかりと対策を行っていく必要があります。
WordPressのセキュリティリスク
前述ではWordpressのセキュリティについて問題がないかを複数の観点から解説しました。
ここからは、さらに詳しくWordpressのセキュリティリスクについて理解していきましょう。
WordPressのセキュリティリスクとしては以下の3つが挙げられます。
- マルウェアへの感染
- 情報漏洩
- 情報改竄
マルウェアへの感染
まずは、マルウェアには以下の8つの種類があることを理解しておく必要があります。
- ウイルス
- ランサムウェア
- スケアウェア
- ワーム
- スパイウェア
- トロイの木馬
- アドウェア
- ファイルレスマルウェア
さらに、マルウェアに感染すると以下のような被害を受けることとなりますので、合わせて理解しておきましょう。
- パソコン内のデータの破壊
- 顧客情報・業務資料などの一部あるいはすべてが閲覧・使用不可となる
- 管理者権限を乗っ取られファイルサーバーやDBサーバー上のデータが破壊
これらのマルウェアの手口は年々巧妙化していますので、後程説明するWordpressのセキュリティ対策を理解し取り入れていきましょう。
情報漏洩
WordPressのセキュリティリスクとしても特に多いのが「情報漏洩」のリスクです。
制作したWebサイトや利用しているコンピュータ内には、氏名や住所だけでなくクレジットカードの情報や購入履歴など重要な個人情報が含まれている場合が多いです。
ハッカーはこれらの個人情報を盗むことを目的として仕掛けてくる場合があります。
企業や個人にとって重要となる情報が漏洩してしまえば、信頼を大きく失ってしまうだけでなく、顧客から損害賠償を請求される可能性もあるでしょう。
情報改竄
前述した、過去にセキュリティを突かれた事例においても紹介しましたが、ハッカーが企業のWebサイトをハッキングし「情報改竄」を行って悪意のある外部サイトへユーザーを誘導してしまうケースが多いです。
他にも以下のような手口によってWebサイト内の情報が改善されてしまうケースがあります。
- phpシート内の情報を改竄され、まったく別の内容をWebサイト上に表示させる
- サイト内に不正なコードを埋め込み、デザイン上は以前と変わらないがユーザーの情報が盗まれる
Webサイトを訪れたユーザーにとっては関係のないサイトや悪意のあるサイトへ突然飛ばされたり、気づかないうちに個人情報などが流出してしまったとなると企業へ対する信頼を失くしてしまうなど企業にとっては大きな損害となってしまいます。
やっておくべきWordpressのセキュリティ対策
WordPressのセキュリティリスクを理解したうえで、ここからはWordpressのセキュリティ対策について詳しく説明していきます。
やっておくべきWordpressのセキュリティ対策として以下の8つが挙げられますので、それぞれ導入していくことが重要となります。
- PCを最新に保つ
- WordPressバージョンを最新に保つ
- パスワードとユーザー名を設定する
- 不要なプラグインを削除する
- データベースへのアクセスを制御する
- WAFを導入する
- プラグインを使ってセキュリティ対策をする
- 自動更新を無効化しない
自社の重要な資料や個人情報の漏洩だけでなく、顧客の重要な情報の漏洩を防ぐためにもぜひ参考にしてください。
PCを最新に保つ
まずは、普段使用しているPCを最新に保つことが重要です。
WordPress自体を常に最新バージョンにしていても、使用するPCが古いバージョンのままでは脆弱性が高くハッカーの攻撃を防ぐことができません。
WindowsやMacのOSのアップデートは常に最新に保つようにしておきましょう。また、以下の普段お使いのブラウザのアップデートも実施し常に最新バージョンに保っておくことも、セキュリティリスクを軽減できますので最新となっているか確認が必要です。
- Windows Internet Explorer
- Google Chrome
- Firefox
WordPressバージョンを最新に保つ
PCと合わせてWordpress自体のバージョンも常に最新を保つようにしましょう。
WordPressには以下の2つのバージョン更新があり、どちらもアップデートを行うことが必要です。
| メジャーアップデート | マイナーアップデート | |
| 変更内容 |
|
|
| 範囲 | 広い | 狭い |
| 頻度 | 3か月~半年に1回 | 随時 |
マイナーアップデートは、不具合が発見され次第随時更新が必要となりますので、見落としや後回しにしがちですが、更新せずに放っておいてしまっては脆弱性を突かれてしまう可能性がありますので注意しましょう。
また、Wordpressバージョンの2種類についてはそれぞれ番号管理がされていますので、それぞれ以下の番号が最新になっているか確認し、必要であればアップデートを行いましょう。
- メジャーアップデート:冒頭の2桁で管理(バージョン2.9→3.0)
- マイナーアップデート:3桁目で管理(バージョン3.0.2→3.0.3)
WordPressにログインし管理画面の右側にある「Wordpressについて」から確認することができます。
また、アップデートについての最新情報は、管理画面の更新情報に表示されていますので、表示されている場合はバージョン更新を進めていきましょう。
バージョンアップのやり方については以下となり、実施後はWordpressサイトが正常に動作するかを確認しましょう。
- WordPressのバックアップを取得する
- 使用しているプラグインを停止する
- WordPressのバージョンを実施する
パスワードとユーザー名を設定する
WordPressでは、多要素承認がデフォルトで用意されていないため、ユーザー名とパスワードが狙われやすいです。
そのためパスワードとユーザー名を設定する場合には、第三者に分かりにくいものにすることが重要です。
独立行政法人情報処理推進機構(IPA)からの発表では、英数字・大文字・小文字を含めた6桁のパスワードは約5日で解除されてしまうことが明らかとされました。
しかし、10桁に増やすことで要する時間は1千万年と解除される確率が大幅に低減されるとも発表されています。
WordPressでは、10桁以上のパスワードを自動生成することもできますので、一度設定しているパスワードの見直しを行いましょう。
自動生成機能を使用せず、自分で設定する場合は漏洩チェッカーを導入することもおすすめです。
以下の記事「IT資産管理に必須!漏洩チェッカーでセキュリティ対策を強化しよう」では、WordpressだけでなくIT資産管理にも役立つ漏洩チェッカーについて詳しく紹介していますので、ぜひ一読してください。
不要なプラグインを削除する
前述の「プラグインの脆弱性」でも解説した通り、古いものやセキュリティが不十分だとPCやWordpress自体が最新であってもハッキングされてしまう可能性があります。
使用するプラグインはセキュリティ面において信頼できる必要最低限のもののみを残して使用しないものについては削除しましょう。
プラグインの管理画面から「無効化」「削除」を実施することができますが、ここで注意することは「無効化」ではなく「削除」を行うことです。
無効化は一時的にプラグインを停止する方法であり、プラグインのデータやサーバーにプラグイン情報が残ってしまいます。
無効化をしただけではセキュリティ対策となりませんので、必ず「削除」を行うようにしてください。
データベースへのアクセスを制御する
WordPressで重要性が高い「データベース」へのアクセスを制御することも、セキュリティ対策の一つです。
WordPress内の「wp-config.php」というシステムファイルには、Wordpressの基礎となる情報やデータベースにアクセスする情報が記載されています。
そこで「.htaccess」の一番上に下記のコードを追加して外部からの閲覧を制限しておきましょう。
<fire wp-config.php>
order allow,deny
deny from all
</files>
WAFを導入する
WAFとは、Web Application Firewallの略であり、WordpressなどのWebアプリケーションを保護するセキュリティ製品です。
WAFは以下の3種類があり、Wordpressとアクセスしたユーザー間の情報を1つずつチェックすることで不正アクセスやウイルス攻撃を防ぎます。
- アプライアンス型WAF
- ソフトウェア型WAF
- クラウド型WAF
どのWAFを導入するかは、Wordpressの希望や操作環境から適切なものを選びましょう。
各種類の概要やコストについては以下となりますので、ぜひ参考にしてください。
| 概要 | コスト | |
| アプライアンス型 | 専用のハードウェアを設置 | 高い |
| ソフトウェア型 | Webサーバーに専用のソフトウェアをインストール | 比較的 安い |
| クラウド型 | クラウドを使用 | 比較的 安い |
プラグインを使ってセキュリティ対策をする
WordPressで配信されているプラグインの中には、セキュリティを強化できるものもあります。
しかし、あまり考えずに追加してしまっては脆弱性のあるプラグインや悪意のあるプラグインをインストールしてしまいハッキング被害にあう可能性もあります。
配信されているプラグイン数も多いことから、どれをインストールしていいものか悩む人も少なくないでしょう。
セキュリティ情報だけでなく評価や口コミから選んでいくことが重要ですが、迷ってしまう場合には無料であり世界中で使用しているユーザーも多い「All In One WP Security & Firewall」を導入してみるといいでしょう。
「All In One WP Security & Firewall」では、データベースセキュリティや総当たり攻撃、スパム防止や二要素認証などさまざまなセキュリティリスクに対応した設定を行うことができます。
自動更新を無効化しない
WordPressには、本体・プラグインともに自動更新機能が備わっています。
- マイナーリリース時
- 翻訳ファイルの更新時
上記の2つを対象として自動更新が行なわれますが、この自動更新を無効化せず有効のまま設定しておきましょう。
まとめ
WordPressでのWebサイトの制作や運用を行ううえで理解しておきたいセキュリティリスクや対策について詳しく説明しました。
情報漏洩や改竄などの被害に合わないためにも、ここで紹介したセキュリティ対策を導入することをおすすめします。
自社における損害や顧客からの信頼喪失とならないためにも重要なポイントとなりますので、しっかり理解しておきましょう。
また、Wordpressを初めて使う方には以下の記事「初心者でもわかるWordPressの使い方|基本設定や記事投稿の方法を解説」で基本設定や記事投稿の方法を徹底解説していますので、併せて参考にしてください。
【SNSフォローのお願い】
kyozonは日常のビジネスをスマートにする情報を毎日お届けしています。
今回の記事が「役に立った!」という方はtwitterとfacebookもフォローいただければ幸いです。
twitter:https://twitter.com/kyozon_comix
