ブラウザ上で簡単にサイトの運営・管理ができる「WordPress」。
その利便性から世界中のサイトで利用されていますが、同時に不正アクセスやハッキングなどのリスクもはらんでおり、被害の報告が後を絶ちません。
ですが、WordPressには管理者自身でおこなえるセキュリティ対策が数多くあり、適切な対策を行えばリスクを低減することが可能です。
今回はWordPressに潜む危険性や、WordPressが狙われやすい理由を解説します。
さらに、具体的なセキュリティ対策とおすすめのプラグインをご紹介しますので、ぜひ最後までご覧ください。
WordPressに潜む危険性とは
ブルートフォースアタック
「ブルートフォースアタック」とは、WordPressの管理画面に入るためのパスワードを総当たりで試してログインしようとする攻撃。
原始的な手法ですがWordPressでは有効な手段であり、現在でも使われています。
SQLインジェクション
「SQLインジェクション」とは、ウェブサイトやアプリケーションのデータベースに対してSQL文を送り、データベースを不正に操作できるようにする攻撃です。
WordPressでSQLインジェクションを受けると、WordPress上にあるデータが盗まれたり破壊されたりする危険性があります。
バッファオーバーフロー攻撃・Dos攻撃
「バッファオーバーフロー攻撃」はコンピューターに対して、「Dos攻撃」はサーバーに対しておこなわれる攻撃方法です。
コンピューターやサーバーの処理能力を超える大量のデータを送りつけて、誤作動やサーバーダウンを引き起こさせます。
なぜWordPressが狙われるの?
理由1:オープンソースだから脆弱性が見つかりやすい
WordPressは、ソースコードが無償で一般公開されている「オープンソース」のサービスです。
そのため脆弱性を見つけやすく、攻撃もしやすくなっています。
理由2:利便性を追及したCMSだから
WordPressはHTMLやCSSといった専門知識がなくてもWEBサイトを製作できるCMS(Contents Management System)です。
ソフトウェア内部の詳しい構造を知らなくても利用できるという利点が、攻撃者からも利点となります。
攻撃側がWordPress内部にランサムウェアやスケアウェアといった「マルウェア」を仕掛けた場合を想定すると分かりやすいでしょう。
サイトの管理者に専門知識がないと対策を講じることができなかったり、そもそも感染に気付かない可能性があるのです。
またWordPressをはじめとしたCMSは、サイトの管理画面がネット上にあります。
ネット上からWordPressにログインするためには、専用のURL・ユーザー名・パスワードの3つが必要です。
逆に「URL・ユーザー名・パスワードの3つだけで誰でもログインできる」ということ。
手軽にログインできるのも、WordPressが狙われやすい理由のひとつといえます。
理由3:利用しているユーザーが多い
WordPressはオープンソースCMSということもあって、世界中で利用されているサービスです。
WordPressに脆弱性が見つかった場合、そのひとつの脆弱性を悪用して「WordPressを利用している全サイト」を攻撃することができてしまいます。
つまり攻撃者は無駄なく効率的に攻撃できるのです。
事前準備!WordPressのバックアップを取ろう
WordPressでセキュリティ対策をおこなう際は、事前に「データベース」と「テーマファイル」のバックアップを取ることをおすすめします。
特にHTMLやCSSといった専門知識がない方は必ずバックアップを取るようにしてください。
バックアップを取っておけば、たとえセキュリティ対策の導入が上手くいかなかった時でも、簡単に復旧できます。
また、バックアップを取ること自体がセキュリティ対策にもつながります。
「BackWPUp」というプラグインを使えば、データベースやテーマファイルだけでなく画像ファイルやプラグインもバックアップ可能です。
WordPressでできるセキュリティ対策法
ユーザー名を変更する
WordPressをはじめて利用する際、ログインアカウントのユーザー名はデフォルトで「admin」に設定されています。
- 1
- 2