ブラウザ上で簡単にサイトの運営・管理ができる「WordPress」。
その利便性から世界中のサイトで利用されていますが、同時に不正アクセスやハッキングなどのリスクもはらんでおり、被害の報告が後を絶ちません。
ですが、WordPressには管理者自身でおこなえるセキュリティ対策が数多くあり、適切な対策を行えばリスクを低減することが可能です。
今回はWordPressに潜む危険性や、WordPressが狙われやすい理由を解説します。
さらに、具体的なセキュリティ対策とおすすめのプラグインをご紹介しますので、ぜひ最後までご覧ください。
WordPressに潜む危険性とは
ブルートフォースアタック
「ブルートフォースアタック」とは、WordPressの管理画面に入るためのパスワードを総当たりで試してログインしようとする攻撃。
原始的な手法ですがWordPressでは有効な手段であり、現在でも使われています。
SQLインジェクション
「SQLインジェクション」とは、ウェブサイトやアプリケーションのデータベースに対してSQL文を送り、データベースを不正に操作できるようにする攻撃です。
WordPressでSQLインジェクションを受けると、WordPress上にあるデータが盗まれたり破壊されたりする危険性があります。
バッファオーバーフロー攻撃・Dos攻撃
「バッファオーバーフロー攻撃」はコンピューターに対して、「Dos攻撃」はサーバーに対しておこなわれる攻撃方法です。
コンピューターやサーバーの処理能力を超える大量のデータを送りつけて、誤作動やサーバーダウンを引き起こさせます。
なぜWordPressが狙われるの?
理由1:オープンソースだから脆弱性が見つかりやすい
WordPressは、ソースコードが無償で一般公開されている「オープンソース」のサービスです。
そのため脆弱性を見つけやすく、攻撃もしやすくなっています。
理由2:利便性を追及したCMSだから
WordPressはHTMLやCSSといった専門知識がなくてもWEBサイトを製作できるCMS(Contents Management System)です。
ソフトウェア内部の詳しい構造を知らなくても利用できるという利点が、攻撃者からも利点となります。
攻撃側がWordPress内部にランサムウェアやスケアウェアといった「マルウェア」を仕掛けた場合を想定すると分かりやすいでしょう。
サイトの管理者に専門知識がないと対策を講じることができなかったり、そもそも感染に気付かない可能性があるのです。
またWordPressをはじめとしたCMSは、サイトの管理画面がネット上にあります。
ネット上からWordPressにログインするためには、専用のURL・ユーザー名・パスワードの3つが必要です。
逆に「URL・ユーザー名・パスワードの3つだけで誰でもログインできる」ということ。
手軽にログインできるのも、WordPressが狙われやすい理由のひとつといえます。
理由3:利用しているユーザーが多い
WordPressはオープンソースCMSということもあって、世界中で利用されているサービスです。
WordPressに脆弱性が見つかった場合、そのひとつの脆弱性を悪用して「WordPressを利用している全サイト」を攻撃することができてしまいます。
つまり攻撃者は無駄なく効率的に攻撃できるのです。
事前準備!WordPressのバックアップを取ろう
WordPressでセキュリティ対策をおこなう際は、事前に「データベース」と「テーマファイル」のバックアップを取ることをおすすめします。
特にHTMLやCSSといった専門知識がない方は必ずバックアップを取るようにしてください。
バックアップを取っておけば、たとえセキュリティ対策の導入が上手くいかなかった時でも、簡単に復旧できます。
また、バックアップを取ること自体がセキュリティ対策にもつながります。
「BackWPUp」というプラグインを使えば、データベースやテーマファイルだけでなく画像ファイルやプラグインもバックアップ可能です。
WordPressでできるセキュリティ対策法
ユーザー名を変更する
WordPressをはじめて利用する際、ログインアカウントのユーザー名はデフォルトで「admin」に設定されています。
このユーザー名を変更せずにWordPressを利用していると「ブルートフォースアタック」を受ける可能性が高くなります。
パスワードの解析ができてしまえば管理画面に不正アクセスできるわけですから、必ずユーザー名を変更するようにしましょう。
複雑なパスワードを設定する
こちらもWordPressのログインに関する対策法です。
万が一ユーザー名が攻撃者にバレても、パスワードが複雑であればあるほど不正アクセスのリスクが低減できます。
パスワードを設定するときは「小文字・大文字・数字を含む」「特定の単語を意味するような文字列は避ける」といった工夫が必要です。
WordPressのバージョンを常にアップデートする
WordPress自体にバグや不具合・脆弱性が発見された場合、それらを解消した次のバージョンが作成され、WordPress上に通知されます。
管理者はそれを元に各自でアップデートしなければなりません。
アップデートをおこなわず古いバージョンのWordPressを利用していると脆弱性が残ったままなので、攻撃対象になる可能性があります。
WordPressを常に最新のバージョンにアップデートすることがセキュリティ対策になるのです。
プラグインは人気の高いものを利用する
WordPressの利便性を上げる「プラグイン」が攻撃対象になることもあります。
とくに利用者が少ないものや長期間更新が止まっているものは、脆弱性が放置されているかもしれません。
プラグインを利用する際は、多くの人が使っていて頻繁に更新されているものを利用するのが無難です。
またプラグインを入れれば入れるほど使わないものが増え、攻撃される可能性が高まります。
インストールしたものの使っていないプラグインがあれば、削除することも重要です。
セキュリティ対策におすすめのプラグイン
BackWPUp
「BackWPUp」は、WordPressを簡単にバックアップできるプラグインです。
これだけでデータベースやテーマファイル、画像ファイルやプラグインのバックアップを取ることができます。
バックアップを取っておけば、万が一攻撃を受けても元の状態への復旧が簡単です。
さらに、BackWPUpにはバックアップを自動で定期的に取ってくれる機能もあります。
SiteGuard WP Plugin
「SiteGuard WP Plugin」は、国産セキュリティプラグインの代表格。これ1つでWordPressの基本的なセキュリティ対策ができます。
基本となるのは管理ページへのアクセス制限や、ログインがあった際にメールで通知する「ログインアラート機能」です。
その他、ログインに失敗した接続元を一定期間遮断する「ログインロック機能」もあります。
「フェールワンス機能」は正しいユーザー名・パスワードを入力しても必ず1回ログインを失敗させる機能です。
これ以外にもセキュリティ対策機能が充実しています。
管理画面はすべて日本語表記となっているので、WordPress初心者でも簡単に導入が可能です。
All In One WP Security & Firewall
WordPressの総合的なセキュリティ対策が可能な「All In One WP Security & Firewall」。
バックアップ機能や各種セキュリティ機能が備わっているのはもちろんですが、「ファイアウォール」を導入できるのが最大の魅力だといえます。
ファイアウォールはセキュリティ対策の基本なので、自分のサイトにファイアウォールを導入したいと考えている方におすすめです。
まとめ
WordPressは、サイト運営初心者の方でも簡単に利用できるオープンソースCMSですが、その分セキュリティ面でのリスクと常に隣り合わせです。
運営しているサイトが攻撃されるとサイト運営が困難になるだけでなく、サイト利用者からの信用も失いかねません。
今回紹介したセキュリティ対策を実施して、少しでも攻撃されるリスクを減らすことが健全なサイト運営の第一歩となります。
■警察庁 各都道府県警察の被害相談窓口
http://www.npa.go.jp/higaisya/ichiran/index.html
