WordPressのセキュリティ強化対策を徹底解説!必要な準備・プラグイン・設定は?攻撃されやすい脆弱性とは

ブラウザ上で簡単にサイトの運営・管理ができる「WordPress」。

その利便性から世界中のサイトで利用されていますが、同時に不正アクセスやハッキングなどのリスクもはらんでおり、被害の報告が後を絶ちません。

ですが、WordPressには管理者自身でおこなえるセキュリティ対策が数多くあり、適切な対策を行えばリスクを低減することが可能です。

今回はWordPressに潜む危険性や、WordPressが狙われやすい理由を解説します。

さらに、具体的なセキュリティ対策とおすすめのプラグインをご紹介しますので、ぜひ最後までご覧ください。

WordPressに潜む危険性とは

ブルートフォースアタック

ブルートフォースアタック」とは、WordPressの管理画面に入るためのパスワードを総当たりで試してログインしようとする攻撃。

原始的な手法ですがWordPressでは有効な手段であり、現在でも使われています。

SQLインジェクション

SQLインジェクション」とは、ウェブサイトやアプリケーションのデータベースに対してSQL文を送り、データベースを不正に操作できるようにする攻撃です。

WordPressでSQLインジェクションを受けると、WordPress上にあるデータが盗まれたり破壊されたりする危険性があります。

バッファオーバーフロー攻撃・Dos攻撃

バッファオーバーフロー攻撃」はコンピューターに対して、「Dos攻撃」はサーバーに対しておこなわれる攻撃方法です。

コンピューターやサーバーの処理能力を超える大量のデータを送りつけて、誤作動やサーバーダウンを引き起こさせます。

なぜWordPressが狙われるの?

理由1:オープンソースだから脆弱性が見つかりやすい

WordPressは、ソースコードが無償で一般公開されている「オープンソース」のサービスです。

そのため脆弱性を見つけやすく、攻撃もしやすくなっています。

理由2:利便性を追及したCMSだから

WordPressはHTMLやCSSといった専門知識がなくてもWEBサイトを製作できるCMS(Contents Management System)です。

ソフトウェア内部の詳しい構造を知らなくても利用できるという利点が、攻撃者からも利点となります。

攻撃側がWordPress内部にランサムウェアやスケアウェアといった「マルウェア」を仕掛けた場合を想定すると分かりやすいでしょう。

サイトの管理者に専門知識がないと対策を講じることができなかったり、そもそも感染に気付かない可能性があるのです。

またWordPressをはじめとしたCMSは、サイトの管理画面がネット上にあります。

ネット上からWordPressにログインするためには、専用のURL・ユーザー名・パスワードの3つが必要です。

逆に「URL・ユーザー名・パスワードの3つだけで誰でもログインできる」ということ。

手軽にログインできるのも、WordPressが狙われやすい理由のひとつといえます。

理由3:利用しているユーザーが多い

WordPressはオープンソースCMSということもあって、世界中で利用されているサービスです。

WordPressに脆弱性が見つかった場合、そのひとつの脆弱性を悪用して「WordPressを利用している全サイト」を攻撃することができてしまいます。

つまり攻撃者は無駄なく効率的に攻撃できるのです。

事前準備!WordPressのバックアップを取ろう

WordPressでセキュリティ対策をおこなう際は、事前に「データベース」と「テーマファイル」のバックアップを取ることをおすすめします。

特にHTMLやCSSといった専門知識がない方は必ずバックアップを取るようにしてください。

バックアップを取っておけば、たとえセキュリティ対策の導入が上手くいかなかった時でも、簡単に復旧できます。

また、バックアップを取ること自体がセキュリティ対策にもつながります

「BackWPUp」というプラグインを使えば、データベースやテーマファイルだけでなく画像ファイルやプラグインもバックアップ可能です。

WordPressでできるセキュリティ対策法

ユーザー名を変更する

WordPressをはじめて利用する際、ログインアカウントのユーザー名はデフォルトで「admin」に設定されています。

本サイトの記事は犯罪に巻き込まれない、犯罪を未然に防ぐという観点から書かれたものであり、 実際に犯罪に巻き込まれた場合や身に迫る危険がある場合はすぐに最寄りの警察署までご相談ください。

■警察庁 各都道府県警察の被害相談窓口
http://www.npa.go.jp/higaisya/ichiran/index.html