この記事のレベル
| 初心者 | (3.5) |
| 重要度 | (4.0) |
| 難しさ | (3.0) |
こんにちは、編集長のカワウソです!
「WordPressのセキュリティ対策について、何をどうすればよいのか分からない……」と悩んでいませんか?
WordPressは利用者が多い分、攻撃者によって狙われやすく、セキュリティ対策を怠ると被害を受けるリスクが高まります。
そこで今回は、WordPressのセキュリティ対策について、解説します。
カワウソ
この記事は次のような人におすすめ!
- 初めて企業ホームページを作る人
- WordPressで作ったホームページを運営する人
- WordPressのセキュリティリスクを抑えたい人
この記事を読めば、WordPressにおける必要最低限のセキュリティ対策が分かります。
なお、この記事では前提として、小規模の予算で運営される企業ホームページを想定した内容となっております。
それではどうぞ!
なぜWordPressのセキュリティ対策が重要なのか?
まず、なぜWordPressのセキュリティ対策が重要なのかについて解説します。
WordPressは利用者が多く攻撃者に狙われやすい
WordPressは利用者が多く、攻撃者に狙われやすいです。
WordPressは世界のホームページの43.7%で使用されており、CMSシェアでも62.2%を獲得しています(2024年12月11日時点)。
▲出典:W3 Techs「Usage statistics and market shares of content management systems」
つまり、攻撃者にとってWordPressは、効率よく多くのホームページを狙えるプラットフォームなのです。
また、広く普及していることで、多くの初心者が利用しており、セキュリティの甘いホームページも少なくありません。
小規模なホームページも例外ではない
「セキュリティリスクって言っても、被害を受けるのは大企業だけでしょ?」と思われている方も多いことでしょう。
しかし、近年は小規模なホームページが攻撃されるケースも増えていますよ。
というのも、小規模なホームページでも、他システム(他社)への攻撃のための「踏み台」として利用されるケースがあるのです。
カワウソ
踏み台として利用された場合は、攻撃者に加担してしまうおそれがあります。
社会的な信用失墜につながるだけでなく、場合によっては賠償責任の対象となる場合もあるでしょう。
つまり、企業ないしはホームページの知名度や、アクセス規模と必ずしも相関しないということ。
WordPressの利便性を活かしつつ、ホームページを安全に運営できるように、必要最低限からでもよいので、セキュリティ対策を施しましょう。
WordPressでよくあるセキュリティ被害
では実際に、WordPressではどのようなセキュリティ被害があるのでしょうか。
いくつかあるセキュリティ被害のなかでも、ここでは代表的なもの3つを紹介します。
SPAMメールや詐欺メールの配信元として悪用される
ホームページが乗っ取られると、管理者通知やお問い合わせフォームなどで利用される「WordPressのメール送信機能」が悪用され、SPAMメールや詐欺メールの配信元になるおそれがあります。
とくに、脆弱なテーマ(デザインテンプレート)や、プラグイン(拡張機能)を通じて侵入されるケースが多いです。
不正スクリプトが埋め込まれてしまうと、ホームページ運営者の意思とは無関係に、多方面に大量のSPAMメールが送信されてしまいます。
その結果、自社が利用しているサーバーのIPアドレスが、スパム対策団体やスパムフィルタリングサービスなどのブラックリストに登録され、正規のメールが送信できなくなることも。
当然のことながら、企業の信頼性も損なわれてしまうでしょう。
WordPress、テーマ、プラグインを常に最新の状態に保ち、セキュリティ対策を徹底することが重要です。
フィッシング詐欺のために改ざんされる
ホームページが改ざんされると、攻撃者により「フィッシング詐欺用のページやリンク」が設置され、訪問者の個人情報やクレジットカード情報が盗まれるおそれがあります。
クレジットカード情報、個人情報、パスワードなどを盗むために用意されたサイトで、本物とは区別がつかないことから、訪問者が騙されるケースが増えています。
フィッシング対策協議会によると、2023年(上半期+下半期)のフィッシング報告数は、過去最高100万件を超えました。
▲出典:フィッシング対策協議会「フィッシングレポート 2024」
攻撃者は脆弱なテーマやプラグイン、または不正ログインを通じてWordPressに侵入します。
改ざんされたホームページと言っても、元々信頼されているため、訪問者が騙されやすく、フィッシング詐欺の被害が広がりやすいのです。
具体的な事例として多いのは「決済ページ」。
見た目は正規のページに見えるものの、実際には攻撃者が作成した偽ページで、入力されたクレジットカード情報がそのまま盗まれます。
フィッシング詐欺は、企業の信用失墜だけでなく、訪問者に直接的な被害を与える深刻な問題です。
サーバーが他システムへの攻撃の踏み台として使われる
ホームページが乗っ取られると、攻撃者にサーバーリソースを奪われ、他システムへの「DDoS攻撃」や「ブルートフォース攻撃」の踏み台として利用されるおそれがあります。
一度に複数のパソコンからサーバーにアクセスを集中させてダウンさせる、サイバー攻撃の手法です。
暗号解読方法の一つで、パスワードなど考えられるパターン(組み合わせ)を手あたり次第に試す攻撃です。英語で「brute force(強引な)」と表現されるように、力づくな攻撃と言えます。
攻撃者はWordPressの「XML-RPC機能(リモート機能)」などを悪用し、他システムに対して、大量のリクエストを送信します。
これにより、乗っ取られたサーバーがリクエストの送信元として機能し、他のシステムを攻撃するための一部に組み込まれてしまうのです。
サーバーリソースが過剰に消費されれば、ホームページがダウンする(機能しなくなる)だけでなく、被害者から攻撃元として訴えられるおそれもあるでしょう。
WordPressの機能を正しく理解し、不要な機能は無効化するなど、根本的なセキュリティ対策が重要です。
WordPressのセキュリティ対策10選
ここからは、WordPressのセキュリティ対策について具体的に解説します。
なお、(1)~(4)に関しては、WordPressそのもののセキュリティを高める前に、やっておくべきことです。
とくにこれからホームページを作る方は、参考にしてください。
それぞれ解説します。
実績が豊富なレンタルサーバーを選ぶ
何よりもまず、実績が豊富なレンタルサーバーを選びましょう。
なぜなら、WordPressはサーバーにインストールするもの。
信頼できるレンタルサーバーでないと、WordPressのセキュリティも十分に高められません。
たとえば、実績が豊富なレンタルサーバーには、WordPressのセキュリティ対策機能があります。
以下は、当社『エックスサーバー』のWordPressセキュリティ対策機能です。
- 国外IPアクセス制限設定
- ログイン試行回数制限設定
- コメント・トラックバック制限設定
カワウソ
『エックスサーバー』ではこれらの機能が、基本的にデフォルトでONになっていますよ。
さらに、実績が豊富なレンタルサーバーは長年の運営経験により、「WordPressのセキュリティに関する情報」をつかむための体制が整っています。
万が一、WordPress、テーマ、プラグインなどに「脆弱性(セキュリティホール)」が発生したとしても、利用者向けにその通知をしてくれることがありますよ。
(例)【重要】WordPressプラグイン「Really Simple Security(9.0.0 ~ 9.1.1.1)」における緊急性の高い脆弱性について
このように、同じWordPressを使うにしても、実績が豊富なレンタルサーバーを選んだほうが、メリットがあるのです。
なお、レンタルサーバーの実績が豊富かどうかは、運営年数、導入企業数、サイト運営数、シェアなどから、総合的に判断しましょう。
サーバーのセキュリティを強化する
レンタルサーバーを契約したあとは、サーバーのセキュリティを強化してください。
ここで言うサーバーのセキュリティとは、以下のようなものを指します。
- サーバー管理画面のパスワードを強力にする
- サーバー管理画面に2要素認証を設定する
- WAFを設定する
前述のとおり、WordPressはサーバーにインストールするものです。
サーバーのセキュリティが甘いと、WordPressが危険にさらされます。
レンタルサーバーを契約したら、料金の支払い、サーバー、ドメインなどを管理するための管理画面をいくつか持つはずです。
これらのログインに使用しているパスワードを強化してください。
ログイン用パスワードは、「英大文字小文字+数字+記号混じりで 10 桁以上」が推奨されています(参考:内閣サイバーセキュリティーセンター「インターネットの安全・安心ハンドブック<中小組織向け抜粋版>」。
また、レンタルサーバーによっては、ログイン画面に2要素認証を設定できますよ。
「ユーザー名とパスワード」だけでなく、「ワンタイムパスワード(管理者向けに発行される1回限りのパスワード)」や「認証コード」の入力も必要にすることで、不正ログインから守るための仕組みです。
(参考:エックスサーバー「二段階認証設定」)
そのほか、レンタルサーバーには基本的に「WAF」が用意されています。
Webアプリケーションの脆弱性を悪用した攻撃から、ホームページを保護することが可能です。WordPressなどのWebアプリケーションを不正アクセスなどから守ります。
(参考:エックスサーバー「WAF設定」)
このように、まずWordPressを使うための土台部分について、セキュリティを高めていきましょう。
SSL化する(HTTPSを導入する)
ホームページは必ずSSL化してください。
ホームページにアクセスするときの通信を暗号化すること。SSL化したホームページはURLの先頭が「http」から「https」に変わります。
SSL化されていないホームページは、第三者から通信内容を傍受されるおそれがあります。
訪問者の個人情報が漏洩するリスクが高まるので、忘れずに設定しましょう。
SSLの設定はサーバーの管理画面からできます。
(参考:エックスサーバー「無料独自SSL設定」)
なお、SSL化しても「http」から始まるURLにアクセスできてしまう場合があります。
これは「http」に対するアクセスが、「https」へ転送されていないのが原因です。
転送設定について詳しくは、レンタルサーバーのマニュアルをご覧ください。
(参考:エックスサーバー「Webサイトの常時SSL化」)
上記の転送設定に加えて、WordPress管理画面内の「設定 > 一般」の画面にある「WordPress アドレス (URL)」「サイトアドレス (URL)」を、「https」から始まるアドレスに変更してください。
※「http」のあとに、半角英字の「s」をつけるだけです。
変更したら、画面下にある青いボタン「変更を保存」をクリックしてください。
再度ログインを促されます。
定期的にバックアップを取る
WordPressを運用するうえで重要なのが、定期的にバックアップを取ることです。
バックアップがあれば、仮にWordPressが被害を受けても、以前の状態に復旧できます。
いくら強靭なセキュリティ対策を施したとしても、絶対に安心できるわけではありません。
いつでも、安全な状態に戻れるようにすることが、最大のセキュリティ対策なのです。
なお、レンタルサーバーには、基本的に「自動バックアップ機能」があります。
とはいえ、バックアップデータには保存期限があるので、定期的にダウンロードして、ローカル環境(パソコン)やクラウドストレージなどに保存しておきましょう。
(参考:エックスサーバー「自動バックアップからのデータ取得」)
カワウソ
レンタルサーバーのバックアップ機能も完璧ではありません。プラグイン『BackWPup』でもバックアップデータの取得自体は簡単なので、設定しておくことをおすすめします。
WordPress管理画面に強力なパスワードを設定する
WordPressの管理画面に強力なパスワードを設定してください。
WordPressに限ったことではありませんが、不正アクセスの事例として、他人のユーザー名やパスワードを不正に利用する「なりすまし行為」が、あとを絶ちません。
簡単に推測できてしまうパスワードでは、「WordPressをどうぞ自由に使ってください」と言っているようなもの。
WordPressでは、「ユーザー > プロフィール」の画面で「新しいパスワード」をクリックすることで、強力なパスワードを簡単に設定できます。
なお、WordPressにログインできなくなると困るため、「プロフィールを更新」をクリックする前に、パスワードをコピーしておきましょう。
カワウソ
パスワードの管理は、プラウザにある「パスワードマネージャ」機能を使うのがおすすめです。これだと、長いパスワードを覚えておく必要がありません。
WordPress管理画面にアクセス制限をかける
WordPressの管理画面(wp-admin)にアクセス制限(Basic認証)をかけるとよいです。
ホームページに簡易的なアクセス制限をかける認証方法です。特定のページやフォルダへのアクセスに対して、ユーザー名とパスワードの入力を求めます。
これにより、管理画面にアクセスすること自体に認証が必要になるため、前段階でセキュリティを高めることが可能です。
なお、レンタルサーバーでは、基本的にアクセス制限(Basic認証)機能が用意されているので、チェックしてみてください。
(参考:エックスサーバー「アクセス制限」)
WordPress、テーマ、プラグインを最新バージョンに保つ
WordPress、テーマ、プラグインは、最新バージョンを保ってください。
長らくアップデートされていないソフトウェアは、脆弱性が発生する原因になってしまうためです。
最新バージョンには、基本的に既知の脆弱性に対する修正が含まれます。
最新バージョンにアップデートすることで、セキュリティが高まるでしょう。
不要なWordPress、テーマ、プラグインは削除する
不要なWordPress、テーマ、プラグインは削除しましょう。
ホームページ運営において、テスト用にWordPressをインストールしたり、テーマやプラグインを試験的に複数導入することもあると思います。
しかし、使っていないものは、その存在を忘れてしまって、ついつい放置してしまうことも。
前述のとおり、アップデートされていないソフトウェアは、脆弱性が発生する原因になってしまいます。
そのため、不要なものは削除するのが一番手っ取り早いです。
ユーザー権限を適切に設定する
WordPressのユーザー権限を適切に設定しましょう。
複数のユーザーを登録する場合、誰にでも「管理者権限」を与えてしまうと、攻撃者に不正にログインされた場合に、被害を受けやすくなります。
場合によっては、WordPressを乗っ取られるおそれもあるでしょう。
なお、WordPressの権限グループの概要は、以下のとおりです。
- 管理者権限:すべての操作が可能
- 編集者権限:他のユーザーの投稿を含む、すべての投稿を公開/管理できる
- 投稿者権限:自身の投稿を公開/管理できる
- 寄稿者権限:自身の投稿を編集/管理できるが、公開はできない
- 購読者権限:プロフィール管理のみを実行できる
管理者権限は必要最低限のユーザーのみに付与してください。
セキュリティプラグインを導入する
プラグインを利用すれば、レンタルサーバーやWordPressの管理画面のメニューでは設定できないようなセキュリティ対策も施せます。
たとえば、「XO Security」というプラグインだと、以下のようなセキュリティ対策が可能です。
| 機能 | 説明 |
| ログイン試行の制限 | ログイン試行回数を制限することにより、人間はもちろん、「総当たり攻撃(パスワードなど考えられるパターンを手あたり次第に試す攻撃)」などのロボットによる不正ログインを防ぎます。 |
| ログインページの URLを変更 |
ファイル名「wp-login.php」を変更することにより、人間やロボットがそもそもログインぺージに到達できないようにする対策です。 |
| 2要素認証 | 「ユーザー名とパスワード」だけでなく、「ワンタイムパスワード(管理者向けに発行される1回限りのパスワード)」の入力も必要にすることで、不正ログインから守ります。 |
| ログインフォームに CAPTCHAを追加 |
画像のテストにより、人間とロボットを振り分ける仕組みです。たとえば、画像に表示された文字を入力しないとログインできないようにすることで、ロボットによる不正ログインを防ぎます。 |
| ユーザー名の非公開 | REST APIや投稿者アーカイブなどから、ユーザー名(ログインID)が取得されるのを防ぎます。 |
カワウソ
ほかにも、この記事で取り上げた「XML-RPC機能(リモート機能)」をOFFにする機能もあります。
なお、通常のプラグインと同じく、定期的にアップデートされているものを導入しましょう。
長らく放置されているプラグインだと、本来セキュリティを高めるはずが、逆に脆弱性を生む原因になってしまいます。
アップデートされているかどうかは、プラグインの情報ページから確認可能です。
▲出典:WordPress.com「XO Security」
同時に、最新版のWordPressに対応しているかどうか、過去に脆弱性が発見された事例がないか(あった場合は修正されているか)なども確認しましょう。
不正アクセスの被害を受けた場合の対処法
ホームページの改ざんや不正なファイル設置といった「不正アクセス」の被害を受けた場合は、契約中のレンタルサーバーに相談しましょう。
レンタルサーバーによって、対処法が異なります。
なお、弊社『エックスサーバー』ではマニュアルページに、不正アクセスを受けた場合の対処法を記載しています。
(参考:エックスサーバー「不正アクセス(ファイルの改ざん、不正なファイル設置)について」)
カワウソ
不正アクセスの被害を受けていない場合でも、あらかじめ読んでおいていただくことで、バックアップの重要性などがご理解いただけると思います!
まとめ
この記事では、WordPressのセキュリティ対策について解説しました。
- WordPressは利用者が多いことから、攻撃者の標的になりやすい
- 小規模のホームページでも、他システムへの攻撃の踏み台になることがある
- WordPressのセキュリティ対策をする前に、サーバー側でできることをする
- 完璧なセキュリティ対策は存在しないため、復旧できるようにバックアップを取っておく
- 不正アクセスの被害を受けた場合は、レンタルサーバーに相談する
もし、まだバックアップを取っていない方がいれば、すぐに対応してください。
万が一のときのために、すぐに復旧できる体制を構築しておくことが重要です。
それでは、最後まで読んでいただき、ありがとうございました。
ホームページの開設を検討している方へ
エックスサーバーは、高速かつ高い安定性を誇る「高性能レンタルサーバー」です。
国内シェアNo.1※のレンタルサーバーであり、21万社の導入実績があります。
2025年2月4日(火)17時まで、サーバー利用料金が半額キャッシュバックされる期間限定キャンペーンを開催中です!
今なら実質月額495円~とお得にホームページを開設できます!
.comや.netなど大人気ドメインも永久無料と過去最大級にお得です。
ぜひこのお得な機会にホームページ開設をご検討ください!
※ 2024年10月時点、W3Techs調べ。
XServerビジネスは、エックスサーバーを法人向けに特化したレンタルサーバーです。
サーバー月間稼働率99.99%以上を保証する「SLA」をはじめ、セキュリティやサポートが充実しています。
2025年4月8日(火)17時まで、初期費用が0円になる期間限定キャンペーンを開催中です!
今ならお得にホームページを開設できます!
コーポレートサイトでよく使われる「.co.jp」のドメインも永久無料で、大変お得です。
ぜひこのお得な機会にホームページ開設をご検討ください!
『エックスサーバー』と『XServerビジネス』の違いは、以下の記事で詳しく解説しています。
なお、当メディア「初心者のための会社ホームページ作り方講座」では、初心者の方にわかりやすく会社のホームページを始められる方法を紹介しています!
ホームページの始め方・立ち上げに関する、ご質問・ご相談はツイッターDM( @kawauso_xsv )までお気軽にどうぞ!
カワウソ
当メディアはリンクフリーです。貴社のSNSやブログでご紹介いただけると嬉しいです。
