WordPressでセキュリティ対策が必要な理由
世界中で利用者が多く攻撃対象になりやすい
まず、WordPressは世界シェアNo.1と言われるほど利用サイトが多いCMS(コンテンツ管理システム)です。
1つの脆弱性(セキュリティーの穴)を見つけたときに、同じ手法で不正アクセスすることができるサイトが世の中にたくさん存在することになります。
WordPressは攻撃者にとって非常に効率の良い攻撃対象であり、ターゲットになりやすいです。
専門知識なく誰でもWebサイトが作れるシステムである
WordPressは高度な専門知識がなくてもWebサイトが作れる便利で使いやすいシステムです。
その反面、専門家ではない方によって作られ、的確な対策や設定・設計ができていない利用サイトも多いです。
そういった点でも、WordPressは格好の攻撃対象となっています。
WordPressのサイバー攻撃被害の例
SQLインジェクション、クロスサイトスクリプティング、ブルートフォースアタック(総当たり攻撃)、DoS/DDoS攻撃など、Webサイトへのサイバー攻撃には様々な種類があります。
WordPressのセキュリティ対策を行っていないと、それらの攻撃により以下のような被害を受けることがあります。
- 管理画面への不正ログイン、アカウントの乗っ取り
- コンテンツやサイトデータの改ざん
- スパムコメントの量産
- 重要情報の漏洩・窃取
- サイトが表示されない(ファイル改ざん、サーバーダウンなどにより)
SSL未対応の状態で、海外滞在中に「海外からのアクセス制限設定」を無効にしたところ、数日ほどで不正アクセス・サイト改ざん被害にあわれてしまった事例があります。
海外からのアクセス制限設定を無効にしてから数日後に、サーバールートのindex.phpファイルが書き換えられて、サイトが表示されなくなっていました。
その他サーバー内に、ランダムな文字列の名前のついた作成した覚えのないファイルが勝手に無数に作成されていました。
ファイルの中身を確認しようと、サーバーからパソコンにダウンロードしたところ、ウイルスソフトが脅威を検知したらしく、ファイルが即座に自動削除されました。
見つけた怪しいファイルをサーバー内から一つずつ消していったのですが、消しても消しても勝手にファイルが生成されていく、という状態です。
WordPress関連ファイルの深い階層のところにも無数に悪質なファイルや記述が埋め込まれており、サーバー内のファイルをすべて削除し、サイトをゼロから再構築することを余儀なくされました。
「まさか不正アクセスや悪質なサイバー攻撃の被害にあわないだろう、大したことないだろう」と安易に考えてしまっていると、せっかく構築し積み上げてきたWebサイトがすべて台無しになってしまうこともあり得ます。
日頃からサイトのバックアップを取ったり、セキュリティ対策を講じていないと、被害にあってからでは、余計な労力や手間、コストがかかるだけでなく、サイトの復元・復旧が不可能な場合もあります。
一方、日頃からサイトのバックアップを定期的に保存し、セキュリティ対策もできる限り講じておくことで、多くのサイバー攻撃は防ぐことができます。
上記の事例以外では、創業してから7年の間で、サイト改ざんの被害にあわれたというご相談が3,4件ありましたが、それらはいずれもWordPressサイトを作ってから、WordPressやプラグインのバージョンアップを一切行わず、更新やメンテナンスも行わずにサイトをずっと放置されていた方々でした。
必要な対応や対策を行っていれば、サイバー攻撃の被害はある程度回避することができますが、悪質な攻撃をする側も年々レベルアップしているようで、かなり専門的なイタチごっこのような状況です。
対策を施しても絶対に安心ということはないので、必ず定期的にバックアップを取り、不審なアクセスを検知するプラグイン等を活用し、継続的に目を光らせていきましょう。
無料でできるWordPressのセキュリティ対策13項目
WordPressをインストールするディレクトリを変える
「wp」、「wordpress」、「blog」、「news」、「article」などのディレクトリは狙われやすいようです。
推測されにくいディレクトリにWordPressをインストールしましょう。
常時SSL化(HTTPS化)
SSL暗号化通信によって、サイトのセキュリティーを高めます。
サイト訪問者にとっても安全なHTTPSサイトを検索上位に優遇するというGoogleの公式発表が昨年あったため、セキュリティー対策だけでなく、SEO対策のためにも重要な対策となりました。
未対応サイトhttp://~のURLから、対応サイトhttps://~のURLに変更することが推奨されています。
WAFの設定
WAF(Webアプリケーションファイアーウォール)を設定することで、SQLインジェクション、クロスサイトスクリプティングなどの攻撃を回避しやすくなります。
海外からのアクセス制限設定を有効にする
サイバー攻撃や不正アクセスは、国外IPアドレスからであることが多いようです。
サーバーに備わっているオプション機能で、海外からのアクセス制限設定を有効にすることが推奨です。
ログインIDを推測されやすいものにしない
「admin」やドメインの文字列の一部など、よくあるログインIDにすると、不正ログインのリスクが高まります。
ログインパスワードを複雑なものに設定する
WordPressでパスワード変更の際に自動で出てくる強力なパスワードを使うことが推奨されます。
使用していない不要なプラグインは削除する
無効にしているプラグインが多くサーバーに残っているだけでも、セキュリティの穴(セキュリティホール)になることがあります。
使用していないプラグインは削除しましょう。
定期的にWordPress、プラグイン、PHPをアップデートして最新版に保つ
WordPressや各種プラグインなどは、エンジニアが脆弱性や不具合がある部分を改善し、随時アップデート版を配布しています。
古いバージョンのままにしていると、脆弱性に対してサイバー攻撃を受けやすいので、常に最新バージョンに保ちましょう。
WordPressを構成するプログラミング言語PHPについても同様に、定期的なバージョンアップが重要となります。
WordPressと各種プラグインのバージョンアップは、WordPress管理画面から行えます。
PHPのバージョンアップは、サーバーの管理パネルより行うことができます。
利用しているWordPressテーマやプラグインによっては、それぞれバージョンを上げることで、サイトが崩れるなど予期せぬ不具合が起きる場合があります。
バージョンアップを行う際には、事前に必ずバックアップを行いましょう。
定期的にバックアップをとる
万が一サイバー攻撃の被害に遭い、サーバー内のデータをすべて削除してサイトを再構築することになっても、被害に遭う前のバックアップが残っていれば安心です。
プラグイン「BackWPUp」が便利です。
ログイン画面のURLを変更する
ログイン画面のURLはデフォルだと推測されやすく、不正ログインのリスクが高いためURLを変更します。
セキュリティ対策プラグインを活用すると便利です。
ログイン画面のURL変更を設定している場合、プラグインの停止・再度有効化の際は念のため注意が必要そうです。
スパム対策を行う
WordPressサイト内にコメント欄を設置していなくても、無数のコメントが送られるコメントスパムなどの被害もあります。
こちらもプラグインを活用して対策します。
適切なファイルパーミッションに変更
パーミッションとは、サーバー上のファイルやディレクトリ(フォルダ)の読み取り、書き込み、実行に関する権限設定のことです。
不正なファイル改ざんや実行、重要情報の窃取ができないように、適切な権限設定にすることで、一部セキュリティ対策となり得ます。
特に、wp-config.phpはデータベースの重要情報が記述されているため、パーミッション「400」に設定することが推奨されます。
さらに、.htaccessに以下の記述を追記して、wp-config.phpへのアクセスを制限すると安全性が高まります。
<files wp-config.php> order allow,deny deny from all </files>
データベーステーブルのプレフィックスを「wp_」以外に変更
プレフィックスがデフォルトの「wp_」のままだと、データベーステーブルが特定できてしまいます。
推測されにくいランダムな文字列にすることが推奨されます。
サイトの表示に影響する可能性もある設定項目もあるので、設定変更の前に必ずバックアップを取りましょう。
プラグイン「SiteGuard WP Plugin」「Wordfence Security」「WP Cerber Security, Antispam & Malware Scan」「All In One WP Security」などを導入・設定すると便利で効果的です。
その他ご参考)【WordPress Codex 日本語版】WordPress の安全性を高める
まとめ
無料でできる有効なWordPressのセキュリティ対策についてまとめました。
上記すべてを実施しても、確実に安心とは言えません。
また、今のところ脆弱性が見つかっておらず、継続的にアップデートされていて、利用数や良い評判が多い効果的なプラグインをご紹介させていただきましたが、これらのプラグインが今後も絶対に安心とは限りません。
攻撃する側も常にレベルアップしているようなので、今後何かのきっかけで生まれたほんのわずかな隙を突いてくる可能性もあり得ます。
あくまでご自身の責任において行って頂けますようお願いいたします。
最大限のセキュリティ対策を講じつつ、収益を生む資産となるWordPressサイトを育てていきましょう。