こんにちは！エンジニアの小林です。

本日はWordPressが抱えるセキュリティリスクや、簡単に無料で出来るセキュリティ対策について解説していこうと思います。

弊社でもWebサイト制作の際によく依頼を受ける、言わずと知れた世界一有名なCMSですが、その反面セキュリティには多くの不安を抱えています。

大切なWebサイトをハッキングやウイルス感染の被害から守るために、ぜひこちらの記事を読んで、セキュリティ対策に取り組みましょう！

なぜWordPressはセキュリティリスクが高いのか？

まず初めに、なぜWordPressはセキュリティリスクが高いのか、その理由を3つに分けて説明していきたいと思います。

1.利用者数が多い

1つ目の理由としては、WordPressというCMSを使用するユーザーの数が非常に多いことが挙げられます。

2022年現在、Webサイト全体の45％、つまり約1/2のWebサイトはWordPressを使用していると言われています。

ユーザーが多いということは、同時に多くの様々な情報もネットワーク上に出回ることになります。
その多くはユーザーにとって有益な情報ばかりですが、中にはWordPress本体やプラグインの脆弱性に関する情報も存在しています。

そういった情報が、不正アクセスなどのネット犯罪を企むユーザーの元に渡ってしまうと、多くのWordPressサイトが危険に晒されることになってしまうわけです。

2.誰でも無料で使用可能である

2つ目の理由は、WordPressは誰でも無料で簡単に利用できてしまうという点です。

WordPressの大きな特徴には、「オープンソース」であることが挙げられます。

この特徴のおかげで、誰でも無料でダウンロードや開発を行うことができるので、非常に手軽に利用できるわけです。

しかし、これは同時に悪意を持ったユーザーでも簡単にダウンロードをして、構造を確認することができるということでもあります。

WordPress自体は高頻度でアップデートを繰り返しており、年々セキュリティホールの改善が行われていますが、ハッキングのスキルも同様に進化しており、まさにいたちごっこのような状態です。

少しでも自身のサイトのセキュリティリスクを下げるために、常にWordPress本体やインストールしているプラグインのバージョンは最新を保つように心がけましょう。

3.ネット初心者のユーザーが多い

最後の理由ですが、WordPressを利用するユーザーには、ネットの知識があまりない初心者の方が多いという点です。

上記の理由2でも説明したように、WordPressは無料で簡単に利用できるという特性があります。
さらに操作や管理方法も比較的シンプルで、扱いやすくネット初心者の方も気軽に利用することが出来ます。

しかしその反面、知識がないために、WordPress本体やプラグインのアップデートがこまめにされていないなど、セキュリティリスクの危険に晒され続けているサイトは多く存在します。

ネットに関する知識があまりない方にとっては難しく感じる部分が多いと思いますが、簡単に出来る対策も意外と多くあります。
これまでにセキュリティに関して対策をしたことがない方は、後ほど紹介する方法を実践してみて下さい。

WordPressがセキュリティ被害を受けるとどうなるのか？

では、具体的な対策について解説する前に、WordPressサイトが実際にハッキングやウイルス感染などのセキュリティ被害にあった場合、どうなってしまうのか確認していきましょう。

Webサイトデータの改ざん

ハッキング等の被害に遭い、WordPressの管理画面に不正アクセスされてしまった場合、表示されるWebサイトのデータを勝手に作り替えられてしまう可能性があります。

ブログサイトの記事データや企業サイトの固定ページなど、サイトにとって重要なページデータをWordPressで管理しているサイトは多くあり、それらのデータを勝手に変更されたり削除されることは非常に恐ろしいリスクです。

また、意味のないページを大量に作成されてしまい、それがGoogleにインデックスされてしまうことでペナルティを受けてしまう可能性もあります。

機密情報の漏洩

特に企業サイトとして運用されているWordPressサイトには、顧客の個人情報や取引した他企業の機密情報が保存されている場合があります。

管理画面やデータベースの情報に不正アクセスされてしまうと、これらの情報を外部の第三者に窃取されてしまい、漏えいするリスクがあります。
機密情報が漏えいしてしまうと、企業や顧客からの信頼を大きく失ってしまったり、最悪の場合法的責任を負う可能性もあります。

さらなるネット犯罪の踏み台として利用される

特に機密情報を扱っていないサイトや試しに作ったサイトだからと油断してはいけません。

サイト内に別サイトへ勝手にリダイレクトさせるシステムを組み込まれてしまうと、サイトを訪れたユーザーをウイルス感染のリスクに巻き込んでしまいます。

またDDoS攻撃という、複数のサイトから1つのサイトやシステムに対して一斉に大量のアクセスを行い、サーバーに負荷をかけ運用を妨害するネット犯罪に自分のサイトを利用されてしまうこともあります。

このようなネット犯罪にサイトを利用された場合、信用を失ってしまったり法的責任を負う可能性もあるということを留意しておきましょう。

今すぐ対策できるおすすめプラグイン　〜SiteGuard WP Plugin〜

では、今すぐ始められる具体的なセキュリティ対策にはどのようなものがあるのでしょうか。

以下では、WordPressの管理画面から簡単にインストールできる拡張機能のプラグイン「 SiteGuard WP Plugin 」のおすすめポイントについてご紹介していきます。

1.面倒な設定が不要で簡単に導入できる

こちらのプラグインの最も大きな魅力は、プラグインをインストールして有効化するだけでサイトのセキュリティを高めてくれることです。

他にもWordPressのセキュリティに関するプラグインはたくさんありますが、インストールしたあと複雑な設定が必要なものが多く、初心者の方には少し扱いにくさを感じてしまいやすいですが、こちらのプラグインはそういった不安がありません。

またインストールや利用に際して一切料金が発生しないのも、気軽に利用できるという点で非常におすすめしたいポイントとなっています。

2.画像認証機能を追加できる

この機能はプラグインを有効化した時点でデフォルトで有効化されている機能なので、設定を変更しなくても、利用することが可能です。

この機能が有効になると、下記のように通常のログイン画面にランダムな文字列を入力する欄が追加されます。

特に、悪意あるプログラムからの機械的なアクセスを防止する効果が期待でき、サイトの安全性を簡単に高めることができます。

3.ログインロック機能を利用できる

この機能は、ある一定時間に設定した回数以上ログインに失敗したパソコンからのアクセスを、少しの時間ブロックすることのできる機能です。

こちらの機能も有効化した時点でデフォルトで有効になっており、すぐに利用可能です。

特に「ブルートフォース攻撃」と呼ばれる、IDやパスワードを総当たりで大量に入力してサイトに不正アクセスを試みる攻撃に対して、非常に効果を発揮してくれます。

計測時間や失敗回数、ブロック時間をある程度カスタマイズ出来るのも嬉しいポイントです。

4.ログインページへのURLを変更できる

WordPressサイトのログインページは特に変更を加えていない場合、「ドメイン名/wp-login」とURLを入力することで簡単にアクセスが可能です。

簡単にログインページにアクセス出来てしまうと、このサイトはセキュリティ対策をあまりしてないサイトなのだとすぐにバレてしまい非常に危険です。

ログインページにアクセスするためのURLを自由に変更できるこちらの機能も、プラグインをダウンロードした時点で有効になり、すぐに利用可能です。

1点、有効化した時点で設定されるURLはランダムな文字列になっているので、管理者自身がログインページのURLが分からなくなってしまう可能性があります。

新しいURLをきちんとメモしたり、覚えやすいものに変更することを忘れないよう注意してください。

インストールして有効化するだけで、これらの機能が利用できる「SiteGuard WP Plugin」は、非常にネット初心者に優しい優れたプラグインであると言えます。

まだサイトにセキュリティ関連のプラグインを1つもインストールしてない方はぜひ、こちらのURLからダウンロード、もしくは管理画面からインストールして使用してみてください。
https://ja.wordpress.org/plugins/siteguard/?_fsi=9wQuVm1

WordPressサイトのセキュリティを高める運用方法

最後に、普段のサイト運用の中で簡単にできる、サイトのセキュリティを高める方法を紹介します。

今回紹介する方法は、もちろん無料で手軽に実践可能な方法のみとなっているので、ぜひすぐに取り入れてみて下さい。

先述したプラグインをインストールした上で、こちらの方法も実践していただくことでサイトのセキュリティをかなり高めることが出来ます。

1.WordPress本体とプラグインを常に最新の状態にする

まずは、WordPressとインストール済みのプラグインのバージョンを、常に最新の状態に保ち続けましょう。
こちらの方法は最も手軽にできて効果も高いので、非常にオススメです。

WordPress本体やそのプラグインは、かなりの頻度でアップデートが行われています。
中でもセキュリティに関するアップデートはかなり頻度が多く、最新の状態を保つだけでもセキュリティを高める効果が期待できます。

WordPressやプラグインの更新は、管理画面のメニューから「ダッシュボード」→「更新」の画面に移動することで簡単に行うことが可能です。

「更新」ボタンの横に赤丸のアイコンが付いている場合は更新が必要なので、一度確認してみましょう。

こちらは、週に1回程度の更新頻度がオススメです。
毎週◯曜日はWordPressを更新する日と習慣づけるといいでしょう。

更新の際、たまに表示崩れやシステムエラーが発生する場合もありますので、心配な方は事前のバックアップをとったり更新後のサイト確認を欠かさず行なってください。

2.不要なユーザーデータを削除する

2つ目は、余計なユーザーデータや不要になったユーザーデータを削除することです。
WordPressの管理画面に不正アクセスされるリスクは、登録されているユーザーが多いほど高まります。

1人でサイトを運用しているにも関わらず、複数のユーザーを作成してしまっている場合は、最も利用頻度の高いユーザーデータ以外は削除してしまうことをオススメします。

また複数人で運用しているサイトにおいても、すでに退職したメンバーのユーザーデータが残ってないか整理してみましょう。

もし削除することが難しい場合は、管理者権限ではなく投稿者などの権限に変更するだけでも、セキュリティを高める効果が期待できます。

3.オリジナルの強力なパスワードを使用する

3つ目はオリジナルで強力なパスワードを使用することです。

当たり前のように感じるかもしれませんが、これが出来ていないとサイトのセキュリティリスクは一気に高くなってしまいます。
とりあえず設定した簡単な覚えやすいパスワードを、変更することなく使ったりはしていないでしょうか？

また、強力なパスワードを設定している場合においても、複数のサイトやアカウントで使い回しているものだと、どこかから流出してしまう危険性があります。

できる限り、オリジナルかつ複数の文字種を使い、十分な長さのあるパスワードを、全てのアカウントに設定するよう心がけましょう。

おわりに

最後まで記事を読んでいただき、ありがとうございました！

この記事を通して、セキュリティ対策に対する難しそうというイメージを少しでも解消できたらとても嬉しいです。

ネットに関する知識が全くない方でも、簡単に出来る対策はたくさんあります。
この記事を読んで「自分にもできそう！」と思った方は、ぜひ今日からセキュリティ対策に取り組んでみてください。

また、この記事内で紹介した方法以上にセキュリティを高める効果があると期待されているのが、WordPressサイトをJamstackでリニューアルする方法です。

当社のホームページもJamstackを使用しており、高いセキュリティと高速なページ表示を両立したWebサイトとなっています。

※Jamstackについて興味がある方はこちらの記事もぜひご確認ください。

当社ではセキュリティに関するご相談から、サイトをJamstackでリニューアルするご相談まで幅広くお問い合わせをお待ちしています。

少しでも興味を持っていただけた方は、ぜひ一度クランチタイマーへご相談ください！