【WordPressのセキュリティ対策】初心者でも簡単にできる方法を徹底解説

2020.10.23

  • WordPressの使い方/カスタム

誰でも簡単にWebサイトを作れることから、世界中で利用している人が多いWordPress。

便利かつ多機能である一方で、ハッキングの被害を受けやすいのはご存じでしょうか?

WordPressは誰でもあつかえるように簡単な構造で作られているため、悪意のあるハッカーに狙われやすくなっています。

Webサイトがハッキングされてしまうと、ファイルが改ざんされたり、自分のサイトへのアクセスが別サイトに自動転送されたりします。

こんな話を聞くと「WordPressを使うのは危険なのでは?」と思う方も少なくないでしょう。

しかし事前のセキュリティ対策や、普段からのメンテナンスをしておくことで、被害を未然に防ぐことができます。

ここでは、Webに詳しくない初心者でも簡単にできるWordPressのセキュリティ対策をご紹介します。

目次

WordPressのセキュリティ対策が必要な理由

WordPressのセキュリティ対策が必要な理由は大きく分けると以下の2つです。

  • 悪意のあるハッカーに狙われやすい
  • マルウェアが埋め込まれる被害が頻繁に起きている

では、1つずつ詳しく見ていきましょう。

悪意のあるハッカーに狙われやすい

セキュリティ対策が必要な1つ目の理由は、WordPressサイトが世界中のハッカーから狙われているからです。

WordPressは世界でもっとも利用者数が多く、2020年のCMSにおけるシェア率は6割を超えています。

WordPressのファイル構造は基本的にどのサイトも同じであるため、悪意のあるハッカーからすると、1つでも欠点を発見できれば大量のハッキングが可能になります。

つまり世界中で一番人気があり、かつ同じファイル構造であるため、もっとも効率的に悪用しやすいのです。

しかもWordPressはコードが誰でも簡単に分かってしまうオープンソースであるため、これも狙われやすい理由と言えます。

そのWebサイトがWordPressで作られているかどうかは、ブラウザの検証ツールから判断できます。

Chromeの場合、キーボードのF12を押すと検証ツールが開きます。

検証ツールのSoucesタブ内にあるフォルダ内に「wp-〇〇」が含まれていると、WordPressで作成したサイトということになります。

マルウェアが埋め込まれる被害が頻繁に起きている

セキュリティ対策が必要なもう1つの理由は、WordPressサイトはマルウェアが埋め込まれやすいことです。

マルウェアとは、簡単に言うと悪意のあるプログラムのことです。具体的には下記のような被害があります。

  • WordPressサイトを開くと詐欺サイト(フィッシングサイト)に自動転送される
  • 大量の画像や文章を挿入され、フォルダの容量を埋め尽くされる
  • 文章やリンクが改ざんされ、情報が書き換えられる
  • 誰でもサイトに侵入できるような入り口を作られる

これらが原因で、自分が気づかないところで他人に被害を与えている事例もあります。

しかし、すべてのWordPressにマルウェアが埋め込まれるわけではありません。

WordPress本体のバージョンが古かったり、プラグインに脆弱性(ハッカーが外部から改ざんしやすい構造)があったりすると、攻撃を受けやすいと言えます。

過去には、「Yuzo Related Posts」「File Manager」といったプラグインに脆弱性が見つかり、多くの被害が出ました。

自分のサイトがマルウェアに攻撃されていないか、日々確認しておくことが重要です。

自分のサイトのセキュリティを診断してみよう

自分のサイトがマルウェアの攻撃を受けていないか、セキュリティに脆弱性がないかは、外部サービスを使って自分で簡単に診断ができます。

ここでは、WordPressに詳しくない方でも簡単かつ無料で使えるセキュリティ診断サービスを2つご紹介します。

どちらも自分のサイトのURLを貼り付けるだけで、簡単に診断結果が分かります。

今回は、日本語でも分かりやすく解説されている「WPdoctor」を取りあげます。

まずWPdoctorの「ワードプレスドクター・セキュリティースキャナー」ページで、自分のサイトのURLを入力します。

1~5分ほど待つと、診断結果レポートがでてきます。

レポートで指摘された項目に対処していくことで、WordPressのセキュリティを強化することができます。

自力での対処が難しい場合は、そのままWPdoctorにセキュリティ対策の相談や依頼をすることも可能です。

まだセキュリティ対策のチェックをしていなければ、まずはWPdoctorで診断をしてみましょう。

WordPressのセキュリティ強化方法

自分のWordPressサイトが被害にあうのを防ぐためには、事前のセキュリティ対策が大切です。

最初にしっかりと設定を行っておくことで、被害への対応に追われずに済みます。

また定期的にセキュリティを最新の状態にしておくことで、つねに安全な状態を維持できます。

ここで紹介するセキュリティ対策は下記の5つです。

  • 定期的にバックアップを取得する
  • ソフトウェア、プラグイン、テーマを最新にする
  • サーバー側の設定でアクセスを制限する
  • ログイン画面の認証を強化する
  • 不要なプラグインは削除する

マルウェアの被害にあってしまうと、検索順位が下がったり、復旧にお金がかかったりすることもあります。

最悪の場合、個人情報が流出し、大きな問題に発展することもあります。

1つずつ詳しい対策方法を解説するので、必ず確認しておきましょう。

定期的にバックアップを取得する

まずは、定期的にWordPressのバックアップを取ることが大切です。

バックアップを取っておくことで、攻撃を受けたとしても、簡単に前の状態に復旧することができます。

しかし、毎日バックアップを取るのは大変ですし、いつバックアップを取ったのか分からなくなったり、うっかり取るのを忘れてしまったりする方も多いと思います。

そこで導入したいのが、自動的にバックアップを取ってくれるプラグインです。

数あるプラグインの中でも、初心者におすすめなのが「UpdraftPlus」。

おすすめの理由は以下の3点です。

  • 自動バックアップの設定が簡単
  • 1クリックでバックアップの復元ができる
  • バックアップの設定を柔軟に変更できる

バックアップの作業自体も下記の手順で、初心者でも3分ほどでできます。

  1. ステップ1

    プラグイン「UpdraftPlus」をダウンロードおよび有効化

  2. ステップ2

    設定から「UpdraftPlus Backups」をクリック

  3. ステップ3

    UpdraftPlus Backupsで「今すぐバックアップ」をクリック

ここでバックアップを取っておけば、万が一ファイルが改ざんされても簡単に元に戻せます。

WordPressでサイトを作成した方は、必ずバックアップの設定をしておきましょう。

ソフトウェア、プラグイン、テーマを最新にする

WordPress自体もセキュリティ強化のため、日々アップデートが繰り返されています。

WordPressは自分でアップデートを行う必要があります。

また、WordPressと同時に下記のアップデートも忘れずに行いましょう。

  • PHPのバージョン
  • WordPressテーマ
  • プラグイン

アップデートが発生したものは、下記のようにWordPressの管理画面上に通知が表示されます。

更新の必要があるものは、必ず最新の状態に保ちましょう。

サーバー側の設定でアクセスを制限する

セキュリティをさらに強化するために、WordPressだけでなくサーバー側の対策もしておくことをおすすめします。

どのサーバーにも基本的に備わっている、下記項目の設定は確認しておきましょう。

  • 独自SSL設定
  • WAF
  • IPアクセス制限
  • ディレクトリアクセス制限
  • WordPressセキュリティ

これらを設定することで、国内外からの悪意あるアクセスをはじくことができます。

これらの設定は、一度済ませてしまえば後から手を加える必要がありません。

まだやっていない方は、今からでも設定しておきましょう。

ログイン画面の認証を強化する(画像認証、二段階認証、URL変更など)

WordPressのなかでも特に被害を受けやすいのが、ログイン画面です。

なぜなら、初期設定のWordPressのサイトは、ログイン画面のURL構造が同じであるためです。

WordPressのサイトは、http(s)://○○○.com/wp-admin/のように「/wp-admin」または「/wp-login.php」をつけて開くとログイン画面にアクセスできてしまいます。

つまり、悪意のあるハッカーが簡単にWordPressのログイン画面にたどり着き、総当たり攻撃でパスワードを入れハッキングすることが可能なのです。

万が一、IDとパスワードが一致して侵入を許してしまうと、ファイルの改ざんや情報を抜き取られるなどの被害にあってしまいます。

そのような被害にあわないためにも、下記のセキュリティ対策をしておくことをおすすめします。

  • 画像認証
  • 二段階認証
  • ログイン画面URLの変更

これらは、下記のようなプラグインを導入することで簡単に設定ができます。

SiteGuard WP Plugin」だけで、WordPressのログイン画面URLの変更、ログインの二段階認証ができます。

SiteGuard WP Pluginは簡単に設定ができるので、初心者の方はぜひ導入しておきたいプラグインの1つです。

不要なプラグインは削除する

また、プラグイン自体もWordPressで攻撃を受けやすい要素の1つです。

誰でも簡単に扱えて、拡張性が高く便利なことから、自分のWordPressにたくさんのプラグインを導入している方も多いと思います。

プラグインに含まれるプログラムに脆弱性が見つかると、ハッカーに侵入され、悪意のあるプログラムを埋め込まれることがあります。

むやみにプラグインを導入すると、そのぶんハッキングされる危険性が高まるのです。

また、複数のプラグイン同士が干渉することでサイトのデザインが崩れたり、正常に動かなくなってしまったりする場合もあります。

使用頻度が少ないプラグインやなくても問題のないプラグインは、できるだけ削除しておきましょう。

ConoHa WINGでできるセキュリティ対策

数あるレンタルサーバーの中でも、ConoHa WING(コノハウィング)は、セキュリティ対策の設定がシンプルで、初心者でも扱いやすいのが特徴です。

ConoHa WINGでは、すべてのセキュリティ設定を「サイト管理 > サイトセキュリティ」の項目から行うことができます。

基本的な操作も、セキュリティ対策をしたい項目を選んで「ON/OFF」をワンクリックで選択、またはIPアドレスをペーストするだけです。

初心者でも設定方法が分かるように、こちらのページにサイトセキュリティ設定の方法が図解付きで詳しく解説されています。

これからサーバーを契約される方は、セキュリティ対策が簡単で初心者にも使いやすいConoHa WINGをおすすめします。

ConoHa WINGでWordPressを始める方法は、下記の記事にてくわしく解説しています。

ぜひ参考にしてみてください。