誰でも簡単にWebサイトを作れることから、世界中で利用している人が多いWordPress。
便利かつ多機能である一方で、ハッキングの被害を受けやすいのはご存じでしょうか?
WordPressは誰でもあつかえるように簡単な構造で作られているため、悪意のあるハッカーに狙われやすくなっています。
Webサイトがハッキングされてしまうと、ファイルが改ざんされたり、自分のサイトへのアクセスが別サイトに自動転送されたりします。
こんな話を聞くと「WordPressを使うのは危険なのでは?」と思う方も少なくないでしょう。
しかし事前のセキュリティ対策や、普段からのメンテナンスをしておくことで、被害を未然に防ぐことができます。
ここでは、Webに詳しくない初心者でも簡単にできるWordPressのセキュリティ対策をご紹介します。
- ※本記事で紹介している情報は執筆時点のものであり、閲覧時点では変更になっている場合がございます。また、ご利用の環境(ブラウザ、サーバー、プラグイン、テーマ、またはそのバージョンや設定、WordPress本体のバージョンや設定など)によっては本記事の情報通りに動作しない場合がございます。あらかじめご了承ください。
目次
WordPressのセキュリティ対策が必要な理由
WordPressのセキュリティ対策が必要な理由は大きく分けると以下の4つです。
では、1つずつ詳しく見ていきましょう。
WordPressが世界で最も利用者の多いCMSだから
WordPressは世界でもっとも利用者数が多いCMSで、2022年時点のCMSにおけるシェア率は6割を超えています。
CMS(Contents Management System:コンテンツ・マネジメント・システム)とは、Webの専門知識がない初心者でも、簡単にWebサイトの作成・更新・運営ができるシステムのことです。
しかし、利便性が高く世界中で利用されている点が、皮肉にもハッカーに狙われやすい原因になっています。
WordPressのファイル構造は基本的にどのサイトも同じであるため、1つでも欠点を発見できれば大量のハッキングが可能になるからです。
CMSのハッキング事例に関する調査では、約90%がWordPressだったといわれており、他のCMSを圧倒する被害を受けています。
WordPressは世界でもっとも利用者数が多いCMSで、2022年時点のCMSにおけるシェア率は6割を超えています。
WordPressがオープンソースだから
WordPressはオープンソース(ソースコードを無償で一般公開していること)であるという点も、セキュリティ対策が必要な理由のひとつと言えます。
オープンソース誰でも利用できるように公開されているため、便利な反面、セキュリティの脆弱性も見つけやすいのです。
脆弱性とはセキュリティ上の欠陥のことで、この脆弱性を利用することで、データの改ざんや抜き取りがおこなわれるケースが多いのです。
また、WordPressに機能を自由に後付けできるプラグインにも脆弱性が存在するので、注意が必要です。
悪意のあるハッカーに狙われやすい
上記2つの理由から、WordPressで作ったWebサイトやブログは世界中のハッカーから狙われやすいというデメリットがあります。
ハッカーが他人のWebサイトやブログをターゲットとする理由は、金銭目的やデータの搾取・破壊目的のほか、単なる愉快犯などさまざまです。
実は、WebサイトやブログがWordPressで作られているかどうかはブラウザの検証ツールから簡単に確認できます。
そのため「WordPressを使っているのがバレなければ狙われる心配はない」と安易に考えるのは危険です。
たとえばGoogle Chromeの場合、キーボードの「F12」を押すと「検証ツール」が開きます。
検証ツールの「Souces」タブ内にあるフォルダ内に「wp-〇〇」が含まれていると、WordPressで作成したサイトということになります。
マルウェアが埋め込まれる被害が頻繁に起きている
セキュリティ対策が必要なもう1つの理由は、WordPressサイトはマルウェアが埋め込まれやすいことです。
マルウェアとは、簡単に言うと悪意のあるプログラムのことです。具体的には下記のような被害があります。
- WordPressサイトを開くと詐欺サイト(フィッシングサイト)に自動転送される
- 大量の画像や文章を挿入され、フォルダの容量を埋め尽くされる
- 文章やリンクが改ざんされ、情報が書き換えられる
- 誰でもサイトに侵入できるような入り口を作られる
これらが原因で、自分が気づかないところで他人に被害を与えている事例もあります。
しかし、すべてのWordPressにマルウェアが埋め込まれるわけではありません。
WordPress本体のバージョンが古かったり、プラグインに脆弱性(ハッカーが外部から改ざんしやすい構造)があったりすると、攻撃を受けやすいと言えます。
過去には、「Yuzo Related Posts」「File Manager」といったプラグインに脆弱性が見つかり、多くの被害が出ました。
自分のサイトがマルウェアに攻撃されていないか、日々確認しておくことが重要です。
WordPressが攻撃された場合に起こり得る被害とは
あなたが運営するWordPressがハッカーによる攻撃を受けた場合、以下のような被害が想定されます。
- ブログの改ざん・情報の漏えい
- ログインができなくなる
- フィッシング詐欺の温床になる
もっとも心配されるのがWordPressの脆弱性をついた不正ログインです。
不正ログインによって運営者と同じ操作ができてしまうので、記事内容の書き換えや不正プログラムの組み込みなどを行われてしまうリスクがあります。
さまざまな情報が集約されているデータベースへの侵入も許してしまうため、個人情報の抜き取りも心配されるリスクです。
管理者権限の乗っ取りによってアカウント情報を書き換えられてしまい、自分のブログにログインできなくなる可能性もあるでしょう。
また「お問い合わせ」などのコンタクトフォームを設置しているWordPressでは、自分のブログからスパムメールが送信されるおそれもあります。
自分のサイトのセキュリティを診断してみよう
自分のサイトがマルウェアの攻撃を受けていないか、セキュリティに脆弱性がないかは、外部サービスを使って自分で簡単に診断ができます。
ここでは、WordPressに詳しくない方でも簡単かつ無料で使えるセキュリティ診断サービスを2つご紹介します。
どちらも自分のサイトのURLを貼り付けるだけで、簡単に診断結果が分かります。
今回は、日本語でも分かりやすく解説されている「WPdoctor」を取りあげます。
まずWPdoctorの「ワードプレスドクター・セキュリティースキャナー」ページで、自分のサイトのURLを入力します。
1~5分ほど待つと、診断結果レポートがでてきます。
レポートで指摘された項目に対処していくことで、WordPressのセキュリティを強化することができます。
自力での対処が難しい場合は、そのままWPdoctorにセキュリティ対策の相談や依頼をすることも可能です。
まだセキュリティ対策のチェックをしていなければ、まずはWPdoctorで診断をしてみましょう。
WordPressのセキュリティ強化方法
自分のWordPressサイトが被害にあうのを防ぐためには、事前のセキュリティ対策が大切です。
最初にしっかりと設定を行っておくことで、被害への対応に追われずに済みます。
また定期的にセキュリティを最新の状態にしておくことで、つねに安全な状態を維持できます。
ここで紹介するセキュリティ対策は下記の5つです。
- 定期的にバックアップを取得する
- ソフトウェア、プラグイン、テーマを最新にする
- サーバー側の設定でアクセスを制限する
- ログイン画面の認証を強化する
- 不要なプラグインは削除する
マルウェアの被害にあってしまうと、検索順位が下がったり、復旧にお金がかかったりすることもあります。
最悪の場合、個人情報が流出し、大きな問題に発展することもあります。
1つずつ詳しい対策方法を解説するので、必ず確認しておきましょう。
定期的にバックアップを取得する
まずは、定期的にWordPressのバックアップを取ることが大切です。
バックアップを取っておくことで、攻撃を受けたとしても、簡単に前の状態に復旧することができます。
しかし、毎日バックアップを取るのは大変ですし、いつバックアップを取ったのか分からなくなったり、うっかり取るのを忘れてしまったりする方も多いと思います。
そこで導入したいのが、自動的にバックアップを取ってくれるプラグインです。
数あるプラグインの中でも、初心者におすすめなのが「UpdraftPlus」。
おすすめの理由は以下の3点です。
- 自動バックアップの設定が簡単
- 1クリックでバックアップの復元ができる
- バックアップの設定を柔軟に変更できる
バックアップの作業自体も下記の手順で、初心者でも3分ほどでできます。
-
- ステップ1
プラグイン「UpdraftPlus」をダウンロードおよび有効化
-
- ステップ2
設定から「UpdraftPlus Backups」をクリック
-
- ステップ3
UpdraftPlus Backupsで「今すぐバックアップ」をクリック
ここでバックアップを取っておけば、万が一ファイルが改ざんされても簡単に元に戻せます。
WordPressでサイトを作成した方は、必ずバックアップの設定をしておきましょう。
ソフトウェア、プラグイン、テーマを最新にする
WordPress自体もセキュリティ強化のため、日々アップデートが繰り返されています。
WordPressは自分でアップデートを行う必要があります。
また、WordPressと同時に下記のアップデートも忘れずに行いましょう。
- PHPのバージョン
- WordPressテーマ
- プラグイン
アップデートが発生したものは、下記のようにWordPressの管理画面上に通知が表示されます。
更新の必要があるものは、必ず最新の状態に保ちましょう。
サーバー側の設定でアクセスを制限する
セキュリティをさらに強化するために、WordPressだけでなくサーバー側の対策もしておくことをおすすめします。
どのサーバーにも基本的に備わっている、下記項目の設定は確認しておきましょう。
- 独自SSL設定
- WAF
- IPアクセス制限
- ディレクトリアクセス制限
- WordPressセキュリティ
これらを設定することで、国内外からの悪意あるアクセスをはじくことができます。
これらの設定は、一度済ませてしまえば後から手を加える必要がありません。
まだやっていない方は、今からでも設定しておきましょう。
ユーザー名を「admin」にしない
WordPressを運営するなかで、初期設定時のユーザー名である「admin」を使用している方は多いかもしれません。
しかし「admin」は予測されやすく、ハッカーの侵入を許す要因となるので変更するべきです。
ただしWordPressの仕様上、既存のユーザー名は変更できないため、ユーザー名を新規に作って置き換える方法で変更します。
WordPressの管理画面にログイン後、左側にあるメニューの「ユーザー」から「新規追加」を選択します。
上から順番に必要項目を入力していきます。
- 新規ユーザー名を半角英数字で入力
- 既存のものとは別のメールアドレスを入力
- 名、姓、サイトは必要に応じて入力(必須ではない)
- 権限グループを「購読者」から「管理者」に変更
- 入力内容を確認のうえ「新規ユーザーを追加」ボタンを押下
新たにユーザーが追加されていることを確認できたら、これまで使っていた既存の管理者ユーザーを削除するために一旦ログアウトします。
画面右上のアイコンから「ログアウト」を押下します。
新しく作成したユーザー名でログインします。
ダッシュボード左側メニューの「ユーザー」から「ユーザー一覧」を選択します。
既存の管理者ユーザー名を選択し、「削除」を押下してください。
「すべてのコンテンツを以下のユーザーのものにする」にチェックを入れ、「削除を実行」ボタンを押すとユーザー名の変更が完了です。
また、セキュリティ上の面から「ユーザー名」と「ブログ上の表示名」を一緒にするのは避けるべきなので、変更しておきましょう。
ダッシュボード左側メニューの「ユーザー」から「ユーザー一覧」を選択します。
ニックネームを変更したいユーザー名の下部にある「編集」を押下します。
「ニックネーム(必須)」の項目に、ユーザー名とは異なる名前を入力します。
新しいニックネームを確定するために、ページ最下部にある「プロフィールを更新」ボタンを押下します。
同じ画面上で「ブログ上の表示名」からプルダウンから変更したいニックネーム名を選び、最下部にある「プロフィールを更新」ボタンを押下して設定完了です。
ログインパスワードを強化する
セキュリティ上の観点から、ずっと同じログインパスワードを使い続けるのはハッキングのリスクを高めてしまうため避けましょう。
以下のポイントに注意のうえ定期的に変更してください。
- ユーザーIDやドメインを含む文字列にしない
- 文字数を少なくしない
- 他のサービスと同じパスワードにしない
実際にパスワードを変更するには以下の手順でおこないます。
ダッシュボード左側メニューの「ユーザー」から「ユーザー一覧」を選択します。
パスワードを変更したいユーザー名の「編集」のテキストリンクを押下します。
プロフィールの編集画面が開いたら「アカウント管理」項目にある「新しいパスワードを設定」ボタンを押下します。
あらかじめパスワードが入力されているので、表示されるパスワードを使用しても大丈夫です。
自分で入力する際は「強力」と表示されるパスワードを入力してください。
最後に、最下部にある「プロフィールを更新」ボタンを押下して完了です。
ログイン画面の認証を強化する(画像認証、二段階認証、URL変更など)
WordPressのなかでも特に被害を受けやすいのが、ログイン画面です。
なぜなら、初期設定のWordPressのサイトは、ログイン画面のURL構造が同じであるためです。
WordPressのサイトは、http(s)://○○○.com/wp-admin/のように「/wp-admin」または「/wp-login.php」をつけて開くとログイン画面にアクセスできてしまいます。
つまり、悪意のあるハッカーが簡単にWordPressのログイン画面にたどり着き、総当たり攻撃でパスワードを入れハッキングすることが可能なのです。
万が一、IDとパスワードが一致して侵入を許してしまうと、ファイルの改ざんや情報を抜き取られるなどの被害にあってしまいます。
そのような被害にあわないためにも、下記のセキュリティ対策をしておくことをおすすめします。
- 画像認証
- 二段階認証
- ログイン画面URLの変更
これらは、本記事で解説しているセキュリティ対策プラグインで簡単に設定ができます。
ログイン試行回数を制限する
不正ログインの手口として有名なのは、パスワードに使用される英数字と記号をすべて組み合わせて何度もログインを試みる方法です。
これは総当たり攻撃またはブルートフォース攻撃と呼ばれるハッキング方法です。
そのためログイン試行回数を制限することが有効なセキュリティ対策と言えます。
たとえば「〇回ログインに失敗すると〇分間または〇時間ログインできなくなる」といった設定をすることで、セキュリティを高めることが可能です。
WordPressではプラグイン「Limit Login Attempts Reloaded」の導入によってログイン試行回数の制限ができます。
簡単に設定でき、あなたのWordPressサイトを不正ログインのリスクから守ってくれます。
不要なプラグインは削除する
また、プラグイン自体もWordPressで攻撃を受けやすい要素のひとつです。
誰でも簡単に扱えて、拡張性が高く便利なことから、自分のWordPressにたくさんのプラグインを導入している方も多いでしょう。
プラグインに含まれるプログラムに脆弱性が見つかると、ハッカーに侵入され、悪意のあるプログラムを埋め込まれることがあります。
むやみにプラグインを導入すると、そのぶんハッキングされる危険性が高まるのです。
また、複数のプラグイン同士が干渉することでサイトのデザインが崩れたり、正常に動かなくなってしまったりする場合もあります。
使用頻度が少ないプラグインやなくても問題のないプラグインは、できるだけ削除しておきましょう。
WordPressのセキュリティを強化するプラグイン
セキュリティ対策をするには初心者の方にとって難しいものですが、WordPressはプラグインの導入により、セキュリティ対策が可能です。
ここでは、WordPressのセキュリティを高めるプラグインについて解説します。
SiteGuard WP Plugin
SiteGuard WP Pluginは、WordPress管理画面の保護ができるプラグインです。
- ログインページURLの変更
- ログインした場合のメール通知
- CAPTCHA認証(インターネットの画像認証)
WordPress管理画面へのログインページURLは、初期設定のままでは誰でもアクセスできるためセキュリティ上好ましくありません。
SiteGuard WP Pluginを利用することで簡単にログインURLを変更できるため、不正アクセスの抑止に繋がります。
またログインした際にメールで通知が届き、不正アクセスに素早く気づける点もメリットです。
CAPTCHA認証(画像認証)も利用できるので、ロボットによるログイン試行を防ぐためにも有効なセキュリティ対策プラグインと言えます。
- 注意
-
SiteGuard WP PluginにてWordPressのログインページURLを変更する場合、変更後のログインページURLを忘れるとWordPressの管理画面にログイン出来なくなるおそれがあるため、必ず手元に控えておきましょう。
All In One WP Security & Firewall
All In One WP Security & Firewallは、WordPressのセキュリティを総合的に高めてくれるプラグインです。
- WordPressのバージョン情報の削除
- セキュリティレベルを測定
- 対象のIPアドレスのログインをブロック
WordPressはソースコードを見るとバージョンが確認できます。
古いバージョンを使用しているとハッカーのターゲットにされるため大変危険ですが、このプラグインはバージョン情報を非表示にできるため、不正アクセスの防止が可能です。
また「セキュリティポイント採点」と呼ばれるシステムを搭載し、WordPressサイトのセキュリティレベルを測定したうえで、効果的な対策を練ることができます。
さらにログインに数回失敗したIPアドレスがあった場合、一定時間ログインさせない機能が備わっている点もメリットです。
初期状態は英語表記のため、必要に応じて日本語化ファイルをインストールしましょう。
Akismet
Akismet(Akismet Spam Protection)は、スパムコメントと呼ばれる迷惑な書き込みを自動で防いでくれるプラグインです。
- すべてのコメントを自動的チェック
- スパムコメントの振り分け
- WordPressサイトのスピードアップ
コメント機能を有効にしていてスパムコメントが投稿された場合、1つずつ削除するのは効率的ではありません。
Akismetを導入することでスパムコメントを自動で判定しフォルダ分けしてくれるため、コメント機能を使用する方にとって欠かせないプラグインと言えます。
スパムコメントのブロックによってディスク容量に余裕ができるので、表示速度の改善にも繋がるでしょう。
ただし、コメント機能に特化したセキュリティ対策プラグインのため、WordPressサイトでコメント機能を使用しない場合は不要です。
Limit Login Attempts Reloaded
Limit Login Attempts Reloadedは、WordPressの管理画面へのログイン試行回数を制限し、不正ログインを防止できるプラグインです。
- アカウントロックにより不正ログインの防止
- ログインの試行回数やアカウントロック時間の設定
- アカウントロックをメールで通知
プラグインの導入により、ログインの試行回数や、ログインに失敗した際のアカウントロックの時間を自由に設定できます。
アカウントのロック回数に応じてロックする時間の設定もできるので、ブルートフォース攻撃による不正ログインの防止にも有効です。
アカウントロックをメールで通知してくれる機能も搭載し、異常があった際に気づくことができます。
reCaptcha by BestWebSoft
reCaptcha by BestWebSoftは、画像認証でセキュリティを強化して不正ログインを防止するプラグインです。
- Googleのボット対策ツールとの連携
- 自動処理で不正アクセスを阻止
- スパムコメントにも対応
Googleの「reCAPTCHA v2およびv3」と連携でき、登録・ログイン・コメントの各フォームにreCAPTCHA 機能(画像認証機能)を追加できます。
reCaptcha by BestWebSoftを使用するには、WordPressサイトをGoogleに登録のうえ設定する必要があり、初心者の方には少し難しいかもしれません。
しかしセキュリティの高さには定評があり、悪質なロボットの侵入を防ぐのに役立つプラグインです。
BackWPup
BackWPupは、WordPressサイトのバックアップによってデータ改ざんなどの被害を最小限に抑えられるプラグインです。
- WordPressサイトのすべてのデータをバックアップできる
- バックアップファイルの管理が容易
- 日付・時間を指定したバックアップが可能
WordPressサイトで使われている全てのデータを1つのファイルにまとめて保存できるため、取得したバックアップデータを紛失するリスクを軽減できます。
また、バックアップしたデータを連携する外部サービスに自動でアップロードしたり、メールに添付して送信したりすることも可能です。
日付や時間を指定した定期的なバックアップの取得もできるので、万が一ハッキングされた場合も被害を少なくできるでしょう。
プラグインのインストール方法
プラグインの導入によりセキュリティ対策が可能とはいえ、導入方法がわからない方もいるかもしれません。
そこで、プラグインのインストール方法を解説します。
まずダッシュボード左側メニューの「プラグイン」から「新規追加」を選択します。
プラグインの新規追加ページに切り替わるので、右上の検索窓で導入するプラグインを検索しましょう。
ここでは、先ほど紹介したセキュリティ対策プラグインの「SiteGuard WP Plugin」をインストールしてみます。
検索結果にプラグインが表示されたら「今すぐインストール」ボタンを押下します。
続いて「有効化」ボタンを押下します。
インストール済みプラグインの一覧が表示され、有効化したプラグインが表示されているのを確認できたらインストール作業が完了です。
ConoHa WINGでできるセキュリティ対策
数あるレンタルサーバーの中でも、ConoHa WING(コノハウィング)は、セキュリティ対策の設定がシンプルで、初心者でも扱いやすいのが特徴です。
ConoHa WINGでは、すべてのセキュリティ設定を「サイト管理 > サイトセキュリティ」の項目から行うことができます。
基本的な操作も、セキュリティ対策をしたい項目を選んで「ON/OFF」をワンクリックで選択、またはIPアドレスをペーストするだけです。
初心者でも設定方法が分かるように、こちらのページにサイトセキュリティ設定の方法が図解付きで詳しく解説されています。
これからサーバーを契約される方は、セキュリティ対策が簡単で初心者にも使いやすいConoHa WINGをおすすめします。
ConoHa WINGでWordPressを始める方法は、下記の記事にてくわしく解説しています。
ぜひ参考にしてみてください。
WordPressを始めるならConoHa WINGがおすすめ!
「WordPressでブログやアフィリエイトを始めたい!」
「もっと性能の良いレンタルサーバーに乗り換えたい!」
そんなあなたには、高性能・高速でお得なレンタルサーバーConoHa WINGをおすすめします。
- ConoHa WINGのメリット
-
- サイト表示が速い! 国内最速のレンタルサーバー※
- 初心者も安心! 簡単で使いやすい管理画面
- 安定した稼働! 大量同時アクセスなどの高負荷にも強い
- お得な料金設定! 660円/月~で始められる!
- しかも初期費用が無料! さらに独自ドメインも永久無料!
- ※2024年4月自社調べ
ConoHa WINGは日本マーケティングリサーチ機構による調査で、下記の3部門においてNo.1を獲得しています。
- ConoHa WINGは3つのNo.1を獲得!
-
- アフィリエイター・ブロガーが使いたいレンタルサーバー
- WordPress利用者満足度
- サポートデスク対応満足度
- ※日本マーケティングリサーチ機構調べ 調査概要:2023年2月期_ブランドのイメージ調査
新規のお申し込みはこちら
Webにくわしくない初心者でもたった10分で始められるレンタルサーバー「ConoHa WING」。
とっても簡単だから今すぐ始めちゃいましょう。
また下記の記事では、ConoHa WINGを使ってWordPressを開設する方法を、画像付きでくわしく解説しています。
【WordPressの始め方】初心者でも最短10分でできる!簡単で失敗しない開設方法
- WordPressの始め方
他社レンタルサーバーからお乗換えはこちら
他社のレンタルサーバーをご利用中で、ConoHa WINGにお乗り換えを検討されている方も安心です!
煩雑なレンタルサーバーの移行もかんたんにお乗換えいただけるよう、いくつかのサポートを用意しています。
-
- WordPressかんたん移行ツール
-
他社サーバーでお使いのWordPressを、ご自身でかんたんにConoHa WINGへ移行ができる無料のツールをご用意しています。
- WordPressかんたん移行の詳細
-
- WordPress移行代行
-
移行にかかる作業はすべて専門のプロが代行するので、待っているだけでWordPressを移行できます。
- WING移行代行の詳細
-
- ConoHa WINGへの移行ガイド
-
レンタルサーバーの移行作業は複雑ですが、ConoHa WINGでは移行作業の流れをわかりやすくご紹介しています。
- ConoHa WINGお乗換えガイド