WordPressの脆弱性とは? どんなセキュリティ対策が必要?

WordPressは、専門知識がなくてもWebサイトを作成できる、世界中でもっとも利用されているCMSです。

(CMS:コンテンツ・マネジメント・システム。Webサイトを構成するテキスト・画像・デザインなどを一元管理できるシステムのこと。)

とても便利なツールですが、セキュリティ対策をおこなわないと、悪意を持った第三者から「脆弱性」を狙われて攻撃されてしまうというリスクがあります。

本記事では、WordPressの「脆弱性」と、効果の高いセキュリティ対策について解説します。

WordPressを安全に運営していくために必要なことや、大切なWebサイトを守る方法を知っておきましょう。

  • ※本記事で紹介している情報は執筆時点のものであり、閲覧時点では変更になっている場合がございます。また、ご利用の環境(ブラウザ、サーバー、プラグイン、テーマ、またはそのバージョンや設定、WordPress本体のバージョンや設定など)によっては本記事の情報通りに動作しない場合がございます。あらかじめご了承ください。

目次

監修者
サンツォ

ブログ歴9年、マーケティング歴19年の副業ブロガー。ブログやアフィリエイト、WordPressのノウハウを教えるブログ『マクサン』の運営者。ブログ収入の累計は億を超え、月100万円以上の収益を継続的に稼ぎ続ける。現在はブログのオンラインサロン『マクサン』の共同オーナーを務め、延べ800以上のブログ相談や初心者へのコンサルティングをおこなっている。そのほか10万人以上のフォロワーを抱える『ベランダ飯』など、複数のブログやSNSの運営に携わる。

脆弱性とは

脆弱性」とは、プログラムやシステムのセキュリティ面にもろくて弱い部分が存在し、傷つけられやすいことを指します。

テレビやインターネットで「Webサイトから情報が漏えいした」「Webサイトが改ざんされた」といったニュースを見聞きしたことがある人は多いでしょう。

こうした事件は、Webサイトの脆弱性が原因となったものが少なくありません。

具体的に脆弱性となるのは、制作者が気づかなかったエラーやバグ、システムの穴などさまざまで、

ハッカーやクラッカーといった攻撃者は、こうした脆弱性をついて攻撃をしかけてきます。

WordPressの脆弱性が問題視される理由

WordPressの脆弱性がことのほか問題視されるのは、世界中で使われているシェア率の高いプログラムゆえに、WordPressを狙う攻撃者多もまた多いからです。

W3Techsの調査によると、2021年現在全世界のWebサイトのおよそ4割がWordPressで制作されています。

(※参考:W3Techs - Usage Statistics and Market Share of WordPress, September 2021

つまり、WordPressの脆弱性を1つ発見すれば、攻撃者は世界中に存在するWebサイトのうち4割を攻撃できる可能性があるということですね。

また、プログラムの内容が広く公開されているオープンソースであること、インターネット上のセキュリティや危険性についてくわしくないユーザーが多いことも、大きな理由とされています。

WordPressのプログラムそのものに問題があるというよりは、シェア率の高さや誰にでも使いやすいシステムゆえに、悪用されやすくなっているといえるでしょう。

WordPressの脆弱性を放置した場合に起こるリスク

WordPressでWebサイトを運営する以上、脆弱性を無視することはできません。

脆弱性をそのままにすると、どのようなリスクがあるのかを知っておきましょう。

管理画面への不正アクセス

WordPressの管理画面に不正アクセスされると、Webサイトを乗っ取られてしまう恐れがあります。

管理画面は、記事の作成やデザインの変更、ファイルの消去や書き換え、ユーザーの設定など、Webサイトのあらゆる操作ができる場所です。

悪意を持った攻撃者が管理画面にアクセス可能な状態になってしまったら、何をされるかわかりませんよね。

もしログイン用のパスワードを勝手に変更されてしまったら、自分のWebサイトにログインすらできなくなってしまいます。

Webサイトの不正改ざん

Webサイトの不正改ざんとは、何らかの方法でWebサイトが意図しない内容に書き換えられてしまうことです。

不正改ざんの被害には、次のようなものがあります。

  • 公序良俗に反するコンテンツなど、イメージをそこなう内容が掲載される
  • 不正なプログラムをダウンロードさせる
  • 別のフィッシングサイトや詐欺目的のサイトへ転送させる

こういった改ざんは、管理画面への不正アクセスが可能な状態なら、いとも簡単におこなえます。

個人情報や機密情報の流出・漏洩

Webサイトに不正アクセスされてしまった場合、個人情報や営業上の機密情報が外部へ流出してしまう危険性があります。

個人情報とは、メールアドレスやパスワード、住所、氏名、電話番号、クレジットカードの情報(番号、有効期限、セキュリティコード)などです。

ECサイトはもちろん、お問い合わせフォームを設置しているWebサイトも個人情報を収集していることになります。

情報漏洩が発生してしまうと、企業やサービスの信頼性がいちじるしく失墜するとともに、

損害賠償などの金銭的な被害も発生する可能性が高いため、特に注意が必要です。

WordPressの脆弱性を狙う攻撃方法

Webサイトを守るためには、悪意ある第三者がどのような手段を使ってくるかを知っておく必要があります。

WordPressの脆弱性を狙うハッカーやクラッカーが、どんな方法で攻撃をおこなうかを紹介します。

ブルートフォースアタック

ブルートフォースアタック」とは、ユーザー名やパスワードを総当たり攻撃で解読する攻撃のことです。

攻撃者は、パスワードを手当たり次第に入力し、文字列や組み合わせを少しずつ変えながらログインに成功するまで攻撃を繰り返します。

古典的な手段ですが、自動プログラムによる攻撃が可能で、時間をかければ成功することからひんぱんに使用される方法です。

ユーザー名が推測されやすかったり、パスワードが短かったりすると、攻撃が成功しやすくなるという特徴があります。

クロスサイトスクリプティング

クロスサイトスクリプティング」とは、Webサイトの脆弱性を狙って不正なコード(HTMLやJavaScriptなど)を挿入する攻撃です。

これにより、「アクセスしてきた人をフィッシングサイトや偽物のサイトへ自動転送させる」「ブラウザ上で不正なプログラムを実行させる」といった被害につながります。

また、不正なコードを入力フォームにしかけられると、攻撃者もフォームに入力した情報を取得できるようになるため、個人情報が筒抜けになってしまいます。

コンテンツインジェクション

コンテンツインジェクション」とは、名前が示すとおりWebサイトのテキストや画像などのコンテンツを外部から改ざんする攻撃です。

WordPressでは実際に、コンテンツインジェクションができてしまう脆弱性が発見されたことがあり、有名人のサイトにも被害が発生して騒然となりました。

コンテンツ(記事そのものや、ページ内に記載された情報)は、Webサイトにとってもっとも重要な要素です。

つまり、コンテンツインジェクションはWebサイトそのものの信頼度をいちじるしく損なってしまう可能性があり、被害の大きさは計り知れません。

SQLインジェクション

SQLインジェクション」とは、WordPressのデータベースを対象とした攻撃のことです。

SQLとはデータベースをコントロールするプログラム言語のことで、WordPressもSQLで動作しています。

攻撃者は、脆弱性を突いてSQLの不正コードを入力し、隠されている情報を盗んだりWebサイトを勝手に書き換えたりします。

情報漏洩や改ざん、乗っ取りなどの被害を発生させる危険な攻撃だといえるでしょう。

WordPressでできるセキュリティ対策

WordPressでWebサイトを運営するときは、脆弱性を利用されないよう、セキュリティ対策について知っておくことが大切です。

ここでは、ぜひ取り組んでおきたいセキュリティ対策をまとめました。

  • WordPressを常に最新のバージョンに更新する
  • プラグインやテーマも最新バージョンに
  • 不要なプラグインは削除する
  • 定期的にバックアップを取る
  • 管理画面のユーザー名・パスワードを強化する
  • ログインページのURLを変更する
  • 画像認証や2段階認証を取り入れる
  • WAFを導入する
  • SSL化の設定をおこなう

WordPressを常に最新のバージョンに更新する

まずはアップデート情報をこまめにチェックし、WordPress本体を常に最新のバージョンに保っておくことが大切です。

たとえWordPressに脆弱性やバグが発見されたとしても、ほとんどの場合は短期間でプログラムの修正がおこなわれます。

しかし、アップデートをせずに古いままにしておくと脆弱性を放置することになってしまい、とても危険です。

WordPressに新しいバージョンがあるかどうかは、管理画面の「更新」ページから確認できます。

WordPressの更新については、「【WordPressを最新版に更新】する全手順を、初心者向けに5ステップで解説」の記事もあわせてご確認ください。

プラグインやテーマも最新バージョンに

WordPressの本体に加え、各プラグインやテーマを最新バージョンに保っておくことも大切です。

WordPressでは、プラグインやテーマの脆弱性も攻撃対象となってしまうからです。

中には公開されてから1年・2年と長期間にわたって更新されていないプラグインやテーマもありますが、

脆弱性があっても放置されている危険性があるため、なるべく使用しないほうがいいでしょう。

プラグインやテーマの更新の有無についても、管理画面の「更新」ページから確認できます。

不要なプラグインは削除する

WordPressでは使っていないプラグインが攻撃の標的になることもあります。

使わなくなったプラグインは使用を停止するだけではなく、削除しておくようにしましょう。

便利なプラグインはあれこれ試したくなるものですが、プラグインを増やすということは攻撃者に狙われやすい要素を増やすことにもなるため、リスクが増大してしまいます。

プラグインを導入する際は、本当に必要なプラグインだけにしましょう。それだけでも有効なセキュリティ対策となります。

プラグインの削除は、管理画面にある「プラグイン」のページからおこなうことができます。

定期的にバックアップを取る

万が一Webサイトを改ざんされてしまった際にも、バックアップを取ってあれば元の状態に戻すことが可能です。

元の形が残らないほど改ざんされてしまったときや、Webサイト自体を消されてしまったときも、短時間で復旧が可能です。

反対に、コンテンツが膨大でどこが改ざんされたかわからず、問題点を探し出すのに時間がかかりそうなときでも、ひとまず丸ごと元に戻せるというメリットがあります。

Webサイトのデータは、誤操作やカスタマイズ失敗などの予期せぬトラブルでも消えてしまうこともあるので、バックアップを取っておくに越したことはありません。

WordPressのバックアップを取るためのくわしい方法は、「【初心者も簡単】WordPressのバックアップを取る3つの方法!」で解説しています。

管理画面のユーザー名・パスワードを強化する

WordPressの管理画面にログインするためのユーザー名やパスワードは、第三者に推測されにくいものに変更しておきましょう。

WordPressには、投稿ページに投稿者の名前を表示させる機能が備わっていますが、デフォルトではログインに使うユーザー名が表示されてしまうため、管理画面へのログイン情報を半分公開していることになります。

必ず表示専用のニックネームを用意しておきましょう。

パスワードは、使う文字の種類や桁数を増やせば増やすほど安全性が高まります。

たとえば「12345678」のような単純で短いパスワードはすぐに解読される確率が高く、危険です。

小文字・大文字・数字・記号などを織り交ぜ、複雑なものを設定しましょう。

ログインページのURLを変更する

WordPressのログインページは「https://◯◯◯◯/wp-login.php」というURLに固定されています。

このログインページURLを変更することでブルートフォースアタックを防ぐ手出てとなります。

ただしWordPressには、ログインページのURLを変更する機能が備わっていません。

「Login rebuilder」や「WPS Hide Login」など、ログインURLを変えられるセキュリティ対策用のプラグインを導入しましょう。

画像認証や2段階認証を取り入れる

画像認証」や「2段階認証」を導入すると、プログラムによって自動化された攻撃を防ぐ効果があります。

画像認証とは、ページ内に表示されている画像内のテキストを入力させたり、パズルを完成させたりして、

アクセスしてきたのが人間なのかプログラムなのかを判別する仕組みのことです。

2段階認証とは、ユーザー名とパスワードに加え、ワンタイムパスワードやメールで送信されるコードといった認証キーがないとログインできないようにするものです。

いずれもプラグインを使って導入することができます。

WAFを導入する

WAF」とは「Web Application Firewall」のことで、Webサイトを設置しているサーバーやデータベースの手前に設置し、怪しいアクセスを遮断するためのものです。

WAFのメリットは、すでにご紹介した「ブルートフォースアタック」や「SQLインジェクション」など、あの手この手を使ったさまざまな攻撃からWebサイトを守ることができる点です。

攻撃者が脆弱性を狙った攻撃をしてきたとしても、それを検知して通信そのものをシャットアウトするため、安全性がぐっと高まります。

SSL化の設定をおこなう

SSL化」とは、Webサイト全体の通信を暗号化することです。

SSL化をすると、通信データの漏洩や盗難、なりすましによる不正アクセスなどを防ぐ効果があります。

サイト全体のSSL化はもはや必須ともいえるもので、SSL化していないページではアクセスした人のブラウザに「保護されていない通信」という警告が出てしまいます。

また、SSL化していないWebサイトは、Googleなどの検索エンジンにおいても順位が上がりにくいなどのデメリットが発生してしまいます。

WordPressの脆弱性やセキュリティ対策まとめ

全世界にたくさんのユーザーを抱えるWordPressは、そのぶんハッカーやクラッカーの標的になりやすいツールです。

WordPressの脆弱性を理解し、十分なセキュリティ対策で自分のWebサイトを守るようにしましょう。

また、レンタルサーバーを選ぶときは、どんなセキュリティ対策が実装されているのかもチェックしておきましょう。

レンタルサーバーの「ConoHa WING」では、管理画面から「無料独自SSLの設定」や「WAFの設定」といったセキュリティに関する設定をおこなえます。

WordPressを始めるならConoHa WINGがおすすめ!

「WordPressでブログやアフィリエイトを始めたい!」

「もっと性能の良いレンタルサーバーに乗り換えたい!」

そんなあなたには、高性能・高速でお得なレンタルサーバーConoHa WINGをおすすめします。

ConoHa WINGのメリット
  • サイト表示が速い! 国内最速のレンタルサーバー
  • 初心者も安心! 簡単で使いやすい管理画面
  • 安定した稼働! 大量同時アクセスなどの高負荷にも強い
  • お得な料金設定! 687円/月~で始められる!
  • しかも初期費用が無料! さらに独自ドメインも永久無料!
  • ※2022年10月自社調べ

今なら最大47%おトク!

ConoHa WINGを 今すぐお申し込み

ConoHa WINGは日本マーケティングリサーチ機構による調査で、下記の3部門においてNo.1を獲得しています。

ConoHa WINGは3つのNo.1を獲得!
  • アフィリエイター・ブロガーが使いたいレンタルサーバー
  • WordPress利用者満足度
  • サポートデスク対応満足度
  • ※日本マーケティングリサーチ機構調べ 調査概要:2022年5月期_ブランドのイメージ調査

新規のお申し込みはこちら

Webにくわしくない初心者でもたった10分で始められるレンタルサーバー「ConoHa WING」。

とっても簡単だから今すぐ始めちゃいましょう。

今なら最大47%おトク!

ConoHa WINGを 今すぐお申し込み

また下記の記事では、ConoHa WINGを使ってWordPressを開設する方法を、画像付きでくわしく解説しています。

【WordPressの始め方】初心者でも最短10分でできる!簡単で失敗しない開設方法

  • WordPressの始め方

他社レンタルサーバーからお乗換えはこちら

他社のレンタルサーバーをご利用中で、ConoHa WINGにお乗り換えを検討されている方も安心です!

煩雑なレンタルサーバーの移行もかんたんにお乗換えいただけるよう、いくつかのサポートを用意しています。

  • WordPressかんたん移行ツール

    他社サーバーでお使いのWordPressを、ご自身でかんたんにConoHa WINGへ移行ができる無料のツールをご用意しています。

  • WordPress移行代行

    移行にかかる作業はすべて専門のプロが代行するので、待っているだけでWordPressを移行できます。

  • ConoHa WINGへの移行ガイド

    レンタルサーバーの移行作業は複雑ですが、ConoHa WINGでは移行作業の流れをわかりやすくご紹介しています。