全国対応年中無休 24時間電話受付 携帯・PHSからも通話可能
0120-900-5870120-900-587
簡単一括見積はこちら

【2020年最新版】WordPressのセキュリティ対策方法とおすすめプラグイン!

【2020年最新版】WordPressのセキュリティ対策方法とおすすめプラグイン!

【2020年最新版】WordPressのセキュリティ対策方法とおすすめプラグイン!

WordPressでホームページを作る際は、セキュリティ対策が必要不可欠です。もし、セキュリティ対策をしないまま運用していると、お客様だけでなく、ホームページに訪れる多くの人に被害が及ぶかもしれません。今回は、WordPressでセキュリティ対策をする必要性から、最低限実施するべきセキュリティ対策、おすすめのセキュリティ対策プラグインなどについてお話しします。

ホームページ制作.jpってどんなサービス?

  1. 審査済のホームページ制作会社に見積もり依頼ができる
  2. お客様に適切な制作会社を探すことができる
  3. 無料でお断り代行サービスもしてもらえる
  4. 何度でも無料相談ができる

ホームページ制作.jpでお手間なく一括で制作会社を探すことが可能。

ホームページ制作.jpに一括見積もりを依頼する

記事監修者の紹介

田丸 修太

株式会社エフ・コネクト マネージャー
飲食業界からWEB業界へ転身後、自社のWEB広告運用を担当。
現在はマーケティング領域からサイトのディレクション、お客様のヒアリング対応まで幅広く業務に携わっています。

1.WordPressでセキュリティ対策をする必要性

WordPressを運用する上では、セキュリティ対策は欠かせません。WordPressのセキュリティ対策を行っていない場合、どのようなことが起こるのでしょうか?ここでは、その理由と実際にWordPressが攻撃された事例を紹介します。

1-1. WordPressは狙われやすい

WordPressは非常に多くのホームページで利用されています。WordPressはCMS(Contents Management System)の一種ですが、CMSの中のシェア率は62.5%であり、全ホームページの中でのシェア率は35.8%にもなります

攻撃者の立場で考えれば、多くのホームページで利用されていることから狙いやすい、ということです。WordPressに関する脆弱性を1つ知り得れば、多くのホームページに対して攻撃できます。脆弱性とは、プログラムのセキュリティ的な欠陥・弱点を表します。

OSとして高いシェア率を誇るWindowsを例に取ると分かりやすいでしょう。シェア率が高いからこそ攻撃者から狙われやすく、Windowsユーザーがさまざまな攻撃を受けた事例は、枚挙に暇がありません。

さらに、WordPressで利用されているPHPは脆弱性の多いプログラミング言語としても有名であり、このような理由からWordPressは狙われやすいのです。

参照元:Usage statistics and market share of WordPress(W3Techs)

1-2. WordPressが狙われた事例

実際にWordPressが狙われた事例として、2017年1月に発覚した脆弱性を悪用した事例があります。

WordPress 4.7.0~4.7.1には、REST API(*1)の処理に起因する脆弱性がありました。この脆弱性を悪用すると、権限のないユーザーが特定の文字列を入力するだけで、ホームページの内容を書き換えることが可能となります。WordPressの提供元からすぐに脆弱性の修正パッチが公開されましたが、155万件以上の被害が報告されました。

そのほかにも、WordPressのデフォルトログインページは誰でもアクセスできることから、不正にログインされてホームページの内容を書き換えられた事例もあります。

ホームページの内容を書き換えられることで、お客様だけでなく、ホームページの訪れた人にまで被害が及ぶかもしれません。たとえば、お客様のホームページから、攻撃者が用意した不正なホームページへとリダイレクトすることで、被害が拡大するのです。

このような事例からもわかるように、WordPressを運用する上ではセキュリティ対策は欠かせません。

*1:Representational State Transfer(REST)の考え方をAPI (Webシステムを外部から利用するためのプログラムの呼び出し規約)に適用したもの。Webの設計思想の一つ。

2.WordPressのセキュリティ診断方法

WordPressのセキュリティ対策は欠かせませんが、まずはお使いのWordPressに脆弱性が含まれていないかの確認をすることが大切です。

すでに公開されているホームページであれば、次に紹介するWebサービスを使って無料で簡単に確認できます。どちらのWebサービスも、ホームページのURLを入力するだけで診断可能です。

WPSEC
独自のアルゴリズムでWordPressの脆弱性の有無をチェックします。英語のサイトですが、ホームページが安全かどうかを簡単にチェック可能です。

wpdoctor(WordPress脆弱性診断セキュリティースキャナ)
こちらもWordPressの脆弱性の有無をチェックできます。WPSECよりも少し詳細な結果が確認でき、日本語のサイトであるため、英語が苦手な方はこちらをおすすめします。

今回紹介したセキュリティ診断は簡易的なものです。そのため、どのような結果であったとしても、この後に紹介するセキュリティ対策は実施するべきといえるでしょう。しかし、まずは現状を把握するという意味で、利用してみてはいかがでしょうか。

3.最低限実施するべきWordPressのセキュリティ対策5つ

それでは、実際にWordPressのセキュリティ対策を進めていきましょう。最低限実施するべき5つのセキュリティ対策方法を紹介します。

3-1. 重要な設定ファイルを守る

WordPressには、重要な設定ファイルがいくつかあります。そのなかでも「wp-config.php」は、特に守らなければならない設定ファイルです。

「wp-config.php」のなかには、データベースにログインするためのIDとパスワードが記載されています。もし、その内容を見られてしまうと、データベースにアクセスしてデータを削除されたり、盗まれたりする可能性があります。WordPressで作成した記事の内容はデータベースに保存されるため、データベースの中身がお客様のホームページの内容です。

「wp-config.php」を守るために、アクセス権限をデフォルトから変更しましょう。デフォルトのアクセス権限は「644」であり、ファイルの所有者以外も内容を見ることが可能です。アクセス権限を「600」「400」に変更することで、所有者だけが読み書きできるように変更します。「600」は所有者だけが読み書き可能、「400」は所有者だけが読み込み可能という状態です。

エックスサーバーなどのレンタルサーバーを利用している場合、WordPressの簡単インストール機能がありますが、その機能を使うとアクセス権限が自動的に変更されるものもあります。

3-2. WordPressやテーマを最新版にする

WordPressやテーマは随時アップデートされています。機能の追加だけでなく、脆弱性の修正も含まれているため、常に最新版にすることを意識しましょう。
WordPressのバージョンアップには、「メジャーアップデート」と「マイナーアップデート」があります。

メジャーアップデート
「4.9」「5.0」などのアップデートであり、大幅な機能追加や管理画面のレイアウト変更などを伴います。メジャーアップデートは管理画面上に更新通知が届くため、更新ボタンを押すことでアップデートが可能です。
プラグインやテーマによっては、アップデートしたことでうまく動作しなくなる可能性があるため、慎重に対応しなければなりません。

マイナーアップデート
「4.9.1」「5.0.2」などのアップデートであり、バグの修正やセキュリティ対策などの細かいアップデートです。デフォルトでは自動更新される設定になっています。
マイナーとはいえ重要な修正が含まれているため、自動更新されない場合はしっかりと手動で更新しましょう。

WordPressやテーマなどの新しいバージョンがリリースされると、管理画面に更新通知が届きます。日頃から定期的に更新通知が来ていないか確認しましょう。

3-3. セキュリティ対策プラグインを導入する

WordPressの機能を追加する「プラグイン」のなかには、セキュリティ対策用のプラグインもあります。セキュリティ対策プラグインを導入すれば、簡単にセキュリティ対策が行えるのです。

セキュリティ知識がなければ適切な対策を取ることは難しいものですが、セキュリティ対策プラグインは高度な知識を必要としないものも存在します。画面に表示される指示通りに進めていくだけで対策が可能です。

おすすめのセキュリティ対策プラグインは後ほど紹介しますが、プラグインを導入してしっかりとセキュリティ対策を行いましょう。

3-4. ログイン画面の変更、パスワードの強化

WordPressのログイン画面は、デフォルトのままでは誰でもアクセスできます。デフォルトのログイン画面は「https://ホームページのURL/(ディレクトリ)/wp-login.php」という形で固定化されているためです。
たとえば、「homepage-wp.com」というURLのホームページであれば、「https://homepage-wp.com/wp-login.php」でログイン画面にアクセスできてしまいます。

簡単にログイン画面にアクセスできるということは、それだけでセキュリティ的に弱くなります。管理者以外はログイン画面にアクセスする必要がないため、ログインURLを変更したり、ベーシック認証(*1)などを使ったりしてアクセスを制限しましょう。

また、ログインパスワードを強固なものに設定することも重要です。仮にログイン画面にアクセスされても、強固なパスワードであれば不正にログインすることは難しくなります。
パスワードを設定する際は、「password」や「12345678」といった簡単なパスワードを設定しないようにしましょう。おすすめは大文字・小文字・数字・記号を織り交ぜ、8文字以上の意味のない文字列にすることです。たとえば、「Wo2kL$7a」のようなパスワードを設定すれば、推測が難しいため不正ログインを防げる可能性が高まります。

*1:Web上で利用できる簡易的な認証システム。WordPressログイン以外の認証を追加することが可能。

3-5. バックアップを取得する

直接的なセキュリティ対策ではありませんが、バックアップを取得することも重要です。なぜなら、セキュリティ対策を施す過程で設定変更を誤り、ホームページにアクセスできなくなることもあるからです。

WordPressのセキュリティ対策は内部的な設定を変更することも多く、誤った設定をするとホームページが表示されなくなる可能性が考えられます。
また、仮にお客様のホームページが攻撃され、ホームページの内容を書き換えられたり、削除されたりしても、バックアップを取得していれば元に戻すことが可能です。

予期せぬ事態に対応するという意味では、バックアップの取得もセキュリティ対策といえるでしょう。

4.WordPressのおすすめセキュリティ対策プラグイン5選

WordPressで使える無料のおすすめセキュリティ対策プラグインを紹介します。すべてを導入する必要はなく、お客様のホームページに合わせてプラグインを選択することが重要です。

4-1. SiteGuard WP Plugin

4-1. SiteGuard WP Plugin

株式会社ジェイピー・セキュアが開発した国産のセキュリティ対策プラグインです。導入するだけで基本的なセキュリティ対策が行え、設定項目も日本語で記載されているため、使いやすいプラグインとなっています。

高度なセキュリティ対策はできませんが、管理画面への不正アクセスを防ぐための対策が行なえます。デフォルト設定のままでもきちんと対策が取れるため、初心者でも使いやすいプラグインです。

SiteGuard WP Pluginを導入することで、以下の機能を利用できます。

・管理ページアクセス制限
・ログインページ変更
・画像認証
・ログインロック
・ログインアラート
・更新通知
・ログイン履歴の取得
など

特に「ログインページ変更」は、導入するだけでアクセスURLを変更できるためおすすめです。初心者にこそ使っていただきたいプラグインです。

4-2. All In One WP Security & Firewall

4-2. All In One WP Security & Firewall

WordPressの統合的なセキュリティ対策が行えるプラグインです。SiteGuard WP Pluginよりも高度なセキュリティ対策が行なえます。

名前の通り「オールインワン」なプラグインですが設定項目が多く、デフォルトでは英語で記載されているため、セキュリティの知識がないと上手に使いこなすことは難しいかもしれません。日本語化する方法もありますが、ひと手間必要です。
しかし、機能としては非常に素晴らしいため、しっかりと統合的なセキュリティ対策を行いたい方へおすすめします。

All In One WP Security & Firewallを導入することで、以下の機能を利用できます。

・設定ファイルのバックアップ
・WordPressのバージョン隠し
・データベースの接頭辞の変更
・ファイアウォール機能
・ファイルアクセス制限
・スパムブロック機能
・ブルートフォースアタック(*1)の防御
など

*1:総当たり攻撃とも呼ばれる。想定されるパスワードをひたすら試行する攻撃。たとえば、「923」のようなパスワードがあった場合に「000」~「999」までを繰り返せば、いつかは正解にたどり着く、というような考えのもとに行われる攻撃のこと。

4-3. IP Geo Block

4-3. IP Geo Block

IP Geo Blockは、特定のIPアドレスからのアクセスを防ぐプラグインです。ホームページを運用していると、コメントやお問合せフォームからスパムコメントやスパムメールが届くことがあります。そのスパムの多くは海外から送信されています。

IP Geo Blockは「国コード」によって、国別にアクセス制限をかけることが可能です。IPアドレス単位で制限することも可能ですが、国コードを使うと簡単に海外からのアクセスを制限できます。
アクセスを制限する場所としては、管理画面領域と一般公開領域を選択でき、管理画面領域に対するゼロデイ攻撃(*1)を遮断する機能もあるため、海外からの攻撃が気になる方は導入してみてはいかがでしょうか。

なお、レンタルサーバーのなかには、海外からのアクセスを制限しているものもあります。たとえば、エックスサーバーでは、管理画面領域に対する海外からのアクセスはデフォルトで制限しています。お使いのサーバーにあわせて、導入を検討してください。

*1:修正パッチなどが配布される前の脆弱性を狙った攻撃。

4-4. Akismet

4-4. Akismet

WordPressに標準インストールされているスパムコメントをブロックするプラグインです。インストール済みであるため、有効化するだけで利用できます。

WordPressでは、デフォルトで記事に対するコメントができるようになっているため、スパムコメントを防ぐ際に有効です。初めて利用する場合は、Akismetのホームページで「APIキー」を取得する必要があります。個人利用の場合は無料で取得できますが、商用利用の場合は有料となるため注意しましょう。

先に紹介したAll In One WP Security & Firewallでも、スパムコメントを防ぐ機能がありますが、機能が重複すると予期せぬ動作をする可能性があります。同様の機能を持つプラグインを併用する際は、重複した機能を利用しないように注意しましょう。

4-5. BackWPup

4-5. BackWPup

WordPressのバックアップを取るための最も簡単な方法は、BackWPupを導入することです。

バックアップを取得するべき対象は記事だけでなく、画像ファイルやテーマ、プラグインなども含まれます。さらに、記事の内容はデータベースに保存されているため、「ファイルをコピーするだけ」といったバックアップはできません。
BackWPupを利用すれば、ホームページ全体のバックアップを簡単に取得できます。手動取得だけでなく、スケジュールを組んで自動的に取得することも可能です。

取得したバックアップは、Dropboxなどの外部サービスに保存することもできるため、有事の際の備えとしてBackWPupを導入し、定期的にバックアップを取得しましょう。

5.WordPressのセキュリティ対策で気をつけるべきこと

WordPressのセキュリティ対策を行う前に、気をつけるべきことについて知っておきましょう。セキュリティ対策は非常に重要ですが、闇雲に対策しても失敗する可能性があります。セキュリティ対策で気をつけるべき「心構え」を中心に解説していきます。

5-1. プラグインを導入しすぎない

セキュリティ対策プラグインを導入すれば、簡単にセキュリティ対策が行なえます。しかし、闇雲にプラグインを導入しないように注意しましょう。同一系統のプラグインを複数利用する場合は、機能が重複しないようにしなければなりません。機能が重複することで、予期せぬ動作をする可能性があるからです。

また、セキュリティ対策プラグインだけでなく、そのほかのプラグインも導入しすぎないように注意が必要です。プラグインは非常に便利ですが、導入数が多くなるほどホームページの表示が遅くなる傾向にあります。

さらに、プラグインにも脆弱性があるため、定期的にアップデートしなければなりません。数が多くなるほど管理が難しくなるため、必要最低限のプラグインだけを導入するようにし、不要となったプラグインは削除することを心がけましょう。

5-2. 出どころ不明のテーマやプラグインを利用しない

テーマやプラグインは、WordPressの管理画面から追加することが一般的ですが、インターネットからファイルをダウンロードして追加することも可能です。その場合は、信頼できるホームページからダウンロードしてください。もしかしたら、お客様がダウンロードしたテーマやプラグインは、WordPressの脆弱性を狙ったマルウェアが含まれているかもしれません。

WordPressの管理画面からテーマなどを追加する場合は、WordPress公式ホームページのチェックが行われたものであるため、安心して利用できます。しかし、それ以外から入手した場合は注意が必要です。

テーマやプラグインを導入する際は、出どころをしっかりと確認し、導入してもよいかを判断しましょう。

5-3. ホームページを常時SSL化(HTTPS)する

現在では、ホームページを常時SSL化(HTTPS)することが一般的です。SSL化とは、ホームページの暗号化のことであり、常時SSL化はホームページのどのページを訪れても暗号化されている状態を表します。

ホームページを閲覧する際には、昔からHTTPというプロトコルが利用されてきました。しかし、HTTPは通信内容が暗号化されていないため、第三者が簡単に通信内容を盗聴できます。WordPressのログインページがSSL化されていなければ、ログインIDとパスワードを盗聴されてしまうかもしれません。そこで現在では、通信内容を暗号化するHTTPSを使ってホームページを閲覧することが一般的となっているのです。

さらに、常時SSL化はSEO施策としても有効です。2014年時点でGoogleからランキングアルゴリズムのシグナルとして、「暗号化された安全な接続の使用有無(SSL化)」をチェックすることが明確に示されています。

セキュリティの強化とあわせて、SEO施策としても常時SSL化を実施しましょう。具体的な方法に関しては、お使いのサーバーによって変わりますので、詳細はサーバー管理者へお問い合わせください。

参照元:HTTPSをランキングシグナルに使用します(Googleウェブマスター向け公式ブログ)

6.WordPressだけでなくサーバー側のセキュリティ対策も重要

ここまで、WordPressに的を絞ったセキュリティ対策を解説してきました。たしかにWordPress自体のセキュリティ対策は重要ですが、WordPressを稼働させるサーバー側のセキュリティ対策も重要です。

WordPressの管理画面へのアクセスを制限したり、バックアップを取得したりすることは、局所的なセキュリティ対策といえます。あくまでもWordPressはサーバー上で稼働しているため、サーバー自体に攻撃される可能性も考えなければなりません。

サーバーのセキュリティ対策としては、OSやミドルウェアのアップデート、WAFなどのファイアウォールの導入、IDSやIPSといったセキュリティツールの導入が挙げられます。サーバーも含めて運用している場合は、サーバー側のセキュリティ対策も意識しましょう。

なお、エックスサーバーなどのレンタルサーバーを利用されている場合は、それらのセキュリティ対策は一括してサービス提供側で行われています。レンタルサーバーサービスごとに対策内容は異なるため、気になる方は問い合わせするとよいでしょう。

レンタルサーバーの場合は、サーバー側のセキュリティは深く意識する必要はないため、WordPressのセキュリティに注力しましょう。

7.まとめ

WordPressを利用する場合、攻撃者から狙われやすいためセキュリティ対策は欠かせません。Web上で簡単にセキュリティ診断できるサイトもあるため、気になる方は一度診断してみてはいかがでしょうか。

WordPressを利用するなかで、最低限実施すべきセキュリティ対策は次の5つです。

・重要な設定ファイルを守る
・WordPressやテーマを最新版にする
・セキュリティ対策プラグインを導入する
・管理画面の変更、パスワードの強化
・バックアップを取得する

プラグインを利用すれば簡単にセキュリティ対策が行なえますので、今回紹介したプラグインを導入してみてはいかがでしょうか。セキュリティ対策を行うなかで気をつけるべきことにも考慮しながら、セキュリティ対策を行ってみてください。

WordPressのセキュリティ対策は比較的簡単に行えますが、万全な対策を行うためにはセキュリティ知識が欠かせません。サーバー側のセキュリティ対策まで考えるのであれば、専門の制作会社におまかせする方が安心です。

制作会社を探される場合は、弊社へお問い合わせいただくことで、一括で優良制作会社を紹介する事が可能です。お客様に最適な制作会社をご提案いたします。

制作会社選びでお悩みのお客様は、どうぞお気軽に弊社へご相談ください。


ホームページ制作のことでお困りのことはありませんか?

優良制作会社を一括比較することで適正な【価格】がわかります!

ホームページ制作会社の一括見積もりサービス

  1. 審査済のホームページ制作会社に見積もり
  2. お客様に適切な制作会社を探すことができる
  3. 無料でお断り代行サービスもしてもらえる
  4. 何度でも無料相談ができる

お急ぎの方はお電話ください。0120-900-587

ご担当者名

未入力です。

ご連絡先電話番号

無効な電話番号です。

メールアドレス

無効なメールアドレスです。