WordPressのセキュリティを強化する為の考えと対策

企業サイトから個人ブログまで様々なシーンで使われており、CMSとしては世界ナンバーワンシェアであるWordPressですが、利用者が多いだけあって攻撃対象になりやすいのも事実です。

更新されるたびにWordPress自体のセキュリティも強化されていますが、運用している人のセキュリティに対する認識が甘ければ意味がありません。

この記事では、WordPressのセキュリティを強化して安心安全な運用を行うための考えや施策をご紹介します。

この記事を書いた人

メッツ（Webデザイナー/ディレクター）

2009年～大手旅行代理店の系列会社でECサイトの管理運用
2012年～Web制作会社に転職し制作現場へ。現在は制作チーフとしてディレクションなども担当。 顧客の問題や要望を適切なサイト設計を通して解決。WordPressのテーマ開発が得意
その他Webコンサルやアクセス解析/サイト改善の提案を行う

なぜWordPressは狙われやすい

WordPressは無償で配布されていますのでいつでも最新のシステムが手に入りますので、技術に明るい人であればプログラムの解析をしてセキュリティホールを探すことが気軽に出来ます。

また、利用者が多いということはセキュリティの甘い環境で運用しているサイトも見つけやすいわけです。

ただWordPressだから被害に合うというわけではなく、WordPressでもしっかりセキュリティ対策を行えば高い確率で脅威を防げることも確かです。

ハッキングの標的

「クラッキングなんて企業サイトが狙われやすいんでしょう？自分のサイトは関係ない」と思っていたらそれは間違いです。不正侵入は一般のブログでさえ被害にあいます。

不正侵入するためのハッカーを育成している国の諜報機関も存在し、練習の為に海外のサイトを無作為に選んで侵入してクラックするそうです。もちろん日本のサイトも攻撃されています。

実際クラッキングにあって不具合を起こしているサイトの運営者様からご相談を受けて修復を行ったこともあります。

クラッキングされたサイトにはウィルスが埋め込まれており、ファイルにウィルスを読み込む不正なコードが記述されているのも確認しました。

ハッキングといえば、企業に侵入して機密情報を盗むイメージがありますが、それ以外にもただ単に練習台としてクラッキングされることもありますし、別のサイトへの攻撃の踏み台とされる為の乗っ取りだったり様々です。

特に重要情報を扱っているわけでもないので安心ではありません。ある日突然他サイトへの攻撃の踏み台として利用されているなんてこともあり得るわけです。

よくある攻撃方法

手口を把握することでセキュリティに対する意識を高めていただきたいと思いますので、ここではサイトが攻撃される際によく使用される手口を2点ご紹介します。

一つはログイン突破を試みるブルートフォースアタック、もう一つはパソコンに侵入して情報を盗むマルウェア（スパイウィルス）です。

ブルートフォースアタック

ブルートフォースアタックとは総当たり攻撃の事で、あらゆるIDとパスワードを組み合わせてログインを試みる攻撃方法です。

とは言え、英数字を無作為に際限なく組み合わせてアタックしても天文学的回数を試すことになりキリがありませんので、基本的には一般的に使われそうなIDとパスワードの組み合わせや、サイトで使用しているドメインやメールアドレスやユーザー名など様々な組み合わせをプログラムで自動化し何パターンも組み替えてログインを試みます。

もしドメインやメールアドレスなどから安易に推測されそうなものを使用している場合はすぐにログインを突破されてしまいますので気を付けてください。

マルウェア（スパイウィルス）の埋め込み

マルウェアはパソコン自体に入り込み情報を取得して外に送ったり、パソコン自体を乗っ取ります。

偽装したメールに添付して送りつけたり、サイトに誘導してソフトウェアをダウンロードさせる方法が一般的です。

送り先が不明な添付ファイルのダウンロードや、不意にサイトへ誘導されて行うダウンロードは大変危険です。（セキュリティソフトを装ったダウンロードにも気をつけましょう）

あらかじめセキュリティソフトなどを入れてしっかり設定しておくと同時に、信頼できないファイルのダウンロードやサイトへのアクセスは控えるようにしましょう。

ログイン周りの強化

おそらくWordPressの被害で一番多いのがログインに関することかと思います。

WordPressのログイン画面のURLはデフォルトのままであればURL末尾に/wp-login.phpなどを付けるだけで簡単にログイン画面へアクセスできます。

最近のバージョンは初期で作成するパスワードが強化されていますが、ログイン画面やID/パスワードに関してはまだまだ自身で対策を講じる必要があるので対策をご紹介します。

メールアドレス（ID）の扱い

WordPressはメールアドレスをIDとしてログインすることができます。そのメールアドレスをサイトの公開側に提示しているのは大変危険です。

IDとパスワードでログインが可能となるWordPressのシステムのうちIDを公開していることになります。公開するメールアドレスとログイン用のメールアドレスは異なるものを使用してください。

コメントや記事作成ユーザーとして公開側に名前が表示される場合もありますが、ユーザー名がそのままIDになるのは当然危険ですし、ユーザー名からIDが推測されるのも危険ですので認識しておきましょう。

ちなみに、メールアドレスをテキストデータそのまま公開側に掲載しているとスパムメールの標的にもなりますので、必要なければ公開しない、どうしても公開が必要な場合はIDとは異なるものを使用し一部文字を変えたり画像にするなどの対策が有効です。

パスワードの選定

パスワードは頻繁に扱うので覚えやすいものを選びがちですが、メールアドレス/ドメイン/名前/生年月日などの組み合わせを使うと推測されやすいので、パスワードを決めるときはまったく関係ない文字列を使用することをお勧めします。

WordPressの管理画面でパスワード生成を行ってくれますが、文字数や記号など細かい設定ができませんので、私はこちらのサイト結構活用したりします。

とはいえ、そのまま生成されたものを活用するのも心配ですので、パスワードを生成して出たパスワードをさらに自身で並び替えたり文字を変更したりして作成すると良いでしょう。

セキュリティ強化に役立つプラグイ

ログイン時のセキュリティをアップするためにプラグインのSiteGuard WP Pluginが有効ですのでご紹介します。

SiteGuard WP Pluginはログイン画面のURLを変更したり、ログイン時にメール通知を送る機能などがあるので、もし不正なログインがあってもすぐに把握することができるので大変便利です。

ログイン周りを強化するだけでも飛躍的にセキュリティを強化できますので是非押さえておきたいところです。

• ログイン画面のURLの変更
• ログイン時のアラート
• ログイン時の画像認証
• 不正アクセス時一定期間のログインロック

主に使用している機能をピックアップしましたが、上記以外にも様々な機能を取り揃えておりますので、詳しくは公式ページをご覧ください。

定期的なアップデート

セキュリティを強化するうえで、WordPress及びWordPressに入れているプラグインを常に最新の状態にしておくことは大事なことです。

古いバージョンのまま放置していると、そのバージョンのシステムでセキュリティーホール（不具合）があった場合そこを狙われる可能性もありますので、常に最新な状態を維持していることが望ましいです。

WordPressをバージョンアップする際に気を付けておきたいことを下記記事にまとめました。

使用するプラグインの選定

WordPressに使用するプラグインは、公式からダウンロードするか信頼のおけるサイトから入手するようにしましょう。

WordPressの公式サイトから入手するプラグインであれば、有志によるセキュリティチェックが行われているので比較的安全です。

公式以外に配布しているプラグインは第三者の目でセキュリティチェックが行われていませんので、配布元が信頼おけるところでなければ使用はおすすめしません。

バックアップ

どんなにセキュリティ対策を講じても100％ということはありえません。

最悪の事態を想定して復帰出来るように常日頃からバックアップを取っておくことが大事です。

データベースとWordPress本体のバックアップさえあれば復旧の望みがあります。

最近ではバックアップサービスを行っているレンタルサーバーも多くありますし、プラグインでバックアップを取ってくれるものもありますのでそういったサービスをうまく使いましょう。

テストサイトに関する記事ですが、バックアップに関しても触れてるので下記記事もよろしければ参考にしてください。

重要情報の管理

当たり前ですが、WordPressのログイン情報をはじめサーバーやデータベース、FTPなどの情報は安易に流出してしまわないよう徹底管理しましょう。

企業で扱っている場合は誰でもアクセスできるような状態であれば、誰かのパソコンでウィルスに感染していた場合そこから流出してしまう恐れがありますので、必要最低限のメンバーで管理しておくことが大事です。

また、どうしても情報を管理会社などに提出しなければならない場合もあるかと思いますが、メールにそのままコピペして送信するのも危険です。

アナログな形で渡すことが望ましいですが、どうしても送らざるおえない場合はファイルにパスワード圧縮をかけて添付メールと解凍パスと別々に送るようにしてください。（その際、圧縮ファイルの名前は推測されにくいものにすること）

最後に

WordPressのセキュリティ強化に関する情報をご紹介しましたが、ID/パスワードを推測されにくいものにしたり、プラグインを導入するなどログイン周りの強化はすぐに可能かと思います。

まずは、下記状況が合致するのであればこれから改善してください。

• IDとパスワードが推測しやすい
• メールアドレス（ID）を公開している
• ログイン画面URLが初期状態

何度も言いますが、クラッキングは他人事でなくサイトを運営していれば誰にでも起こることです。特にWordPressは管理が甘ければクラッカーの餌食になりやすいのでご注意を。

大事なデータを失う前に一度自身のセキュリティに対する危機管理を見直してみてください。