ワードプレスのデメリットは脆弱性。セキュリティ強化するべき理由と方法
「WordPressでホームページを持っているが、最近スパム系の問合せが増えて困っている」「WordPressのセキュリティに不安を感じてきた」「個人情報類を扱うサイトを作りたいが、脆弱性って対処できるの?」そういった方も多いのではないでしょうか?
今回はそういった方へ向けて、WordPressには脆弱性があることを確認した上で、セキュリティを強化すべき理由と、セキュリティ強化の方法を詳しく解説していきます。
この記事を読めば、WordPressのセキュリティ設定でやるべきことや、その理由が明確になり、安全なWordPressサイトを作るために何をすれば良いのかが分かるでしょう。
WordPressのデメリットは脆弱性である
WordPressは、世界で最も利用されているCMS(コンテンツマネジメントシステム)です。特に、日本ではサイトやブログへの採用率が高く、2019年の調査によると82.4%のシェアを占めていることが明らかになっています。
このように多くのユーザーに利用されているWordPressですが、しばしばセキュリティの脆弱性が問題となってきました。話に聞いたことのある人も多いかもしれませんが、おそらくあなたの想像以上にWordPressは狙われているというのが現実です。
今一度、WordPressサイトが被害を受けるとどうなるのか、なぜ脆弱性があるのかを確認しておきましょう。
WordPressサイトは狙われやすい現状
WordPressで製作したWEBサイトは、サイバー攻撃の対象になりやすいという現状があります。
アメリカのWordPressセキュリティサービスを提供するDefiant(デファイアント)は、WordPressを狙ったサイバー攻撃が1日で5000万件以上観測されたとして、注意を呼びかけています。
具体的な被害としては、WEBサイト内のコンテンツの改ざんが挙げられます。ユーザーが改ざんされたサイトにアクセスすると、不正な広告が埋め込まれた別サイトに誘導されてしまう、というようなケースが見られているようです。
狙われやすい理由
WordPressがサイバー攻撃の対象として狙われやすい根本的な理由には、「WordPressの利用者が多い」ということが挙げられます。なぜなら、利用する人が多くなれば、当然狙う人も多くなるため、脆弱性(=セキュリティホール)が見つかりやすくなるからです。
脆弱性(=セキュリティホール)とは、ソフトウェアなどに発生するセキュリティ上の欠陥のことです。こういったセキュリティ上の欠陥をついて、サーバー自体を攻撃したり、WordPressで制作したWEBサイトを攻撃したりします。
上でも少し触れたように、WEBサイトのコンテンツが改ざんされることで、ユーザーがフィッシング目的の別サイトに誘導されるなどの被害に遭う可能性があります。こういった状況を防ぐためにも、WordPressのセキュリティ強化をしておくことが欠かせません。
プラグインで基本的なセキュリティを強化
WordPressのセキュリティを強化する基本的な方法として、「プラグインを利用する」という対策が挙げられます。WordPressプラグインは、特別な知識も必要なく簡単に導入することができるので、WordPressを利用する全ての方におすすめです。
WordPressのセキュリティ対策プラグインで特に有名なのが、「All in One Security & FireWall」です。以下では、「All in One Security & FireWall」の機能・利用する際の注意点について解説します。
All in One Security&FireWallとは?
上述のとおり、WordPressは脆弱性が懸念されているCMSです。このWordPressのセキュリティを強化するプラグインが「All In One WP Security & Firewall」です。
このプラグインをインストールするだけで、様々なセキュリティ設定を簡単に行うことができます。具体的なセキュリティ強化の内容は、以下のとおりです。
- ログイン画面を守る
- データベースを守る
- 悪意のあるアクセスを防ぐ
- コンテンツの盗用を防ぐ
本来、システム会社に発注しなければならないようなセキュリティ機能が、初心者でも簡単に無料で設定できてしまいます。実際、このプラグインは本サイトにも導入されており、導入の容易さとセキュリティ強化の質を実感しています。
「All In One WP Security & Firewall」の導入・設定方法については、以下の記事で詳しく解説しています。ご興味のある方は、こちらも合わせてご覧ください。
関連記事:
プラグインを使用する際の注意点
「All In One WP Security & Firewall」に限った話ではありませんが、WordPressプラグインを使用する際には、バックアップを取る必要があります。なぜなら、WordPressのデータの一部を書き換えるため、サイトが壊れるリスクがないとはいえないからです。
株式会社WINQ(ウィンク)では、データバックアップの代行をさせていただいております。バックアップの方法や手順に不安のある方は、以下のページからお気軽にお問い合わせください。
関連ページ:
「更新」でセキュリティホールを埋める
プラグインの使用だけでなく、WordPress本体およびプラグインの更新(=バージョンアップを受け入れること)もセキュリティホールを埋めるためには重要な対策です。
こちらも特別な知識やテクニックは必要なく、ワンタッチで行うことができます。バージョンアップは基本的な対策ですが、面倒に感じたり、忘れていたりして行っていない方も多いです。
あらためてバージョンアップの大切さを理解した上で、あなたのWordPressおよびプラグインが最新版になっているのかを確認しておきましょう。
更新すべきもの
WordPress本体の更新に加えて、「プラグインの更新」や「テーマの更新」も合わせて行っておきます。なぜこれらの更新が必要なのかというと、システムのバージョンアップは、機能性向上・バグ解消だけでなく、セキュリティの穴を埋めるために行われることも多いからです。
例えば、2019年のWordPress5.2.4へのアップデートを例に挙げると、以下のようなセキュリティ上の問題に対して改善が行われています。
・格納型XSS(クロスサイトスクリプティング)がカスタマイザー経由で追加される可能性の問題
出典:https://ja.wordpress.org/2019/10/15/wordpress-5-2-4-security-release/
・認証されていない投稿を表示する方法
・JavaScriptをスタイルタグに挿入する格納型XSSの作成方法
・Vary: Origin ヘッダーを介して JSON GETリクエストのキャッシュをポイズニングする方法
・URLの検証方法でサーバーサイドリクエストフォージェリ
・管理画面のリファラーバリデーションに関連する問題
WordPressおよびプラグイン、WordPressテーマのバージョンアップデートはこまめに行われています。したがって、最新のセキュリティ対策が反映された状態を維持するためには、定期的な更新作業が必要だといえるでしょう。
注意事項
WordPress本体やプラグイン、テーマを更新することはセキュリティ強化の観点から見れば重要な対策です。しかし、それぞれのバージョンをアップデートする際には、注意しなければならない点もいくつかあります。
- WP本体を更新することで、プラグインが効かなくなる可能性がある。
- プラグインを更新することで、バグが生じる可能性がある。カスタマイズしてもらったプラグインでは、カスタマイズが消えることも。
- テーマを更新すると、テーマファイルに施していたカスタマイズが消える可能性がある。子テーマを使っていない場合は要注意。
このように、更新を行うことによって取り返しのつかない事態になることも可能性としてはあります。したがって、WordPressの更新を行う際には、事前にバックアップを取っておくことが重要です。
株式会社WINQ(ウィンク)では、データバックアップの代行をさせていただいております。バックアップの方法や手順に不安のある方は、以下のページからお気軽にお問い合わせください。
関連ページ:
reCAPTCHAでスパムを防ぐ
WordPressで制作したWEBサイトのコンタクトフォーム等に、スパムメールが届く場合があります。悪意のあるスパムメールを迷惑メールとして仕分けするのには手間がかかります。また、スパムメールの添付ファイルを開いてしまうと、ウィルスに感染する可能性もゼロではありません。
こういったWordPressサイトへのスパムメールを防ぐ対策として、「reCAPTCHA」を利用するという方法が挙げられます。以下では、このreCAPTCHAの概要メリットについて解説しますので、セキュリティ対策を行う際の参考にしてください。
reCAPTCHA使うと安心なのか?
reCAPTCHAとは、Googleが公式に提供する無料のセキュリティサービスです。チェックボックスや画像認証を利用して、コンピューターと人間を区別することを目的としています。
悪意のあるbotやその他ロボットにとって、reCAPTCHAを理解することは困難です。したがって、reCAPTCHAをWordPressサイトのメールフォーム等に設置することで、スパムメールを除外して、一般のユーザーのメールだけを受け付けられるようになります。
具体的には、このようなチェックボックスや画像認証を表示することで、これを突破した場合のみにメールを受け付けるように設定します。
reCAPTCHAについては、以下の記事で詳しく解説しています。reCAPTCHAをさらに詳しく理解しておきたい、WordPressサイトに導入したいという方は、以下の記事を参考にしてみてください。
関連記事:
サーバーレベルでブロックできること
最後に、WordPress本体だけではなく、サーバーレベルでも設定できるセキュリティ対策について紹介します。
WordPressを利用するためには、WordPressを導入するためのサーバーが必要です。弊社では、WordPressを利用導入するサーバとしてエックスサーバーを推奨しています。なぜなら、エックスサーバーではWordPressセキュリティ設定を行うことができるからです。
以下では、エックスサーバーで利用できるWordPressセキュリティ設定について、詳しく解説していきます。
国外IPアクセス制限設定
国外IPアクセス制限設定を行うことで、国外IPアドレスからのアクセスを制限することができます。
現状、不正なアクセスの多くは国外IPアドレスによるもので、これを制限することで多くの不正なログインを防ぐことが可能です。
ただし、海外に居住している場合など、国外IPアドレスからのアクセスが必要となる方は、この機能はオフにする必要がありますので注意してください。
ログイン試行回数制限設定
ログイン試行回数制限設定を行うことで、短時間での複数回にわたるログイン試行があった場合に、アクセスを制限することができます。
これによって、ブルートフォースアタック(=パスワード総当たり)による不正なアクセスを防ぐことが可能です。アクセス制限は、制限がかかってなら24時間の間有効となります。
もちろん、この機能はWordPressの所有者にも適用されます。ログインIDやパスワードを忘れてしまった場合、この機能の制限に引っかかる恐れがあるので、ID・パスワードは必ず保管しておきましょう。
コメント・トラックバック制限設定
コメント・トラックバック制限設定では、以下のようなコメントやトラックバックを制限することができます。
- 大量のコメント・トラックバック
- 国外IPアドレスからのコメント・トラックバック
前者は、一度に大量のコメントやトラックバックが行われた場合に、6時間の間コメント・トラックバックを制限するという機能です。スパムによる大量のコメントやトラックバックを防ぐことができます。
後者は文字どおり、国外IPアドレスからのコメントやトラックバックを受け付けないようにするものです。国外に居住しているなど理由で国外IPアドレスからのコメントを行う場合にも制限がかかりますので、その点には注意してください。
WordPressでWEBサイト運営を行うのであれば、使い勝手・セキュリティ対策の観点からエックスサーバーの利用をお勧めします。エックスサーバーに関心のある方は、以下のページを覗いてみてください。
