2022年最新のワードプレスのセキュリティ対策と初心者におすすめなプラグインについて解説していきます。
ワードプレスには脆弱性とリスクがあります。
それはオープンソース(無料)で、誰でも簡単に使えるメリットがあるため、幾分致し方のない面でもあります。
ワードプレスの脆弱性を狙った攻撃により、被害を受ける前にきちんとセキュリティ対策をしておきましょう。
ワードプレスに脆弱性がある理由と種類
ワードプレスのセキュリティを考えなければならない理由は、ワードプレスでは脆弱性を指摘されることがあるからです!
攻撃者は、ワードプレスの脆弱性をついて「アカウントの乗っ取り」、そして「改ざん」や「詐欺サイトへの強制転送」をしてきます!
脆弱性ができる理由
ワードプレスに脆弱性が発見されやすい理由には以下のようなものがあります。
ワードプレスは世界で一番大きなシェア率を誇るCMSです。
そのため、攻撃者の標的になりやすいという一面があります。
また、今ではレンタルサーバーを契約するだけで、簡単にワードプレスを導入してブログを始めることができます。
ブログを始めてまだ間もない初心者ユーザーが多いため、セキュリティ対策に不備があることも多いのです。
また、ワードプレスは正式には「WordPress.org」という無料で使えるソフトウェアのみを使うことがほとんどです。
有料のCMSと比べると、どうしてもセキュリティホールが見つかりやすいというデメリットがあります。
そして、ワードプレスでは、記事数が増えると、不正改ざんをされていても気付きにくいです!
読者から指摘されて始めて、自分のブログが攻撃されていたことに気づくことも少なくありません。
脆弱性の種類
ワードプレスの脆弱性の種類は、大きく分けると次の3つです。
まず、ワードプレス自体の脆弱性ですが、「開発者がまだ気づいていない脆弱性」や「見つかってはいても、修正プログラムの提供がまだ行われていない脆弱性」をつく「ゼロディ攻撃」があります。
また、ワードプレスのテーマやプラグインにも脆弱性があります。
テーマやプラグインは、簡単にワードプレスのレイアウトを変更したり、機能を拡張できるため便利ですが、導入の際にはリスクもあることを理解しておかなければなりません。
特に、非公式のプラグインや、開発者が不明のテーマは極力使わないようにするべきです。
以上のことから、ワードプレスのセキュリティ対策を行うには、「ワードプレス自体(wordpress.org)」「ワードプレスのテーマ」「ワードプレスのプラグイン」に対して、行う必要があります!
ワードプレスの脆弱性を狙った攻撃事例
ワードプレスの具体的なセキュリティ対策を解説する前に、ワードプレスの脆弱性(セキュリティホール)を狙った攻撃事例をいくつかご紹介します。
事例①ワードプレス本体の脆弱性を狙った攻撃
2017年2月、REST API 4.7.1の脆弱性が狙われました。
投稿IDの検証不備が原因となり、権限のないコンテツの内容を書き換えることが可能になっていました。
攻撃者により、自分のコンテンツが書き換えられる被害が全世界で155万サイト以上発生しました。
この攻撃に対しては、修正版のREST API 4.7.2をインストールすることが必要でした。
事例②アクセス権限設定の不備によるサイト改ざん
2013年9月に、レンタルサーバーのロリポップのサーバ内のディレクトリアクセス権限設定に問題があり、8,000以上のサイトが改ざんされました。
サイトタイトルやキャッチコピーが改ざんされ、文字化けなどの現象も報告されています。
事例③プラグインの脆弱性を狙った攻撃
ワードプレス本体だけでなく、プラグインの脆弱性を使った攻撃も行われています。
2019年春ごろ。「Yuzo Related Posts」という、記事下に関連記事を表示させる機能を持ったプラグインの脆弱性が狙われました。
攻撃されたワードプレスのサイトを表示すると、自動的に詐欺サイトに転送されるという動作が発生しました。
ワードプレスの脆弱性を使った攻撃は、ワードプレス本体やプラグインを介するケースが多いです。
そして、主な被害としては、「ブログ記事の改ざん」や「詐欺サイトへの強制転送」などが多くを占めています。
これらの攻撃を回避するためには、プログラムを最新版にアップデートすることが重要です。
ワードプレスのバージョンのメジャーアップデートには注意が必要なケースがあります。詳しくはこちらをご覧下さい。
ワードプレスのセキュリティ対策!これだけはやっておきたいこと!
ワードプレスのセキュリティ対策で「これだけはやっておきたいこと」は、以下の通りです。
中・上級者向けのセキュリティ対策
- wp-config.phpへのアクセスを制限
- FTPソフトで設定できる「ファイルの属性」を400にする
- 海外からのアクセスをブロック
ログインパスワードの見直し
ワードプレスのアカウントが乗っ取られて、ブログを改ざんされるといった被害が報告されています。
そのため、ワードプレスのセキュリティ対策で、最も重要と言えるのが、「ログインパスワード」の管理です!
生年月日や名前など、第3者が想像しやすいものや、極端に短くシンプルなパスワードもセキュリティ上では危険です。
ワードプレスのパスワードは、英字や数字の他に記号を含めて自動生成した強固なものを使うことをおすすめします。
また、パスワードは、定期的に変更するようにしておくと、より安全になります!
テーマを最新版にしておく
テーマのバージョンを最新版にしておくこともとても重要です。
前述した攻撃事例にもあったように、テーマの脆弱性が狙われることもあるからです。
テーマを最新版にする際は、ワードプレス本体(wordpress.org)のバージョンに対応しているかどうかも確認しておきましょう!
特に、ワードプレスのメジャーアップデートがあった際は、テーマ側が未対応の可能性が高いです。
プラグインをアップデートして使っていないプラグインは削除する
ワードプレスのプラグインは、簡単に機能を増やすことができるためとても便利です!
しかし、プラグインの数が増えると、中には使用していないものも出てきます。
プラグインの更新をやらずに、バージョンが古いままにしておくと、プラグインの脆弱性をつかれて攻撃を受けてしまうリスクが高まります!
プラグインを最新版に更新するか、使用しないなら削除するようにしましょう!
プラグインの更新は手動がおすすめ!
テーマとプラグインがワードプレスのバージョンと合わずに、不具合が生じることがあります。
原因がわかりづらくなるため、プラグインは自動更新ではなく手動で更新することをおすすめします。
ただ、ワードプレスに頻繁にログインしない場合は、自動更新にしておくといいですね!
バックアップを定期的に取っておく
バックアップはとても重要です!
ついつい面倒くさがって、やらずにおくと、いざという時に後悔します!
ワードプレスのバックアップは、プラグインを使えばとても簡単にできます。
ワードプレスのバックアップについて詳しくはこちらをご覧ください。
初心者におすすめなセキュリティ対策プラグイン
ワードプレスの初心者におすすめなプラグインはこちらです。
SiteGuard WP Plugin
SiteGuard WP Pluginは、ワードプレスの管理画面やログイン画面におけるセキュリティを強化することができます。
日本語に対応しているため、設定変更もやりやすいメリットがあります。
SiteGuard WP Pluginの設定方法についてはこちら!
Wordfence Security
Wordfence Securityは、ワードプレスにおける全体的なセキュリティ強化ができるプラグインです。
Wordfence Securityの設定方法についてはこちら!
All In One WP Security & Firewall
「All In One WP Security & Firewall」も、「Wordfence Security」と同じく総合的なセキュリティ強化ができるプラグインです。
iThemes Security
iThemes Securityはとても細かい部分までセキュリティ設定が可能な総合的セキュリティプラグインです。
Akismet
Akismetは、スパムコメントや、お問い合わせフォームからのスパムメールを対策するプラグインです。
お問い合わせフォームを作成するのに用いられる「Contact Form 7」と組み合わせることで、お問い合わせフォームからのスパム送信も防ぐことができます。
Akismetの設定方法についてはこちら!
BackWPup
BackWPupはWordPressのバックアップに必要な機能を複数備えているプラグインです。
ワードプレスのバックアップの取り方については詳しくはこちら!
ワードプレスのセキュリティ対策のまとめ
以上、ワードプレスのセキュリティ対策について解説しました。
ワードプレスのセキュリティ対策は必須です。
面倒くさがって、後回しにしていると、後悔してしまうことになりかねません。
今では、便利なプラグインもあるため、今回ご紹介したプラグインを参考にあなたのブログを守る対策をしておきましょう!
最後までご覧いただき、ありがとうございました!
