WordPressのセキュリティを強化する方法を教えてください。

WordPressはセキュリティ対策に気を配りながら利用しないといけないのは確かなことです。

WordPressに限らず、動的CMS、フレームワーク、動的プログラムなどには「脆弱性」というプログラム内に攻撃を仕掛ける隙が残ってしまうことがあります。

そのような隙を狙ってハッカーに攻撃されてしまうと、サイト改ざんや乗っ取りなどの被害に遭うことがあります。

その中でもWordPressは狙われやすいといわれていますが、それはWordPressがCMSとしてとても優れていることにも起因しています。なぜWordPressは狙われやすいのかを解説します。

また、便利なWordPressをより安心して使えるようにするためのセキュリティ対策もご紹介します。

なぜWordPressが狙われやすいのか

WordPressは多くのサイトに利用されている人気のCMSで、世界中の全サイトのうちの43%がWordPressを利用しています。

また、オープンソースである（プログラムコードが公開されている）ため、誰でもWordPressのコアプログラムを閲覧することが可能で、世界中の開発者がWordPressのプログラムの問題点の改善、脆弱性の報告に寄与しており、常にアップデートされています。

ハッカーは、そのような人気の高さや活発なコミュニティを逆手に取ってWordPressを狙ってきます。

特に、JVN iPediaなどで脆弱性情報が公にされた後は要注意です。脆弱性情報が公にされる時には、既にWordPressではセキュリティアップデートの対策が行われているので、WordPressの自動アップデートを行っていれば特に問題なることはありません。

しかし、アップデートを行わずに使っているWordPressでは、脆弱性のあるバージョンを使い続けていることになるため、ハッカーからの攻撃の対象になることがあります。

サイトを守るために、WordPressのアップデートは最も重要な項目です。

狙われないWordPressのための基本のセキュリティ対策

必ず抑えておきたい基本的なセキュリティ対策です。

狙われないWordPressにするために、下記の項目は漏れなく実施するようにしましょう。

• WordPressのバージョンを最新にする（セキュリティアップデートのみの実施でも可）
• 自動アップデートを必ずオンにする
• プラグインは、脆弱性のあるバージョンやメンテナンスされていなものは利用しない
• 推測されやすいユーザー名（adminなど）や、強度の低い簡単なパスワードの使用を避ける
• サーバのPHPはセキュリティサポートのある7.4以上を利用する（2022年9月現在）

WordPressのメジャーアップデートや、プラグイン のアップデートも定期的に行っていただくことを推奨しております。

弊社ではWordPressの保守サービスもご提供しておりますので、アップデートによる影響など、ご心配がありましたら、是非ご相談ください。

WordPressのセキュリティをさらに強化する

基本の対策は行っているけれど、さらにWordPressのセキュリティを強化する方法があれば、対策したいという方もいらっしゃると思います。

対策していただけると、さらに安心できるセキュリティ強化法をご紹介します。

管理画面ログインページのURLを変更する・アクセス制限をかける

WordPressの管理画面ログインページのURLには規則性があり、そのまま使っていると推測されやすくなります。

ログインページにアクセスされてしまうと、管理画面への不正アクセスのためのブルートフォースアタック（総当たり攻撃）や辞書攻撃の危険性が高まります。

ログインページのURLを変更したり、アクセス制限をかけることで、リスクを低減できます。

Pingback・コメントを受け付けない設定にする

WordPressのPingback機能を悪用されてDDos攻撃を行われたり、コメント機能を悪用されてスパムを送りつけられることがあります。

Pingback機能やコメント機能を使用していないのであれば、受け付けない設定に変更します。

管理画面の「設定」→「ディスカッション」のデフォルトの投稿設定で不要な機能はチェックを外しておきましょう。

さらに機能自体を無効化する方法もありますが、設定方法が高度になりますので、無効化をされる場合は専門家にご相談ください。

WAF（Web Application Firewall）を導入する

WAF（Web Application Firewall）とは、脆弱性を突いた攻撃からサイトを保護するために、サイトではなくサーバに設定するファイアウォールです。

WAFを利用できるレンタルサーバも多いので、サーバの設定画面で確認してみましょう。

WAFを設定すると、管理画面からの入力に対しても、プログラムに影響を与える文字列（ソースコードなど）は入力できなくなります。そのような場合は、除外設定が必要になります。

利用しているサーバによって除外設定の方法は異なりますが、例えば、さくらのレンタルサーバの場合は、プラグイン「SiteGuard WP Plugin」を使って除外リストを作成できます。

定期的にサイトデータのバックアップを行う

攻撃を防ぐ方法とは異なりますが、もしもの時のためにバックアップを取っておくことも重要なセキュリティ対策の一つです。

また、外部からの攻撃への対策は万全だとしても、内部的な操作ミスでのデータ消失もリスクとなります。

定期的に、サイトの構成ファイルとデータベースのバックアップを行いましょう。

WordPressから静的ページを生成する

こちらは必ずしも必要な対策ではありませんが、セキュリティ対策の選択肢の一つになります。

WordPressから静的ページを生成して公開する場合、WordPressの動的プログラムは外部に公開されないため、セキュリティリスクが低減します。

WordPressが動作しているサーバは管理者のみアクセスできるようにしておき、別に公開用のサーバを用意して、生成した静的HTMLを設置します。

セキュリティ面だけでなくページの表示速度が向上するなどのメリットもありますが、フォームや検索などの動的プログラムは設置できないため、向いているサイトと向いていないサイトがあります。

運用中のWordPressは対策ができていますか？

ここまでの必要な対策を行っていれば、WordPressを狙った攻撃を受けて被害が出ることは滅多にありません。

被害が出てしまってから後悔することのないよう、まずは、運用されているWordPressで基本のセキュリティ対策ができているか確認してみましょう。

弊社でもセキュリティ対策がなされているかのチェックや、上述したセキュリティ強化の対応をお手伝いすることもできます。

お困りごとがございましたら、是非お気軽にご相談ください。