「WordPressにセキュリティ対策は必要?」
「どのようなリスクがあるのか知りたい」
WordPressは、ウェブサイト用のコンテンツ管理システム(CMS)として広く使用されていますが、他のソフトウェアと同様に、脆弱性が存在します。そのため、セキュリティ対策をしないと不正アクセスなどの被害を受ける恐れがあるのです。
本記事では、Wordpressの脆弱性や、リスクに対して対策をしないとどうなってしまうのか、脆弱性を確かめる方法やセキュリティレベルを高める方法について解説していきます。
WordPressの脆弱性とは?リスクは?
WordPressの脆弱性とは、攻撃者が不正にアクセスするために悪用しているコードの欠陥または弱点を指します。一般的な脆弱性の種類には、SQLインジェクションやクロスサイトスクリプティング(XSS)、クロスサイトリクエストフォージェリ(CSRF)の2種類があります。
これらの脆弱性に関連するリスクを緩和するためには、WordPressのインストールとそのプラグインとテーマを最新のバージョンに保つことのほか、ウェブサイトのセキュリティレベルを最高レベルで維持することが重要です。
しかし、どれだけ最高レベルで維持しているといっても、WordPressがプログラムによって動いている以上、何かしらのエラーや弱点があります。そこが不正アクセスされる弱点となります。
WordPressの脆弱性対策をしないとこうなる
WordPressは、脆弱性への対策をしないと次のようなことが起きる危険性があります。
- ウェブサイトの内容を改ざんされる
- マルウェア感染してしまう
- 個人情報を盗まれてしまう
ウェブサイトの内容を改ざんされる
WordPressに不正アクセスされると、ディレクトリへのアクセス権限が奪われてしまい、ウェブサイトの内容(データ)が改ざんされる恐れがあります。
内容が改ざんされると、公式ウェブサイトのトップページに仮想通貨の送金先を表示されるなど検索ユーザーに不信感を与えるような情報が許可なく表示される可能性があります。
マルウェア感染してしまう
WordPressに脆弱性があると、その弱点部分に悪意のあるプログラムが埋め込まれてしまう可能性があります。
この場合、ウェブサイトに訪れた検索ユーザーが別サイトに誘導されてマルウェア感染してしまいます。
個人情報を盗まれてしまう
WordPressのセキュリティレベルが低いと、個人情報を盗まれてしまうことがあります。
某株式会社の個人情報流出事件は有名で、実際に顧客情報が3500万件以上流出したといわれています。
そうなると、顧客からの信頼回復は非常に難しく、顧客の被害を補填するために莫大な損害賠償金を支払うことになります。サイトの運営者自身も個人情報を盗まれた被害者ではありますが、「セキリティレベルが低かったのではないか」と追求されることになるため、被害者の立場でありながら信頼回復のために被害の補填が必要となります。
WordPressのサイトの脆弱性を確かめる方法
WordPressのサイトの脆弱性は、下記のセキュリティ診断サイトを利用すると確認できます。
- Sitecheck
- WP Scan
- WPSEC
- KYUBI
Sitecheck
Sitecheckを利用すれば、URLを入れるだけで簡単にウェブサイトの脆弱性を診断できます。
脆弱性に伴う危険を5段階に分類して評価してくれます。もし、問題のあるプログラムが含まれている場合は、リサーチした結果をリスト形式で表示します。
WP Scan
WP Scanは、Wordpressのテーマやプラグイン、コアファイルの3つの点で脆弱性を診断し、その結果を知れます。他にも、データベースに脆弱性が見つかった時に管理ユーザーに脆弱性の存在を通知する機能があります。
WPSEC
WPSECも他の診断サービスと同様に、URLを入れるだけでウェブサイトの脆弱性を診断できます。
診断するとインスタント診断機能によってセキュリティ状況が記されたレポートを表示できます。
他にも、アカウント登録を行えば、自動的診断機能である自動追跡機能の利用やメンテナンスが行えるダッシュボード機能などが利用可能です。
KYUBI
KYUBIとは、WordPressやプラグイン、テーマに対して脆弱性診断を実施するサービスです。使い方は簡単で、氏名とメールアドレスを登録しアカウントを作成するだけ。たったこれだけで、毎月サイトを診断できます。
さらに、以下の機能が搭載されています。
- 定期診断
- 診断結果のレポーティング
- 最短5分の診断サービス
無料で使えますが、無料会員の場合、診断回数は月1回です。課金すると5回以上に増えます。
| Liteプラン | Proプラン | Adminプラン | |
| 費用 | 0円/月 | 980円/月 | 7,980円/月 |
| 診断回数 | 1回/月 | 診断回数:5回/月 | 診断回数:無制限 |
WordPressのセキュリティを高める方法
WordPressのセキュリティを高めたいのなら、次の方法が有効です。
- WordPressとプラグインのアップデートを定期的に行う
- 強力なパスワードを使用する
- プラグインを厳選する
- 2段階認証を有効にする
- アクセス可能なIPを制限する
WordPressとプラグインのアップデートを定期的に行う
一般的に、新しく注目度の高い脆弱性が発見されると、最新版のアップデートが公開されます。
アップデートを適用することで、ウェブサイトがハッキングの被害から守れます。
通常は自動的に最新版へと更新されますが、状況によってはアップデートが行われないこともあるため、最新版になっているか定期的にチェックしましょう。
強力なパスワードを使用する
WordPressの管理者アカウントには、強力なパスワードを使用することをおすすめします。
小文字や数字だけの単純なパスワードではなく、特殊文字や大文字など何種類も組み合わせるとセキュリティレベルを高められます。
プラグインを厳選する
プラグインを選ぶ際には、定期的にアップデートされているか信頼できる人物によって作成されているかを確認することが重要です。
管理されていないプラグインを利用してしまうと、そこが脆弱性となってセキュリティリスクを高めてしまいます。
すでにインストールしてあるプラグインも一度確認してみましょう。
2段階認証を有効にする
WordPressへアクセスする場合は、2段階認証を有効にしましょう。
2段階認証にするだけサイトへ不正アクセスがしにくくなるため、危険の発生を防げます。
アクセス可能なIPを制限する
WordPressを運用するときにアクセス可能なIPを制限することで、セキュリティレベルを高められます。
IP制限を行えば、許可されたIPしかウェブサイトにアクセスできなくなるため、不正アクセスを受けづらくなるでしょう。
IP制限を行うときにSiteGuard WP Pluginを利用すれば、自宅以外のIP以外はアクセス不可になります。
まとめ
WordPressは有名なサービスですが、脆弱性も認められます。
ウェブサイトに異変が生じているように感じる場合は、ご紹介した診断ツールを使用して悪意のあるファイルを検知し、大きな被害につながる前に対応しましょう。
また、被害につながらないよう事前の対策も大切です。強力なパスワードを使用したりアクセス可能なIPを制限したりなど、あらかじめセキュリティを高めておきましょう。
