WordPressは最も人気のあるコンテンツ管理システム (CMS) であり、すべてのWebサイトの43.2%がWordPessで実行(By W3Techs)されています。同時にその人気は、プラットフォームのセキュリティの脆弱性を悪用するあらゆる種類のサイバー犯罪者を引き付けています。

これは、WordPressのセキュリティシステムが甘いという意味ではありません。WordPressは誰でも導入でき、扱うことができるため、設置する際のセキュリティ対策が原因で侵害が発生することもあります。
したがって、Webサイトがハッカーの標的になる前に、予防的なセキュリティ対策を適用することをお勧めします。本記事では、WordPressのセキュリティを改善し、さまざまなサイバー攻撃からサイトを保護する19の方法について説明します。

WordPressの脆弱性の種類

WordPressのセキュリティを向上させる方法

WordPressサイトがハッキングされると、重要なデータ、資産、信頼性を失うリスクがあります。
では、WordPressのどんな脆弱性が存在し、狙ってくるのでしょうか。セキュリティプラグインの中でも有名なWP scanの脆弱性データベースに基づいて、最も一般的な6つの攻撃タイプをご紹介します。

不正領域と攻撃の種類|株式会社フォチューナ
– クロスサイト リクエスト フォージェリ(CSRF) –

Webアプリケーションに存在する脆弱性、もしくはその脆弱性を利用した攻撃方法です。コメントや問い合わせフォームなどを処理するWebアプリケーションが、本来拒否すべき他サイトからのリクエストを受信し処理してしまいます。

– 分散型サービス拒否(DDoS)攻撃 –

複数のマシンから大量のトラフィックを送りつけ、Webサイトやサービスを利用できなくする。サービスを提供しているサーバが正常に機能しなくなるようにする攻撃方法です。

– SQLインジェクション(SQLi) –

システムに悪意のあるSQLクエリを実行させ、データベース内のデータを操作させます。

– クロスサイト スクリプティング( XSS ) –

攻撃対象のWebサイトの脆弱性を突き、攻撃者がそこに悪質なサイトへ誘導するスクリプトを仕掛けることで、サイトに訪れるユーザーの個人情報などを詐取する攻撃方法です。

– 認証バイパス –

攻撃者が認証メカニズムを迂回あるいは回避して、WordPressの場合は、ダッシュボード ログインのIDとパスワードの権限を取得しアクセスする攻撃方法です。

– ローカル ファイル インクルージョン( LFI ) –

ローカルファイルを読み込ませ、Webサーバーに悪意のあるファイルを配置し、サイトを強制的に処理させる攻撃方法です。

WordPress のセキュリティチェックリストと追加のヒント

WordPressのセキュリティを向上させる方法

WordPressのセキュリティ対策を1つまたは2つ実装するだけでは、WordPressのWebサイトを完全に安全にすることはできません。

そこでインストールなどの初期構築に行う作業と、定期的に行うメンテナンスに分け、19のチェックリストを作成しました。ぜひWEBサイトの保守とセキュリティを向上にお役立ていただければと思います。

  1. WordPressバージョンを最新の状態に保つ。
  2. 安全な wp-admin ログイン情報を使用する。
  3. 管理ページのセーフリストとブロックリストを設定する。
  4. 信頼できる WordPress テーマを使用する。
  5. 安全なデータ転送のために SSL 証明書をインストールする。
  6. 未使用の WordPress のプラグインとテーマを削除する。
  7. WP-Adminの2要素認証機能。
  8. WordPressを定期的にバックアップする。
  9. ログイン失敗回数を制限する。
  10. WordPress ログインページの URL を変更する。
  11. 長時間ログインしたままのユーザーを自動的にログアウトする。
  12. ユーザーの活動を監視する。
  13. サイトを定期的にスキャンしてマルウェアをチェックする。
  14. PHP エラー報告を無効にする。
  15. より安全なWebサーバーに移行する。
  16. 標準の WordPress データベース名を変更する。
  17. XML-RPC を無効にする
  18. WordPress のバージョンを隠す。
  19. ファイルのアクセス許可を管理する。

Webサイトのセキュリティを向上させるための一般的な6つの対策

WordPressのセキュリティを向上させる方法


1 WordPressバージョンを最新の状態に保つ

WordPressは パフォーマンスとセキュリティを向上させるために定期的なソフトウェア更新をリリースしています。ソフトウェアのバージョンを最新に保つことは、WordPressのセキュリティを向上させる最も簡単な方法の1つです。

ですが自動更新を有効にすると作業負荷が軽減される一方、古いプラグインやテーマとの互換性がないためにWebサイトがクラッシュすることがありますので、自動更新を有効にする場合は、エラーが発生した場合に以前のバージョンに戻せるように、定期的にバックアップされていることを確認してください。

最新のWordPressバージョンかどうかを確認するには、WordPressの管理画面にログインし、左側のメニュー パネルで[ダッシュボード] -> [更新] に移動します。バージョンが最新ではないことが示されている場合は、できるだけ早く更新することをお勧めします。

wordpressをアップデート

2 安全なwp-adminログイン情報を使用する

WordPress管理アカウント名には よく知られている「admin」や「administrator」を使用しないようにしましょう。
推測しやすいユーザー名を使用することで、サイトがブルートフォース攻撃を受けるリスクが高くなります。「admin」ユーザー名をWordPressから削除し、adminを使用してログインを試みるホストを禁止しましょう。

アカウントの他 パスワード設定ですが、長くて複雑である必要はありません文字だけではなく特殊な記号や数字を使用しながら、12文字以上のパスワードに組み合わせてを使用することをお勧めします。


3 管理ページのセーフリストとブロックリストを設定する

ログインページが不正なIPアドレスからのアクセスやブルートフォース攻撃から保護する必要があります。URLロックダウンを有効にすることで 許可されたIPアドレスのみアクセスが可能になります。登録は、以下の3つの方法があります。

– .htaccessに許可IPを記載する –

サーバーにアップロードするhtaccessファイルに「特定アクセスを拒否」する設定の場合は、「allow from all」の後に許可するIPアドレスを指定し記述します。このルールを使用して、/wp-adminなどの他の認証済みURLを制限することもできます。

– IPを制限できるセキュリティプラグインを導入する –

htaccess同様に制御が可能です。さらにブラックリストと呼ばれる機能があるため、ログインページのURLにブロックリストに追加すれば、セキュリティ強化にも繋がります。

– レンタルサーバ会社の管理画面で制御する –

契約したサーバー会社の管理画面にアクセスして、IP登録を行います。ただし制御できる機能が必ずあるわけではないので、事前に確認が必要です。

上記の3つの方法が存在しますが、管理しやすさ・柔軟性・セキィリティレベルを考慮して選択することが重要です。


4 信頼できるWordPressテーマを使用する

無料配布されているテーマの中には、違法性があるものや開発者から何のサポートも受けられないものが存在します。つまり、サイトに問題があった場合は、自己責任でWordPressサイトを保護する方法を見つけ出す必要があります。そういったことから、セキュリティを考慮してWordPress公式サイトまたは信頼できる開発者からWordPressテーマを選択することをお勧めします。


5 安全なデータ転送のために SSL 証明書をインストールする

SSLとは、WebサイトのIDを認証し、暗号化された接続を可能にするデジタル証明書を指します。SSL はSecure Sockets Layerの略で、WebサーバーとWebブラウザの間に暗号化されたリンクを作成するセキュリティプロトコルです。

SSL証明書は、2017年から各ブラウザで推奨しているメリットがあります。ほぼ全てのサーバー会社で導入が可能なため、必須と言えるでしょう。

参考記事: WordPressにおすすめのレンタルサーバー5選


6 未使用の WordPress プラグインとテーマを削除する

特にプラグインとテーマを使用していないものが存在している場合、ハッカーがそれらを使用してサイトにアクセスできるため、サイバー攻撃のリスクを回避するためにも削除しましょう。

ダッシュボードからWordPressプラグインまたはテーマを削除する場合、そのプラグインまたはテーマのアンインストーラー(完全な削除)がない場合があります。この場合、FTPを介してデータベースにアクセスし、手動で削除する必要があります。

WordPress プラグインの活用でセキュリティを向上させる

WordPressのセキュリティを向上させる方法

Webサイトを保護する方法として、セキュリティプラグインがあります。ですが、プラグインが多すぎるとサイトの速度が低下するため、すべて一度にインストールせずにWordPressダッシュボードの速度、フロントエンド表示スピードを確認しながら行うことをお勧めします。

では、プラグインを選ぶ場合にどんな機能が必要でしょうか。安全に運用するための主なセキュリティ機能についてご紹介いたします。


7 WP-Adminの2要素認証機能

2要素認証(2FA)機能があるプラグインを導入しましょう。2要素認証を有効化することで、WordPress Webサイトの管理画面ログインプロセスを強化することができます。認証の種類は、番号・写真選択・チェックボックスなどございますが、どれもボットから守る機能を備えています。

WordPressサイトに2要素認証を導入するには、セキュリティプラグインやGoogle Authenticatorなどのサードパーティ認証アプリなどがあります。

wordpress ログインセキュリティ

8 WordPressを定期的にバックアップする

WEBサイトのバックアップ機能があるプラグインを導入しましょうWordPressサイトのバックアップを定期的に作成することは、サイバー攻撃やデータセンターへの物理的な損傷などが起きた場合、サイトを回復させるために非常に重要です。バックアップファイルには、WordPressコアファイル、データベースをはじめ、WordPressにインストールされているファイル全体を含める必要がありますが、保存するには、下記の2つがあります。

– バックアッププラグインを利用する –

ウェブサイトのバックアップをパソコンのローカルに保存しないように注意してください。代わりに、GoogleドライブDropboxなどのストレージアプリケーションを使用しましょう。

– レンタルサーバ会社の管理画面で行う –

ほぼ全てのホスティングサーバーで利用できます。ですが、契約しただけでは機能しないことがございますので、任意でオプションを申し込むまたは無料機能を制御する必要がございます。


9 ログイン失敗回数を制限する

ログイン制御機能があるプラグインを選択しましょう。WordPressシステムは、ユーザーがパスワードを何度も間違えても無制限にログイン試行を行うことができます。それは、ハッカーも同様です。適切なパスワードが見つかるまでさまざまなパスワードの組み合わせを使用して、WordPressの管理画面に侵入することを許してしまうことにもなります。

したがって、WordPressの管理画面に対する攻撃を防ぐために、ログイン回数を制限する必要があります。ログイン失敗の回数を制限すると、サイトでの疑わしいアクティビティを監視するのにも役立ちます。

ほとんどのユーザーは、1回の試行または間違っても3回程度の入力と考えると、間違い回数の制限することと、それ以上に達した疑わしいIPアドレスを記録する(ログ)必要があります。

WordPressのログインセキュリティを強化するために機能を備えたプラグインを使用しましょう。

wordpressログインセキュリティ

10 WordPress ログインページの URL を変更する

さらにブルートフォース攻撃からログインセキュリティの強化する場合は、からWordPressログインページのURLを変更できる機能を備えたプラグインを検討してください。

すべてのWordPressは、同じログインURL(yourdomain.com/wp-admin) が標準となります。その標準のログインURLを使用すると、ハッカーがログインページを標的にしやすくなります。

ログインURL変更できるプラグインを導入することで、カスタムログインURL生成、設定して対策しましょう。


11 長時間ログインしたままのユーザーを自動的にログアウトする

人的漏洩やミスを防ぐためにも、Webサイトからログアウト忘れを防止しましょう。稀にログアウトしないまま長時間アクセス中にしてしまうユーザーがいます。仮にインターネットカフェや図書館のような公共のコンピューターを使用するユーザーだった場合、機密データを悪用する可能性があります。

したがって、非アクティブなユーザーを自動的にログアウトするように WordPress Web サイトを構成することが重要です。


12 ユーザーの活動を監視する

WordPress 管理で行われるログインやページの更新、ファイルの変更などアクティビティを追跡することにより、Web サイトを危険にさらす悪意のあるアクションを特定します。

WordPressは管理者・編集者・投稿者・寄稿者・購読者の5つの権限があります。社内のスタッフが更新を行うだけでなく、ライターさんに外注で記事を書いてもらったり、他のメディアから記事を寄稿してもらうなど、複数のユーザーがサイトにアクセスして運営している場合は、特にこの方法をお勧めします。

ユーザーアクティビティを追跡するログは、次のような3つの種類があります。

– WP アクティビティ ログ –

WordPressの投稿、ページ、テーマ、プラグインなど、複数の Web サイト領域の変更を監視する種類。また、新しく追加されたファイル、削除されたファイル、および任意のファイルへの変更も記録します。

– アクティビティ ログ –

WordPress 管理画面にログインした履歴など、さまざまなアクティビティを監視する種類。さらにログをメール通知するルールも設定が可能です。

– シンプルな履歴 –

アクティビティ ログを記録するだけでなく、複数のサードパーティ プラグインを監視する種類。例えばアップデート喚起やテクニカルサポートに関連するすべてのアクティビティを記録します。


13 サイトを定期的にスキャンしてマルウェアをチェックする

外部攻撃と脅威は常にアップデートされるため、定期的にWordPress サイトをスキャンしてマルウェアを検出することが重要です。

  • リアルタイムのマルウェア シグネチャの更新機能
  • 疑わしいアクティビティのブロックリストに登録する機能
  • 通知するアラート通知する機能

多くの優れた WordPress スキャナー プラグインは、マルウェアをスキャンして WordPress のセキュリティを向上させることができます。当社は、これらのセキュリティ プラグインをサイトにインストールすることを推奨しています。

さらに保険的施策として第3者へオンライン リモート診断を依頼することもできます。Webサイトに潜む脆弱性、不正改ざん、マルウェアといったセキュリティ診断&マルウェア駆除 SiteLock Webセキュリティサービスを活用することで、定期レポートを受け取ることができます。

根本的な作業でWordPress セキュリティを向上させる

WordPressのセキュリティを向上させる方法

プラグインを使用せずに Web サイトのセキュリティを強化する6つの作業をご紹介します。これらのタスクのほとんどは、初回立ち上げの構築時に対応する必要がございますが、既にサイトを公開していてもコードを調整することで対応が可能です。


14 PHP エラー報告を無効にする

PHP エラー レポートには、Web サイトのパスとファイル構造に関する完全な情報が表示されるため、サイトの PHP スクリプトを監視するための優れた機能になります。

ただし、バックエンドで Web サイトの脆弱性を示すことは、WordPress の重大なセキュリティ上の欠陥です。

たとえば、エラー メッセージが表示された特定のプラグインが表示された場合、サイバー犯罪者はそのプラグインの脆弱性を悪用する可能性があります。

PHP エラー レポートを無効にするには、PHP ファイルまたはホスティング アカウントのコントロール パネルを使用する 2 つの方法があります。

WordPressセキュリティ PHPエラー報告を無効にする
– PHP ファイルの変更 –

WordPressファイルからwp-config.phpを開き、@ ini_set ( ‘display_errors’, 0 ) の記述を行い、PHPエラーレポートを無効にします。

– ホスティングから変更 –

ご利用のサーバー会社への問い合わせをお願いします。


15 より安全なWebサーバーに移行する

ホスティング プロバイダーは、サーバー上のすべての Web サイト データとファイルの安全な領域を保証する必要があるため、セキュリティ レベルが優れているプロバイダーを選択することが重要です。
現在の Web ホスティング会社の安全性が十分ではないと思われる場合は、WordPress Web サイトを新しいホスティング プラットフォームに移行する時期です。安全な Web ホストを検索する際に考慮すべき点は次のとおりです。

より安全なWebサーバーに移行する|株式会社フォチューナ
– Web ホスティングの種類 –

共有および WordPress ホスティングの種類は、リソースの共有により、他の種類のホスティングよりもサイバー攻撃に対して脆弱になる傾向があります。リソースを分離するために、VPS または専用ホスティングも提供する Web ホストを選択します。

– セキュリティ –

優れたホスティング プロバイダーは、疑わしいアクティビティがないかネットワークを監視し、サーバー ソフトウェアとハ​​ードウェアを定期的に更新します。また、サーバーのセキュリティと、あらゆる種類のサイバー攻撃に対する保護も必要です。

– 機能 –

ホスティングの種類に関係なく、マルウェアを防止するための自動バックアップとセキュリティ ツールは、WordPress サイトを保護するための必須機能です。最悪のシナリオでは、それを使用して侵害された Web サイトを復元できます。

– サポート –

優れた技術知識を持つ 24 時間年中無休のサポート チームを擁するホスティング会社を選択することが不可欠です。データを保護し、発生する可能性のある技術的および安全上の問題に対処するのに役立ちます。


16 標準の WordPress データベース名を変更する

WordPress データベースは、サイトが機能するために必要なすべての重要な情報を保持および保存します。そのため、ハッカーは多くの場合、SQL インジェクション攻撃でデータベースを標的にしています。この手法は、データベースに有害なコードを挿入し、WordPress のセキュリティ対策を回避してデー​​タベースのコンテンツを取得する可能性があります。

サイバー攻撃の 50%以上がSQL インジェクションで構成されており、最大の脅威の1つとなっています。多くのユーザーが標準のデータベーステーブル接頭辞 wp_ をそのまま利用されているため、ハッカーはこの攻撃を実行します。

テーブル接頭辞の変更は、wp-config.phpファイルから $table_prefix値 を探し、変更してください。サイトにインストールされている WordPress プラグインの数によっては、データベースの一部の値を手動で更新する必要がある場合がありますので phpMyAdmin ダッシュボードからSQL テーブル内のテーブル接頭辞の更新も同時に行ってください。


17 XML-RPC を無効にする

XML-RPC は、モバイル デバイス経由でコンテンツにアクセスして公開し、トラックバックとピンバックを有効にし、WordPress Web サイトで Jetpack プラグインを使用するための WordPress の機能です。

ただし、XML-RPC には、ハッカーが悪用できる弱点がいくつかあります。この機能により、セキュリティ ソフトウェアによって検出されることなく複数回のログイン試行が可能になり、サイトがブルート フォース攻撃を受けやすくなります。

ハッカーは、XML-RPC ピンバック機能を利用して DDoS 攻撃を実行することもできます。攻撃者は一度に何千もの Web サイトにピンバックを送信できるため、標的のサイトがクラッシュする可能性があります。

XML-RPC が有効になっているかどうかを判断するには、XML-RPC 検証サービスを通じてサイトを実行し、成功メッセージが表示されるかどうかを確認します。これは、XML-RPC 関数が実行されていることを意味します。

プラグインを使用するか、手動で XML-RPC 機能を無効にすることができます。


18 WordPress のバージョンを隠す

WordPress のソースコードには標準でバージョンを記載するようになっています。特に古い WordPress バージョンの記載があった場合、ハッカーはそのバージョンの脆弱性を利用してサイトを攻撃する可能性があります。

サイトからバージョン情報を隠すには WordPress テーマ エディターで functions.phpファイルからヘッダーと RSS フィードからバージョン番号を削除することが可能です。


19 ファイルのアクセス許可を管理する

WordPress は更新作業が簡単にでき、情報を常に最新にできるメリットがあります。しかし、その反面ファイルやフォルダーを読み取り、書き込み、または実行できるため 全てのユーザーに可能な権限が与えられていることで外部攻撃の対象にもなっています。

上記の通り、アクセス許可は標準で全てのユーザーに付与されています。ファイルやフォルダーの中でも特にwp-adminフォルダーとwp-configファイルについては、保守を依頼しているベンダーや制作会社(所有者)のみが書き込みできる ようにしてください。

その他のアクセス管理は、ウェブ ホストのファイル マネージャー、FTP クライアント、またはコマンド ラインを使用して、ファイルとフォルダーのアクセス許可を変更できます。

ただし、セキュリティ向上させるために多くの書き込み禁止を行うと、更新できるはずのページが限定されるため、都度ベンダーや制作会社に依頼することになります。
ファイルアクセス管理をする際は、しっかりと運用要件をすり合わせることが重要になります。

安全にサイト運用するためのWordPress セキュリティ対策のまとめ

WordPressのセキュリティを向上させる方法

個人情報を取り扱ったり、決済が生じるサイトを運用する場合、特に重要なのはサイトの安全性・セキュリティ面です。不正なサイバー攻撃からサイトを保護したり、スパム対策が、自社で実施できなくても、セキュリティサービスが高ければ安全に運用できます。

WordPressは、PHPとデータベースを利用しますのでサイトを運用する際、セキュリティ強化とともにユーザーにストレスを与えないサイト作りがポイントとも言えるでしょう。サイト運営を安心して行うためにも、自社に必要な要件を確認し、自社にぴったりのレンタル・ホスティングサーバー、保守依頼のベンダー・制作会社を見つけてください。

フォチューナでは、月額30,000円〜 豊富な実績から生まれたWordPressに特化したセキュリティプラン
をご用意しています。サーバの引っ越しからWordPressのセキュリティ監視まで
一貫してサポートしておりますので、ぜひお気軽にご相談ください。

WordPressセキュリティの相談をする

WorPress セキュリティでよくある質問

WordPressにセキュリティプラグインは必要ですか?

はい、Jetpack や Sucuri などのハック スキャナー セキュリティ プラグインをインストールすると、サイトを長期的に保護するのに役立ちます。プラグインが多すぎるとサイトが壊れる可能性があるため、必要なものだけをインストールすることを忘れないでください。

WordPress がハッキングされることが多いのはなぜですか?

サイト所有者が十分なセキュリティ対策を講じていないため、多くの WordPress サイトがハッキングされています。これにより、潜在的な攻撃者への道を開くさまざまな脆弱性がサイトに残ります。攻撃者は、WordPress を利用した Web サイトも定期的に標的にしています。これは、既存の Web サイトのほぼ半数が WordPress を使用しているためです。

私の WordPress サイトが攻撃されているのはなぜですか?

WordPress サイトには、古いプラグイン、脆弱なパスワード、wp-adminディレクトリへの保護されていないアクセスなど、セキュリティ上の脆弱性がある可能性があります。定期的な Web サイトのメンテナンスを適用し、WordPress セキュリティ チェックリストを使用して、サイトに十分なセキュリティ対策が適用されていることを確認してください。

WordPress は簡単にハッキングされますか?

プラットフォームとして、WordPress は安全で安全に使用できます。WordPress のセキュリティは、テクノロジーだけでなく、人的要因にも関係しています。プラットフォームがどれほど安全であっても、他のセキュリティ対策 (強力なパスワードの使用など) を講じていないと、サイトは簡単にハッキングされる可能性があります。

セキュリティに関する記事


Marketing記事