WordPressってセキュリティに弱いの?
どうしたらいいの?
WordPressに脆弱性が見つかったっていうニュースを見るたびに、ドキッとしちゃいますよね。しかもそれが、自分が使っているプラグインだったら、もう、焦ります。
今回の記事はWordPressのセキュリティ強化についてまとめました。
WordPressの脆弱性やサイバー攻撃が心配な人に向けて、どうやったら自分のWordPressを守ることができるか解説していきたいと思います。
最後までお付き合いくださいね。
WordPressは危険がいっぱい
WordPressはプログラムがまったく出来なくても、やりたいことだできる大変便利なシステムです。
だけど、利用者が多いこと、オープンソースで脆弱性を見つけやすいこと、利用者の管理不足によってサイバー攻撃に狙われやすい状態となっています。
WordPressの脆弱性が見つかったこと自体は悪いことじゃないと思います。見つかれば、プログラムの修正や更新されます。
プログラムの更新をしない、セキュリティの認識が低いなど攻撃されやすい状態をつくっていることがWordPressの危険性を生んでいるのです。
WordPressが狙われやすい理由
どうしてWordPressは狙われやすいのでしょうか?
それは、WordPressは世界の半数が使うオープンソースのCMSだから、悪意のある攻撃者に狙われやすいのです。WordPressが狙われやすい理由を見ていきましょう。
WordPressは利用者が圧倒的に多い
「え?世界の半分!」って驚きますよね。ブログブートキャンプさんから画像を引用しました。元データはW3Tchs(https://w3techs.com/technologies/overview/content_management)です。
第2位のShopifyや第三位のWixも有名ですが、10倍の差をつけてWordPressの世界シェアは1位です。
ちょっと例えが違うかもしれないけど、行列の多いラーメン店とお客がいなさそうなラーメン店だったら、行列の多いラーメン店の方が美味しいラーメンを出してくれる率は高いはずです。それと同じで利用者の多い方が大手企業や重要な情報がある率が高いので、悪意のある攻撃者はWordPressを狙います。
WordPressはオープンソースである
しかも、プラグラムのコードが公開されているため、自由にプログラムの変更や修正を行うことができます。利用者にとったら自分の好きなようにプラグラムを変更できて便利です。
プログラムには必ずミスや不具合は生じます。オープンソースであれば誰でも発見できる状態にあります。そこが恐いのです。
脆弱性(ぜいじゃくせい)とは、コンピュータのOSやソフトウェアにおいて、プログラムの不具合や設計上のミスが原因となって発生したサイバーセキュリティ上の欠陥のことを言います。脆弱性は、セキュリティホールとも呼ばれます。脆弱性が残された状態でコンピュータを利用していると、不正アクセスに利用されたり、ウイルスに感染したりする危険性があります。
総務省:国民のためのサイバーセキュリティサイトより
しかも、インストールしたままの初期のログイン画面URLが「https://ホスト名/wp-admin.php」と決まっています。誰でもアクセスしやすい状態になっています。また、「wp-config.php」ファイルにはログインに必要なアカウントやパスワードが明記され、このファイルにもアクセスしやすい状態になっています。
オープンソースのためどのファイルが何か、どのURLがどこにアクセス出来るか決まっているのでとても危険な状態にあります。
CMSは便利だけど管理がめんどくさい
CMSとはコンテンツ・マネジメント・システム(Contents Management System)の略です。画像や音声、動画、読者とのコミュニケーションまで簡単にホームページに一元化できるシステムでWordPressのプラグインも含まれます。
WordPressのプラグインってホントに便利ですよね。おかげで、SNSを取り込んだりバックアップの予定を組んだり、表の使い回ししたり、プラグラムを知らなくてもしたいことがサクサクできます。
だけども、プラグインが沢山あると更新が面倒くさい。ついつい後回しになってしまいます。更新や管理をおこたるとWordPressやプラグインの脆弱性が改善されないままとなりセキュリティリスクが高まります。
WordPressのセキュリティ基本対策
WordPressをインストールして運用するまでに始めてほしいセキュリティ対策を含め基本の対策を解説していこうと思います。
「脆弱性はなくならない」「悪意のある攻撃者はいなくならない」を前提にセキュリティ対策をしましょう。
そのためには、各種プログラムは最新のモノを使います。たまに最新のバージョンに更新したことで不具合を起こす場合もなるので、心配な方は更新情報のチェックを怠らず様子をみてから更新をしてもよいと思います。
管理画面へのログインの強化はアカウント名、パスワードなど容易に想像できるような単語は止めましょう。セキュリティに強いパスワードの作り方はこちらの記事を参考くださいね。
「wp-config.php」ファイルはWordPressの管理画面にアクセスに必要な情報が書かれています。このファイルが外部からアクセス出来ないように「400」になっているか確認しましょう。もしなっていない場合はパーミッションの変更をします。変更についてはこちらの記事になります。
セキュリティ系プラグインを利用して強化する
WordPressにはセキュリティ系のプラグインも用意されています。プラグインを使って管理画面のURLの変更や認証画像、reCAPTCHAなどセキュリティを強化します。
この「All In One WP Security & Firewall」「SiteGuard WP Plugin」をインストールすれば、ほぼ完璧です。あとJetpackもおすすめで、総攻撃数の表示やスパム判断に役に立ちます。
reCAPTCHAを設定すれば、ログイン画面やコメント、問い合わせフォームでBOTによるスパムメールやコメントを防ぐ事ができますよ。
「SiteGuard WP Plugin」の使い方はこちらの記事をご覧ください。
reCAPTCHAを利用したお問い合わせフォームの作り方はこちらの記事になります。
さくらインターネットの「WordPressのセキュリティを強化したい」の記事も分かりやすく参考になりますので併せてどうぞ。
WordPressのセキュリティは弱くない
以上、WordPressのセキュリティ対策をまとめてきました。
WordPressは世界の半数が使うオープンソースのCMSだからセキュリティ対策が必要なのです。ネットやSNSでWordPressの脆弱性が話題になり「自分は大丈夫かな」と心配になりますが、バージョンを最新に保つなど攻撃されにくい状態にしておけば「とりあえず大丈夫」です。
WordPressのセキュリティはWordPressだけで完備せず、日頃使うインターネット環境、パソコン、情報の扱い、レンタルサーバーなど網羅的にセキュリティ対策を行いましょう。
いろいろセキュリティ対策はあるけども、安心できるレンタルサーバーを選ぶことがセキュリティの第一歩です。セキュリティ対策は難しいと考えている人こそ、レンタルサーバーはセキュリティに強いサーバーを選んでください。
エックスサーバー やさくらのレンタルサーバ スタンダード ではサーバー側でできるセキュリティ対策がしっかりしているのでオススメです。