WordPressで作成したサイトは、一般的なhtmlファイルで作られたサイトより構造も複雑で、ファイルの数も膨大です。また、「WordPressに脆弱性がみつかった」「WordPressはハッカーに狙われやすい」というような情報を目にすることもあります。それだけに、セキュリティ対策が万全かどうか不安に感じているWordPress利用者も多いのではないでしょうか。この記事では、WordPressがハッカーに狙われやすい理由やハッキングからサイトを守るためのセキュリティ対策の方法について紹介します。
目次
WordPressがハッキングに狙われやすい理由
WordPressは簡単で使い勝手のよい高機能なCMSですが、ハッカーに狙われやすいという側面があります。サイトの乗っ取りや改ざん、マルウェアに感染して大規模攻撃の踏み台にされたなど、WordPressに関するニュースを目にしたこともあるでしょう。狙われやすい理由としては、WordPressで構築されたサイトが多いことが挙げられます。WordPressはCMSのなかで世界一のシェアを獲得しており、全Webサイトの32%がWordPressで作られているというデータもあります。
それだけに狙う側からすると、効率よく攻撃できるというメリットがあるのです。また、シェアが高いだけにバージョンアップや必要な対策が施されずに放置されているWordPressサイトが多数存在します。WordPressが狙われやすい背景には、このようにセキュリティ対策がきちんとできていないサイトが多いことも挙げられます。WordPressがオープンソースであることも、ハッカーから狙われやすい理由です。
ライセンス使用料なども必要なく、誰でも自由に利用できるというのはWordPressの大きなメリットですが、これが逆にセキュリティホールを発見しやすいという弱点につながります。ソースコードがすべてオープンであるため、バグやセキュリティ上の不具合を見つけやすいのです。ただし、重大な脆弱性が見つかった場合には、すぐに対策するための情報やプログラムが配布されます。そのため、きちんとセキュリティ対策を行っていれば、オープンソースであっても大きな不安はありません。
ハッキングをされるとどうなる?
ハッキングされると、WordPressサイト内に以下のような被害が発生する可能性があります。代表的なものとしては、「データの改ざん」があげられるでしょう。わかりやすいものに、トップページなどが書き換えられるケースがあります。一目でハッキングされたことがわかってしまうので、企業のイメージを大きく損なうことにつながりかねません。サーバー内のデータが消去されたり、システムを破壊されたりしてしまうこともあります。重要なデータが消去されると、業務に支障がでてしまうでしょう。
ハッキングの被害としては、不正ファイルの設置も挙げられます。見た目に異常は感じられなくても、サイトの訪問者をマルウェア感染サイトに飛ばすなど、自分のサイトが加害者になってしまうこともあるのです。不正ファイルを仕込まれることで、いつのまにか他サイトへの大量アクセスの踏み台として利用されているような例も珍しくありません。また、不正アクセスによって顧客情報などが盗まれてしまう被害も発生しています。顧客の氏名やメールアドレス、電話番号などが盗まれ、それが悪用されてしまうようなことになると、企業は信頼を損ない大きなダメージを受けることになります。
ハッキングを防ぐもっとも大切なポイント
WordPressサイトのハッキングを防ぐためには、セキュリティ対策が強固なレンタルサーバーを選ぶことが重要です。WordPressを簡単にインストールできるレンタルサーバーも増えていますが、セキュリティ対策についても選択する際の大きな基準となります。レンタルサーバーのセキュリティ機能としては、まず「WAF設定」が挙げられます。
WAFとは「Web Application Firewall(ウェブ・アプリケーション・ファイアウォール)」の略で、WordPressなどのWebアプリケーションに対する不正なアクセスを検知してブロックする機能です。WAF設定を利用することで、脆弱性を悪用した攻撃からWordPressを守ることが可能になります。海外からのアクセスを制限する「国外IPアクセス制限」もハッキングを防ぐために効果的な機能です。ハッキングのほとんどは海外から行われますので、この機能を使って海外からのアクセスをブロックすればハッキングを防ぐことにつながります。また、「ログイン試行回数制限」もハッキングを防ぐために効果的な機能です。
ハッカーは、プログラムを使ってパスワードの組み合わせを変え、短時間に何度もログインを試みようとします。このような不正と思われるログインの試行が行われた場合に、アクセスを制限する機能です。WordPressのコメントやトラックバック機能がハッキングに利用されることがあります。これを防ぐのが「コメント・トラックバック制限」です。短時間に大量のコメントやトラックバックがあった場合に、アクセスをブロックします。
ハッキングを自身で防ぐ方法
セキュリティ対策が強固なレンタルサーバーを選んだからといって、それだけで安全が保障されるわけではありません。ハッキングを防ぐためには、自身でもしっかりと対策を行うことが重要です。まず、WordPressの管理画面にログインするための「ID」「パスワード」については、わかりにくい文字列にして使い回さないことが大切となります。たとえば、IDを「admin」などにしておくと、それだけでハッキングされるリスクが高まります。パスワードもシンプルなものにすると攻撃されやすくなるので、難読化したものを利用しましょう。
サイト管理画面やサーバー、FTP、データベースのアクセスを特定のIPアドレスのみに制限するグローバルIP設定もハッキングを防ぐために効果的な方法です。設定したIPアドレス以外からのアクセスは、すべてブロックされますので、セキュリティを大きく高めることができます。重要なファイルやフォルダへの権限を厳しく設定するのもハッキングを防ぐために有効です。「755」のようなパーミッション設定にしておくと、書き換えられるリスクが高まりますので、重要なファイルについては設定を確認しておきましょう。
ブラウザ上から、ファイル一覧を閲覧できないように設定しておくことも大切です。ファイル一覧が表示されるとファイルがみつけやすくなり、改ざんされやすくなります。.htaccessを設置して、ファイルが存在しない場合でもエラーメッセージを表示させるなどの設定が必要です。WordPressの管理画面とログイン画面をSSL通信に設定するのも効果的です。入力したIDやパスワードなどの情報が暗号化されるので、漏洩を防ぐことができます。
セキュリティ対策の方法とハッキング対策のプラグイン
WordPressサイトを自分の手でハッキングから守るためには、「ID・パスワード」を難読化して使い回さない、管理画面やデータベースなどへのアクセスを特定のIPアドレスのみに制限するなどの対策を行う必要があります。また、WordPressならではの方法として、ハッキング対策のプラグインをインストールする方法もあります。WordPressには、さまざまな機能を持ったプラグインがありますが、セキュリティを高めるためのものもあるのです。おすすめのプラグインとしては、「SiteGuard WP Plugin」が挙げられます。
SiteGuard WP Pluginを利用すると、いくつもの方法で管理ページへのアクセスを制限することができます。まず、ログインページのURLをわかりにくいものに変更できます。デフォルトのままのwp-login.phpを使うとハッキングされやすくなりますが、これを任意のURLに変更できるので、ハッキングされるリスクを大きく下げることが可能です。また、WordPressの管理画面にログインする際に、画像認証を加えることができます。「ひらがな」での画像認証も可能なので、海外からのハッキングを防ぐのに効果的です。
これ以外にも、ログイン失敗が繰り返された場合にそのアクセスを一定期間ロックする「ログインロック」、ログインがあったことをメールで通知する「ログインアラート機能」などハッキングを防ぐための機能が充実しています。「All In One WP Security & Firewall」もハッキングを防ぐためにおすすめのプラグインです。その名のとおりファイアウォールを導入できるだけでなく、各種設定ファイルのバックアップ機能も持っています。
「ログインユーザー名の変更」「ログインページURLの変更」などもでき、施されているセキュリティ対策の度合いをダッシュボード画面で確認することもできます。デフォルトのテーブルプリフィックス「wp_」などを後から変更できるので、データベースをハッキングから守るためにも効果的です。また、WordPressのディレクトリや管理ディレクトリに対してのアクセス権限を推奨されるパーミションに変更することができます。不正なログイン試行などが続いた場合には、そのIPアドレスやユーザーエージェントをブラックリスト化して、アクセスをブロックすることもできます。
「Wordfence Security」は、自身のWordPressサイトにどれぐらいのセキュリティ対策が施されているのかをチェックできるプラグインです。WordPressサイトをスキャンして診断を行い、現状のセキュリティ度を表示します。また、ハッキングを防ぐために効果的な「ファイアウォール機能」「アクセスブロック機能」なども備えたプラグインです。プラグインを有効化すると、自動的に学習モードになり、フィルタリングを学習します。サイト内の情報やアクセスした訪問者について学習し、最適なファイアウォールを設定します。ライブトラフィック機能も搭載されており、人によるアクセスなのか、ロボットによるアクセスなのかを識別することも可能です。
WordPressをアップデートする際の注意点
ハッキングを防ぐためには、WordPressを最新のバージョンにしておくことが大切です。WordPress本体に脆弱性が見つかると、WordPressにセキュリティ対策が施されアップデートされます。そのため、古いWordPressをそのまま使っていると、ハッキングされるリスクが高まります。WordPressの新しいアップデートがでたら、基本的にすぐに更新するようにしましょう。ほとんどのレンタルサーバーでは、問題なくアップデートされたWordPressが適用できます。ただし、稀にphpやmySQLのバージョンの関係で、新しいWordPressに更新できない場合もあります。そのような場合は、プログラムのわかるエンジニアに相談するのがおすすめです。
また、新しいバージョンに更新する際には、万一に備えて「サイト」と「データベース」のバックアップをとっておくようにしましょう。最悪の場合、更新する際にデータが壊れてしまう可能性もあります。バックアップをとっておけば、そのような場合でもすぐにサイトを復旧させることが可能です。サイトのバックアップはFTPでサーバーに接続し、「wp-content」フォルダをそのままパソコン等に保存します。データベースのバックアップは、レンタルサーバーの管理画面からphpMyAdminに移動し、データベースををエクスポートします。サイト・データベースのバックアップをとるためのプラグインもありますので、それを活用する方法もおすすめです。
WordPressのバージョンを確認する
ハッキングの被害にあわないためにも、自身のWordPressが最新のものになっているかを確認してみましょう。WordPressのバージョンは、ダッシュボードでも確認できます。管理画面にログインすると最初に表示されるダッシュボードの概要欄に、現在使用しているWordPressのバージョンとテーマ名が表示されます。WordPressのバージョンは、サーバー内のversion.phpファイルで確認することも可能です。
FTPでサーバーにアクセスし、「wp-includes/version.php」をパソコンにダウンロードします。それをテキストエディタ等で開くと上部に「wp_version = ‘5.0.1’」のようにバージョンが記載されています。WordPressのバージョンを確認する方法としては、PHPコードを使う方法もおすすめです。PHPが動作する場所に「」のコードを書き込むと、WordPressのバージョンが表示されます。
また、ブラウザ上で記事のソースを見てバージョンを確認することができます。「Ctrl+U」キーなどを使ってページのソースを表示させると「」のようにバージョンが記載されている箇所がありますので、それを見つけると管理画面にログインしなくても確認できます。自分のやりやすい方法で、WordPressのバージョンを確認し、もし古いままであればハッキングを防ぐためにすぐに最新のものに更新しましょう。
まとめ
WordPressはユーザー数が多いうえにオープンソースでもあるため、ハッカーに狙われやすいという側面があります。もし、ハッキングされて、データの改ざんや顧客情報の流出などということになれば、大切な資産や信頼を失うことになりかねません。そのため、常に最新バージョンのWordPressを使用し、万全のセキュリティ対策を行うことが大切です。今回紹介したセキュリティ対策を施して、WordPressサイトをハッカーの攻撃から守りましょう。
コメントを残す