WordPressセキュリティ入門|原因と対策をまとめて解説
目次
WordPressは世界で最も利用されているCMS(コンテンツ管理システム)で、全ウェブサイトの4割以上で使われています。ただ、利用者が多いぶん、攻撃者にとっては格好の標的になっています。
「うちは個人ブログだから大丈夫」「大した情報はないから狙われない」と油断していると、サイトを書き換えられたり、個人情報が流出したり、ほかのサイトへの攻撃の踏み台にされたりと、大きなトラブルにつながります。本記事では、Web制作会社の視点から、WordPressが狙われる理由と、初心者でも今日から実践できる対策を解説します。
なぜWordPressは狙われやすいのか?
攻撃者がWordPressを狙う理由は、主に3つあります。
利用者が多い:似た構造のサイトが多いため、一度弱点が見つかれば、大量のサイトをまとめて攻撃できます。
ソースコードが公開されている:オープンソースなのでプログラムの中身が誰でも見られ、脆弱性(バグや弱点)が見つかりやすい状態にあります。
管理が行き届かない:アップデートの放置や、推測しやすいパスワードの使用など、人の手による隙が入り口になるケースが大半です。
知っておくべき主な脆弱性と攻撃手法
WordPressサイトを脅かす代表的な攻撃手法を整理します。
| 攻撃手法 | 概要 | 主な被害 |
| ブルートフォースアタック | IDとパスワードを総当たりで試して侵入を狙う。 | 管理画面の乗っ取り、サイト改ざん。 |
| SQLインジェクション | データベース(SQL)に不正な命令を送り込む。 | 顧客情報やログイン情報の漏洩・消去。 |
| クロスサイトスクリプティング(XSS) | サイトに不正なスクリプトを埋め込み、閲覧者のブラウザで実行させる。 | Cookieの盗み取り、偽サイトへの誘導。 |
| プラグイン・テーマの脆弱性 | 本体ではなく、拡張機能のバグを突く。 | バックドアの設置、不正プログラムの配布。 |
WordPressでやっておきたいセキュリティ対策
被害を防ぐために、最低限やっておきたい対策を紹介します。
① 二段階認証(2FA)の設定【最優先】
数ある対策の中で、まず設定してほしいのが二段階認証です。仮にIDとパスワードが漏れても、スマートフォンの認証アプリなどによる2つ目の認証を突破されない限り、不正ログインを防げます。ブルートフォースアタックのような「ログイン突破型」の攻撃には、これが一番効きます。後述するプラグインで簡単に導入できるので、最初に設定しておきましょう。
② ログイン情報の強化
ユーザー名:初期設定の「admin」や、ドメイン名と同じものは避けてください。
パスワード:パスワードの強さは、文字の種類よりも桁数(長さ)で決まります。「英数字・記号を必ず混ぜる」といったルールは、かえって攻撃者にパターンを推測させるヒントになりかねません。大事なのは、16桁以上の長さを確保することです。
ここで大事になるのが「パスフレーズ」という考え方です。意味のない記号の羅列ではなく、関連性のない単語をいくつかつなげて、長い“フレーズ”として使う方法です。人間には覚えやすく、機械には破られにくいパスワードを作れます。記憶に頼れるうえ自然と桁数も長くなるので、結果的に丈夫なパスワードになります。
③ ログイン試行回数の制限
短時間に一定回数ログインに失敗したら、そのIPアドレスを一時的にブロックします。ブルートフォースアタックに有効です。
④ IPアドレスによるアクセス制限
管理画面(wp-admin)に入れるIPアドレスを、自社やクライアントの固定IPだけに絞る方法です。許可していないIPからのアクセスをまとめて遮断できるので、効果は高めです。設定方法は別記事「WordPressのIPアクセス制限まとめ|海外IP・管理画面保護・固定IP制限まで解説」で解説しています。
⑤ 使っていないプラグイン・テーマは削除する
使っていないプラグインは「無効化」だけで済ませず、サーバーから「削除」してください。コードが残っているだけでも、攻撃の糸口になることがあります。
⑥ 本体・プラグイン・テーマは最新に保つ
脆弱性が見つかると、開発者から修正プログラムが配布されます。これを放置するのは、壊れた鍵をそのままにしておくようなものです。アップデートはこまめに実施しましょう。
⑦ XML-RPCの停止
外部アプリ連携用の古い仕組みですが、いまは攻撃の踏み台に使われることが多いため、使っていなければ止めておきましょう。
おすすめのセキュリティプラグイン
ここまでの対策の多くは、プラグインで実現できます。インストール・有効化しておきましょう。
CloudSecure WP Security(推奨):XServerが開発・公開している国産プラグインです。エックスサーバーの「WordPress簡単インストール」を使うと自動でインストールされ、WordPress公式プラグインなので他社のサーバーでも使えます。ログイン試行回数の制限などに加えて、二段階認証にも対応しているのが大きな強みです。
Wordfence Security:世界的に有名なプラグインです。強力なファイアウォール(WAF)とマルウェアスキャン機能が特徴です。
同じ国産プラグインに「SiteGuard WP Plugin」もありますが、二段階認証に標準で対応している点などから、当社ではCloudSecure WP Securityをおすすめしています。
サーバー側でやっておきたい対策
WordPress側の設定だけでなく、サーバー側もあわせて対策しておくと安心です。
WAF(Web Application Firewall)の活用:多くのレンタルサーバーに標準でついています。コントロールパネルから「有効」にするだけで、SQLインジェクションやXSSなどの不正アクセスを遮断できます。費用もかからず効果が高いので、必ずオンにしておきましょう。
PHPバージョンの更新:WordPressを動かす土台であるPHPも、定期的に更新してください。サポートが終了した古いPHP(EOLバージョン)はセキュリティ修正が提供されず、脆弱性が残ったままになります。表示速度の改善にもつながるので、サーバーのコントロールパネルから最新の安定版に更新しましょう。
定期的なバックアップ:セキュリティに「100%」はありません。もし感染しても元に戻せるよう、週に一度は自動バックアップを取っておきましょう。
まとめ
WordPressのセキュリティ対策は、一度設定したら終わりではありません。日々変わっていく攻撃に対して、最新の情報を追いながらサイトを健全な状態に保つことが、いちばんの防御になります。
特に優先したいのは「二段階認証の設定」「16桁以上のパスフレーズ」「最新版へのアップデート」の3つです。まずはこの基本から、今すぐ見直してみてください。
