WordPressのセキュリティが弱いと言われる理由と強化対策について解説

2021-08-24
2022-07-27
ブログ
86view

悩んでいる人

「WordPressのセキュリティを強化したいな。」

こんな悩みを解決するために、WordPressのセキュリティが弱いと言われる理由と強化対策について解説します。

本記事の内容

WordPressのセキュリティが弱いと言われる理由
WordPressのセキュリティ強化対策
WordPressのセキュリティリスク診断

ブログなどの多数メディアに人気のCMS「WordPress」は機能性が高く、誰でも簡単にサイト運営ができることで有名ですが、常に危険にさらされているのも事実です。

少し不安にさせてしまったかもしれませんが、セキュリティ上に不安がある方やセキュリティ強化が必要な方は結構いると思います。

しかし、セキュリティといっても堅苦しいイメージではなく、それほど労力をかけなくてもいい項目ばかりなので、5分後にはセキュリティに関して理解が深まっているはずです。

この記事ではおすすめの対策プラグインなども紹介しているので、WordPressを安心して運用できるようにしていきましょう。

それでは、さっそく見ていきましょう。

\当サイトも使っているWPテーマ/

THE THOR公式ページ

1 WordPressのセキュリティが弱いと言われる理由
- 1.1 WordPressの脆弱性について
- 1.2 WordPressのリスクについて
2 WordPressのセキュリティ強化対策
3 WordPressのセキュリティ強化におすすめのプラグイン
4 WordPressのセキュリティリスク診断
- 4.1 その①：WPSEC
- 4.2 その②：WPdoctor
5 まとめ：WordPressのセキュリティはこまめにチェックしよう！

WordPressのセキュリティが弱いと言われる理由

WordPressのセキュリティが弱いと言われているのは、具体的に以下のような理由が考えられます。

世界中で多くのユーザーが利用しているため
初心者が利用できるほど簡単な設計のため
サイトのソースコードがオープンのため
プログラムの内部構造がわかってしまうため
オープンソフトウェアに脆弱性が考えられるため

つまり、他のCMSと比べてもユーザー数が多く、スパム的なターゲットにされやすくなる一面があるということです。

ただし、安心させるという意味では、WordPress自体は個人から企業、官公庁にホワイトハウスまで幅広く使用されている信頼性があります。

WordPressの脆弱性について

WordPressがオープンソースのことから他のCMSと異なり、すべてオープンなため脆弱性が発見されることも多いです。

そのため、頻繁にバージョンアップのお知らせが届きます。

WordPressは高機能なうえに無料で使えるというとても魅力的なCMSですが、ソースコードが見えてしまうことと、常に脆弱な箇所があることは念頭に置きながら運営しましょう。

WordPressを安心して使うために、この記事で紹介する対策を行っていただければ幸いです。

WordPressのリスクについて

今までにも、WordPressが攻撃される事例は幾度となく起きています。

よくあるのはプラグインをターゲットにしたサイバー攻撃です。

サイバー攻撃を受けたプラグインには、詐欺サイトへの自動転送プログラムが組み込まれていたりします。

または、攻撃を受けたサイトを表示すると勝手に詐欺サイトに転送されるという動作が発生して多大な影響を与えることもあるそうです。

昔、「Yuzo Related Posts」というページ下に関連記事を表示させるプラグインの脆弱性を狙ったサイバー攻撃が話題になりました。

他にも、WordPressの脅威としては主に以下のものが挙げられます。

管理画面への不正ログインやサイト改ざん、乗っ取り
過剰なデータ送信による攻撃

WordPressを利用する場合は、これらの脅威に備える必要があることを覚えておきましょう。

WordPressのセキュリティ強化対策

ここからは、WordPressのセキュリティ強化対策について解説します。

WordPressのセキュリティ対策

ユーザー名とパスワードの強化
プログラムのアップデート
不使用プラグインの削除
セキュリティ用のプラグインを使用

具体的にどのような対策をしたらいいのかを説明していきますので、順に設定していきましょう。

①：ユーザー名とパスワードの強化

WordPress管理画面のユーザー名がニックネームとして使われているケースがよくあります。

これに気づかずに運用していることがセキュリティ上問題だと思っています。

ユーザー名はログイン時にも使用するものなので第三者には知られる必要性がありません。

なので、ユーザー設定から「ユーザー名とニックネーム」を分けて管理しましょう。

設定方法は、WordPress管理画面から「ユーザー」→「プロフィール」をクリックします。

「ニックネーム(必須)」にユーザー名とは異なる文字列を入力して、画面下部にある「プロフィールを更新」をクリックします。

次に、その画面のまま上部に戻って「ブログ上の表示名」からプルダウンで設定したニックネームを選び「プロフィールを更新」をクリックして完了です。

最後に、投稿一覧から投稿者名がニックネームになっていれば設定完了です。

なお、ログインパスワードに関しては定期的に変更するのが理想です。

パスワードを変更する場合は、ツールバー右上にマウスカーソルを当てて「プロフィールを編集」をクリックします。

画面をスクロールすると、アカウント管理項目が表示されるので「新しいパスワードを設定」をクリックします。

新しいパスワードを入力してください。パスワードは「強力」と判断されるのが理想です。

変更後は、画面下部の「プロフィールを更新」をクリックして完了です。

②：プログラムのアップデート

WordPress本体をはじめ、プラグインやテーマはセキュリティホールなど脆弱性が発見されるごとにバージョンアップされます。

日頃から管理画面にある「更新」についてはチェックするようにしてください。

なるべく更新マークがついていない状態が理想です。

ただし、WordPress本体のバージョンとの互換性の有無がプラグインやテーマにはあるので、バージョンアップする際は調べるなり、バックアップを取るなど対策をとりましょう。

③：不使用プラグインの削除

不使用プラグインはアップデートをせずに放置しておくと脆弱性を残したままの状態になってしまうので、基本的に削除しておきましょう。

プラグインの脆弱性はなるべくおさえたいので、どうしてもたまに使いたいプラグインがあるという場合は、プラグイン相当の機能を持っているWordPressテーマを導入することで安心して運用できます。

少し売り込んでいるように感じるかもですが、僕が使用しているWordPressテーマはブログに必要なプラグイン相当の機能が備わっているため、どんなに欲張っても10個未満のプラグインで運用できます。

気になる方は、以下の公式サイトをご確認ください。

【テーマ】THE THORの公式ページ

WordPressのセキュリティ強化におすすめのプラグイン

ここからは、WordPressのセキュリティ強化におすすめのプラグインをご紹介します。

WordPressの管理画面からインストールできるセキュリティ用プラグインは無料で利用できるものがあります。

もはや、WordPressを導入したら、はじめにセキュリティ用のプラグインをインストールするのは基本です。

その①：All In One WP Security & Firewall

・All In One WP Security & Firewall

こちらは管理画面のURLを変更したり、ブログ記事のコメントに簡単なフォームを追加してスパムメールを防止したりするなど、WordPressの総合的なセキュリティ対策が行えるプラグインです。

その②：Akismet

・Akismet

こちらは、WordPressでユーザーからのコメントを許可したり、問い合わせフォームを設置した場合にスパムコメントをフィルタリングしてくれるプラグインです。なぜ、スパムコメントを対策するのかといえば、コメントに記載されているリンク先がフィッシング詐欺やウイルスの散布が行われている可能性もあるからです。

※ WordPress2.0以降を利用していれば、あらかじめインストールされています。