WordPress中級者

WordPressセキュリティ対策「とりあえず最低限これだけやっておこう」編

イチカワ
公開
2024年4月25日
目次
ここのURLをクリップボードにコピー(copied!)

うちは小さい企業だし大丈夫だろう」や、「万が一攻撃されてもビジネスには対して影響はないだろう」と思いがちです…
しかしこの「だろう」が痛手になるケースがほとんどです。

特にWordPressは使い勝手が良く、世界的にシェアが高く利用ハードルが低いですが、
その反面、攻撃の対象になりやすいサイトにもなり得ます。

今回ご紹介する事象や対策はあくまで一例であり、セキュリティ対策として完全なものではありません。
あくまでセキュリティ対策の第一段階としての「参考情報」にしていただければと思います。

結論から先に

サイトが攻撃されるとどうなる?

実際にサイトが攻撃(不正アクセスなど)されると、どのようなことが起きるのでしょうか。
一部当社のクライアントさまから過去に寄せられた例をもとに解説させていただきます。

検索エンジンでの結果不具合

自社名で検索した際に、「無縁の文字列が表示」されたり、ビジネスとは「無縁のURLに勝手に飛ばされる」ような現象がおきます。
これらはサイトのサイトマップに不正な内容が仕込まれ、検索エンジンがそれに沿って意図しない無縁の内容を表示されることで起きてしまいます。

またサイトマップは修復されても検索エンジンへの反映には時間がかかるため、すぐに解消されません
閲覧者から見ると、不適切な検索結果は「会社の信用」にも影響してくるため、非常に痛手となります。

文字や画像が改ざんされる

WordPressではデータベースで管理されているため、
高頻度のバックアップや、ソースコード管理がしっかりされていない場合、
復帰までかなりの時間がかかったり、最悪の場合修復が不可能になります。

また改ざん攻撃は一時的なものではなく、マルウェア感染した場合などは修復してもすぐに改ざんされた状態に戻ってしまうケースもあります。
その場合攻撃の原因となる部分を究明・阻止する必要があり、修復の難易度や費用が非常に高くなります

まずはセルフチェック!

あくまで簡易的なチェックになりますが、
以下3項目のどれかに1つでも当てはまる場合、「いつ攻撃されてもおかしくない状態」であると認識してください。

その1・・・管理画面ログイン画面が誰でもアクセスできる
その2・・・ログインパスワードが推測されやすい文字だけで構成されている
その3・・・長らくバージョンアップをしていない

その1:管理画面ログイン画面が誰でもアクセスできる

WordPressを導入すると初期設定ではこの「wp-admin」がログイン画面として設定されています。
この「管理画面ログインURLの変更」もしくはBASIC認証などの「アクセス制限」を掛けていない場合、ログインされる一歩手前まですでに用意されている状態になっています。

お客さまへは、「私の全財産が入った金庫は住所◯◯◯にあります、と大声で叫んでいるような状態」と説明させていただいています。

対策の具体的な方法に関しては

をご覧ください。

その2:ログインパスワードが推測されやすい文字だけで構成されている

WordPressのパスワードのベストプラクティスによると

  • 20文字以上 (できればそれ以上)
  • 小文字と大文字を使う
  • 数字を含める
  • ? や ! のような特殊記号を含める

を理想としています。

また、ログインアカウントIDは「自分と関連がある名前や言葉を使わない」ようにしましょう。
攻撃者はあらゆる情報をもとに攻撃するため、まさかと思っていてもすぐに特定されてしまいます。

その3:長らくバージョンアップをしていない

WordPressの最新版は「6.5.2」です。※2024年4月25日執筆時点

WordPressやプラグインの脆弱性をついたものが攻撃の大半を占めます。
有名なプラグインであれば、インストールされているサイトが格段に多くなるため、攻撃者の標的にもなりやすくなります。
例:Advanced Custom Fields

例えば昨年2023年8月には「WordPress 用プラグイン Advanced Custom Fields にXSSの脆弱性」が報告されました。

これらの脆弱性は基本的には開発者が対策・アップデートを行うため、サイト運用者もすぐにプラグインを最新に更新する必要があります。
長らくバージョンアップをしていないサイトはほぼ「脆弱性が存在しているサイト」であると認識しましょう。

とりあえずまずは3つ対応しましょう

  • WordPress、プラグインを最新版にバージョンアップする
  • ログインIDとパスワードを推測されにくい複雑なものに変更する
  • 管理画面のURLを変更し、BASIC認証を掛ける

より安心なサイト運営のために

  • セキュリティ対策用プラグインを入れ、設定を行う(例:SiteGuard WP Plugin)
  • ウェブ制作のプロに保守・メンテナンスを依頼する

セキュリティが心配な方はこちら

当社はお客さまがビジネスに集中できるよう、WordPressのサイトセキュリティ診断を無償で行っております。
うちのサイト大丈夫?や、攻撃されているかもという方はお気軽にご相談ください。

ご相談はこちら 「株式会社ハヴァナイスデイ」

WordPressセキュリティ対策「とりあえず最低限これだけやっておこう」編
イチカワ(WordPress師範代)

あわせて読みたい関連記事

【対策まとめ 2020年度版】WordPressへのブルートフォースアタック(総当たり攻撃)の現状と対策
2020年04月21日
製作会社のプロが教えるホームページ制作におけるよくあるトラブルと対処法〜5大特集〜
2020年04月30日