ホームページ制作知っておきたいWordPressのセキュリティ対策！

デザイングループ増田
2024.07.01

wordpress

WordPressはCMSを使っているWebサイト全体で62.8%（2024年4月時点）^※1という非常に高いシェア率があり、初心者から上級者まで幅広く人気のシステムです。
その人気の高さが原因でサイバー攻撃のターゲットにもされやすく、実際に脆弱性を狙った攻撃が発生しています。

今回は、実際に当社でも行っている「安全にサイト運営をするために必要なセキュリティ対策」をご紹介します。

※1 引用データ
W3Techs. “Usage statistics and market shares of content management systems.” Accessed [2024,4,17], from https://w3techs.com/technologies/overview/content_management

目次
なぜWordPressが狙われやすいのか
具体的な脆弱性
セキュリティ対策
マルチサイトのセキュリティ対策
プラグインのリスクを回避するために
まとめ

なぜWordPressが狙われやすいのか

狙われやすい理由は主に4つあります。

人気と普及度	世界で一番普及しているCMS（コンテンツ管理システム）のためサイバー攻撃の対象になりやすい
オープンソースで作られたソフトウェア	ソースコードが公開されているため、セキュリティ上の脆弱性を見つけて悪用しやすい
プラグインやテーマの脆弱性	WordPressの魅力として豊富なプラグイン（追加要素）やテーマがあるが、中にはバージョンが古く最新のセキュリティパッチが適用されていないものもある
標準的な設定の脆弱性	初期設定のまま使ってしまうとセキュリティ対策が不十分な場合がある

具体的な脆弱性

WordPressの脆弱性は下記のグラフのように94%（2024年4月時点）^※2はプラグインが原因で発生します。

プラグインとは機能を拡張するためのソフトウェアです。Wordpressはオープンソースであるため、多くの異なる開発者がプラグインの開発に携わっています。
そのため、開発者のスキルとセキュリティ意識によっては予期せぬバグや脆弱性が発生しやすくなります。

更新頻度や安全性が高く不具合が少ないプラグインを選択することが非常に重要です。

また脆弱性があるとどんなことが起きてしまうかご紹介します。

※2 引用データ
WPScan. “Vulnerabilities by Component” Accessed [2024,4,17], from https://wpscan.com/statistics/

想定される脆弱性のリスク

サイトの乗っ取り	攻撃者が管理者権限を取得しサイトの内容を改ざんし、不正な広告やリダイレクトを挿入することがある
マルウェアの拡散	WordPressサイトにマルウェアがインストールされ、訪問者のデバイスに感染が広がる可能性がある
SEOスパム	悪意のあるリンクやキーワードが挿入され、検索エンジンでの評価が下がったり、サイトがブラックリストに登録される可能性がある
サイトが見られなくなる	利用サイトに大量のリクエストを送信し、サーバーをダウンさせサイトへのアクセスが遮断される可能性がある

今はもちろんセキュリティ対策されていますが、過去にWordPressで発見され、実際にあった脆弱性をいくつかまとめました。

実際に起こった不正・改ざんの例

対象箇所	機能名	内容
WordPress本体	REST API^※3	155万以上のサイトが改ざんされた
WordPress本体	Pingback^※3	第三者のサイトへのDDoS攻撃に悪用された
プラグイン	WP GDPR Compliance^※4	悪意のある第三者が管理者権限を作成し、WordPressへ不正にログインされた
プラグイン	All In One SEO^※4	情報を取得・改ざんされた
プラグイン	Fancybox^※4	情報を取得・改ざんされた
テーマ	OneTone^※5	認証なしでデータベースに侵入され書き換えられた

※3 WordPressの最新バージョンでは脆弱性は解消されています。
※4 プラグインの最新バージョンでは脆弱性は解消されています。
※5 アップデートがされていないため削除されました。

セキュリティ対策

セキュリティ対策をすれば100%防げるわけではないですが安全性を高めることができます。
また当社がさらに安全性を高めるために行っている対策もあわせてご紹介します。

具体的なセキュリティ対策

WordPress本体、プラグイン、テーマのバージョン管理とアップデート対応
古いバージョンのWordPressやプラグインを使用すると脆弱性のリスクが高くなります。
プラグインを取捨選択し不要なプラグインやテーマは削除する
プラグインを多く導入することで、セキュリティ上のリスクも増加します。
また、複数のプラグインを導入すると、相性の問題で不具合のリスクも高まります。
プラグイン「SiteGuard WP」の導入
不正アクセスの監視や遮断など様々なセキュリティ対策ができるプラグインです。
初期設定のままだと狙われやすいページの「wp-login.php（ログイン画面）」や「xmlrpc.php（他サービスと連携するためのファイル）」の対策も簡単にできます。

さらに安全性を高めるために当社で行っていること

投稿者アーカイブを無効化
WordPressの初期設定では、投稿者の一覧ページが自動的に生成され、その結果、投稿者のIDが公開されてしまいます。セキュリティを強化するため、投稿者一覧ページを使用しない場合は、このページへのアクセスを無効化しています。
XMLサイトマップ機能を無効化する
WordPressのバージョン5.5からXMLサイトマップを出力する機能が初期設定に追加されました。
この機能では先ほどの投稿者アーカイブやサイトマップに含めたくないページもすべて出力されてしまうため無効化しています。
ユーザー名の漏洩回避
初期設定だとサイトのURLにパラメータを付与すると、ログインID名が分かってしまうためアクセスできないように無効化しています。

マルチサイトのセキュリティ対策について

当社ではマルチサイト機能を使ったWordPressの制作実績も多数あります。

マルチサイトとは

ひとつのWordPressで複数のWebサイトを運営する仕組みです。
コーポレートサイトと採用サイトなどの親子関係のあるwebサイトに対して、1つのWordPressで管理することができます。

マルチサイトでは対応しているプラグイン自体が少なく、先ほど紹介した「SiteGuard WP Plugin」も入れることができないため、変わりに「All In One WP Security」というプラグインを導入してセキュリティ対策を行っています。
All In One WP SecurityもSiteGuard WP Pluginと同じく、ログインページのURL変更やログイン時の画像認証の設定（All In One WP Securityの場合は簡単な数学の問題）、XMLRPCの対策もすることが可能です。
「All In One WP Security」は海外製のプラグインで多機能で設定項目も多くありますが、日本語にも対応しているため使いやすいプラグインです。