WordPressの脆弱性とは?調べる方法や対策を解説
2024年9月13日
東証スタンダード上場企業のジオコードが運営!
Web制作がまるっと解るWebマガジン
【監修】株式会社ジオコード Web制作事業 責任者
高松 建太郎
WordPressを安全に運用するために、常にセキュリティ対策を万全にしておく必要があります。
この記事はWordPressでサイト構築をしている企業の担当者や、WordPressで構築したサイトのセキュリティ強化を検討中の方に向けて、WordPressのセキュリティリスクや脆弱性、セキュリティ対策の基本を解説するとともに、WordPressの被害事例やおすすめのプラグインなども合わせて紹介します。自社に合ったセキュリティ対策を進める上でぜひ参考にしてください。
目次
WordPressは攻撃者から狙われやすいCMSです。さまざまなセキュリティリスクから自社のWebサイトや情報を守るためには、常に最新情報の把握とセキュリティ対策のアップデートが必要になります。
ここではWordPressのセキュリティ強化がなぜ必要なのか、またWordPressが攻撃者から狙われやすい理由について詳しく解説します。
WordPressが狙われやすい理由の一つに、利用者が非常に多いCMSであることが挙げられます。
W3Techsの調査によると、2024年7月1日時点でWordPressのCMSのマーケットシェア率は62.7%と高く、WordPressは世界的に広く利用されているWebサイト構築プラットフォームであることを示しています。
シェア率の高いシステムの方が攻撃の成功確率が上がるため、攻撃者から狙われやすくなるわけです。
また、WordPressがオープンソースのCMSであることも、セキュリティリスクを高める要因の一つです。
WordPressは、HTMLやCSSに関する専門知識に乏しくてもWebサイトの制作が可能です。手軽で初心者でも扱いやすいCMSであるのは魅力ですが、セキュリティ対策が不十分だと攻撃を受けやすくなります。
※参考:W3Techs. 「W3Techs – World Wide Web Technology Surveys」
WordPressは、特有の拡張機能である「プラグイン」やテーマの脆弱性(セキュリティーホール)を狙って攻撃されるリスクがあります。
プラグインはWordPressにインストールして有効化することで、必要な機能を追加できる便利な仕組みです。ただしプラグインは世界中のプログラマーによって制作されており、十分なセキュリティ対策が施されていない場合もあります。そのため、プラグインの脆弱性を狙った攻撃も多いのが現状です。
WordPress本体も攻撃対象になるため、脆弱性やセキュリティ対策のためのアップデートを定期的に行っており、外部から脆弱性を見つけにくくなっています。しかしアップデートだけでは悪意のある第三者からの攻撃を完全に防ぐことはできません。
使用するプラグインの脆弱性をしっかり認識しておくことも、攻撃を防ぐ上で必要です。
ここではWordPressのセキュリティリスクを理解するため、WordPressへの攻撃による被害の詳細について解説します。
WordPressのセキュリティ対策が不十分な場合、悪意のある第三者によって不正アクセスされる可能性があります。不正アクセスとは、脆弱性を利用して管理者権限を乗っ取る行為や、サイトのコードに悪意あるプログラムを挿入する行為を指します。このような攻撃は、サイト運営者だけでなく、訪問者にとっても深刻な影響を与える可能性があります。例えば、ユーザーのデバイスにマルウェアが配布されたり、フィッシング詐欺に利用されたりすることも考えられます。
特に、セキュリティパッチやプラグインの更新が滞っているサイトは狙われやすく、不正アクセスを受けると、運営サイト全体の信頼性が大きく損なわれるリスクが伴います。
関連:ISMS(ISO27001)の具体的なセキュリティ対策!厳選した4つを紹介 | ISMS(ISO27001) 基本の知識 コラム | 認証パートナー
不正アクセスが引き金となるリスクの一つが、情報漏洩です。ユーザーの個人情報や企業の機密情報が外部に流出してしまうことがあり、その影響は甚大です。例えば、顧客データベースにアクセスされ、氏名、住所、クレジットカード情報などの個人データが不正に公開される可能性があります。このような情報漏洩が発生した場合、企業は法的な責任を問われることがあり、場合によっては損害賠償が発生することも考えられます。
さらに、企業の信頼を損ない、ビジネスに長期的な悪影響を及ぼす可能性もあるため、情報漏洩は避けるべき重大なリスクの一つです。
セキュリティ対策が不十分な場合、WordPressで構築したWebサイト内のコンテンツが改ざんされてしまうリスクもあります。
Webサイトで発信している情報が、知らないうちに不適切な内容に書き換えられてしまうと、企業の信頼性を低下させる原因になり、利用者にも悪影響を与えかねません。
また、Webサイト内に広告を掲載している場合では、悪意のある広告に差し替えられる被害もあります。そうなると広告から得られるはずの収益はすべてなくなってしまいます。
さらに、DDoS攻撃によるダメージを受けるリスクも考えられます。DDoS攻撃とはWebサイトやサーバーに対して、複数のパソコンから大量の攻撃を仕掛けることです。複数のパソコンから攻撃を受けるため、攻撃者の特定が難しいのが特徴です。
詐欺サイトやフィッシングサイトへの誘導や、マルウェアが埋め込まれてしまう可能性もあります。
セキュリティ対策が不十分な場合、メール送信プログラムが勝手に組み込まれてしまうこともあります。そうなると不特定多数のメールアドレスへ大量のスパムメールが送信されることになります。
お問い合わせフォームのようなプラグインを攻撃されるケースが多いですが、WordPressのコメントフォームも攻撃の対象です。意図せずスパムメールが一斉送信されると、自社が発信元とみなされ、結果的に信頼の低下を招く可能性があるため、注意が必要です。
WordPressのセキュリティを強化するためには、まず現在のリスクを把握することが重要です。以下の方法で、自分のサイトのセキュリティ状況をチェックできます。
WordPressのバージョンが古いと、既知の脆弱性が残っている可能性があります。最新バージョンを利用しているかを確認し、必要ならアップデートを行いましょう。
確認方法:
注意点:
アップデートを行う場合は、プラグインとの互換性やエラーの可能性を調査し、バックアップを取得した上で行いましょう。
一部のプラグインやテーマには、未修正の脆弱性が含まれていることがあります。WordPressの管理画面内にある「サイトヘルス」機能を活用し、危険なプラグインやテーマがないかをチェックしましょう。
確認方法:
不正アクセスの兆候を発見するためには、管理画面へのログイン履歴をチェックすることが有効です。
確認方法:
・WordPressプラグイン「WP Activity Log」などを活用
・ログインIPアドレスを監視し、不審なアクセスがないか確認
注意点:
プラグインを使用する場合は、最新情報を確認し、他のプラグインとの互換性をチェックしてからインストールしましょう。また、定期的に更新を行い、セキュリティリスクを最小限に抑えることが重要です。
Googleは、ハッキングの疑いがあるサイトに対して警告を発します。Google Search Consoleを活用し、自分のサイトが警告を受けていないかチェックしましょう。
確認方法:
HTTPS化(SSL/TLSの導入)がされていないサイトは、データの盗聴リスクが高まります。自分のサイトがHTTPS対応しているか確認しましょう。
確認方法:
・Webブラウザのアドレスバーに鍵マークが表示されているかチェック
・「Not Secure」などの警告が出ていないか確認
WordPressで構築したWebサイトを安全に運用するためには、複合的にセキュリティ対策を講じましょう。ここではWordPressのセキュリティ対策方法を解説しますので、ぜひ参考にしてください。
パソコンのOSやWordPressは常にアップデートし、最新のバージョンにしておくことが重要です。常に最新の状態にすることが脆弱性の対策になります。
特にOSの場合はセキュリティホールと呼ばれる欠陥が見つかることもあるため、迅速な対応が必要です。
また、WordPressのバージョンを非公開にしておくことも重要です。もし旧バージョンのまま公開されていると、脆弱性や修正点を参考に、バージョンに応じた攻撃を仕掛けられるリスクがあります。
アップデート内容はもちろん、セキュリティに関する警告が出ていないかなど、常に最新のセキュリティ情報を把握しながら、WordPressの運用や定期的なメンテナンスを行うことが重要です。
WordPressのログインパスワードを強化したり見直しを定期的に行うことも、セキュリティ対策の基本です。
WordPressは管理画面がインターネット上にあるため、ダッシュボードへのログインページとユーザー名・パスワードが分かれば、誰でも簡単にログインできます。ログインに必要な情報は、簡単に推測されてしまうリスクがあることを留意しておきましょう。
パスワードを決める際には、パスワードを自動生成してくれるツールを使うと便利です。定期的に推測されにくく強度が高いパスワードへ変更することで、セキュリティが強化され、不正アクセスのリスクを低減できます。
記事投稿や簡単な編集を行う際は、管理者のアカウントとは別に編集用のアカウントを利用することも、セキュリティ対策として有効です。
WAF(Webアプリケーションファイアウォール)を導入することで、WordPressサイトを外部攻撃から保護できます。WAFは、不正アクセスや悪意のあるリクエストをブロックし、サイトの安全性を高めます。
WordPressの管理画面(wp-admin)やログイン画面(wp-login.php)へのアクセスを特定のIPアドレスのみに制限することで、不正アクセスのリスクを大幅に減らせます。
設定方法(.htaccessを利用):
RewriteEngine On
RewriteCond %{REQUEST_URI} ^/wp-login.php [NC]
RewriteCond %{REMOTE_ADDR} !^xxx\.xxx\.xxx\.xxx$ (自分のIPアドレスを指定)
RewriteRule .* - [F,L]
RewriteEngine On
RewriteCond %{REQUEST_URI} ^/wp-admin [NC]
RewriteCond %{REMOTE_ADDR} !^xxx\.xxx\.xxx\.xxx$ (自分のIPアドレスを指定)
RewriteRule .* - [F,L]
この設定を行うことで、ログイン画面(wp-login.php)と管理画面(wp-admin)へのアクセスを特定のIPアドレスのみに制限 でき、不正アクセスのリスクを低減できます。
注意点:
・誤って自分のIPアドレスを設定し忘れると、管理画面にアクセスできなくなるため慎重に設定してください。
・動的IPを使用している場合は、頻繁にIPが変わるため、この方法は適さないことがあります。
・VPNや固定IPアドレスを利用している場合は、より安全に管理画面を保護できます。
二段階認証を導入することで、ログイン時にパスワードだけでなく、追加の認証コードが必要となり、セキュリティを強化できます。
この仕組みにより、仮にパスワードが流出した場合でも、認証コードを持っていないとログインできないため、不正アクセスのリスクを大幅に低減できます。
二段階認証を利用するには、WordPressに対応したプラグインを導入し、設定を行うのが一般的です。
プラグインをインストールし、認証方法としてメール、SMS、または専用アプリを設定することで、二段階認証を有効化できます。
注意点:
・プラグインの互換性を事前に確認し、他のセキュリティ対策と競合しないかチェックしましょう。
・ 二段階認証を有効化した後は、バックアップコードを取得し、紛失時の復旧手段を確保しておくと安心です。
・ユーザーごとに適用範囲を設定し、管理者アカウントだけでなく必要に応じて編集者やその他のユーザーにも適用しましょう。
一定回数ログインに失敗すると、アカウントを一時的にロックする機能を追加することで、総当たり攻撃(ブルートフォース攻撃)を防ぐことができます。
WordPressでは、この機能を提供するプラグインを活用することで簡単に設定が可能です。適用する際は、以下の点に注意しましょう。
注意点:
・プラグインの互換性を事前に確認し、他のセキュリティ対策と競合しないかチェックしましょう。
・ アカウントロックのルールを適切に設定し、誤って正規のユーザーがロックされないようにする。
・定期的にログを確認し、正常に機能しているかをチェックする。
アカウントロック機能を適切に設定することで、不正アクセスを防ぎ、WordPressサイトの安全性を向上させることができます。
使用しているレンタルサーバーによっては、セキュリティ対策を提供している場合もあるため、利用を検討してみるのも良いでしょう。専門的な知識がなくても、比較的簡単にWordPressのセキュリティ対策が可能です。
サーバー会社以外にも、WordPressのセキュリティ対策を代行してくれるサービスもあります。比較検討して自社に合ったものを導入するとよいでしょう。
実際にWordPressへの攻撃でどのような被害があるのでしょうか。過去に発生した不正アクセスや情報漏洩などによる被害事例を2つ紹介します。
2017年、WordPressの「REST API」の脆弱性を狙った大規模な改ざん攻撃が発生しました。この攻撃では、特定のバージョン(4.7.0および4.7.1)のWordPressが影響を受け、約155万件のWebページが改ざんされる事態となりました。
この脆弱性を悪用すると、認証なしでコンテンツの書き換えが可能となり、サイトの正規の情報が勝手に変更されるケースが多発しました。特に、改ざんされたページが意図しないコンテンツに書き換えられたり、不審な外部サイトへ誘導されるリスクが高まりました。
ポイント
WordPressのアップデートは慎重に行う
脆弱性が発見された場合、修正パッチが配布されるため、迅速に対応することが重要です。ただし、プラグインやテーマとの互換性を事前に確認し、バックアップを取得してから更新することを推奨します。
APIのアクセス制限を設定する
REST APIを必要としない場合は無効化し、必要な場合も認証を強化して不正なアクセスを防ぎましょう。
定期的なセキュリティチェックを実施
改ざんがないかを定期的に確認し、異常を早期に検知できる体制を整えましょう。サイトのログを監視し、不審なアクセスを検出する仕組みを導入することも有効です。
2021年、WordPressサイトが大規模なサイバー攻撃を受け、約160万のサイトが影響を受けました。この攻撃では、複数のプラグインとテーマに存在する脆弱性が悪用され、攻撃者は管理者権限を取得し、サイトのコンテンツを改ざんしました。
ポイント
プラグインとテーマの定期的な更新
脆弱性は開発者によって修正されるため、プラグインやテーマを常に最新のバージョンに保つことが重要です。
信頼できるソースからのプラグインとテーマの導入
公式のWordPressディレクトリや信頼できる開発者から提供されるものを使用し、未知のソースからのインストールは避けましょう。
不要なプラグインとテーマの削除
使用していないプラグインやテーマは、脆弱性のリスクを減らすために削除することをお勧めします。
WordPressのセキュリティ対策をさらに強化するためには、プラグインやツールを導入したり、専門家に外注するとよいでしょう。セキュリティ向上に役立つおすすめの方法を詳しく紹介します。
WordPressのセキュリティ対策ができるプラグインには多くの種類があります。
豊富なプラグインの中でも特に、総合的なセキュリティ対策ができる「All In One WP Security&Firewall」や、WordPressの管理画面とログインページを保護してくれる「SiteGuard WP Plugin」、不正アクセスに対するセキュリティ強化ができる「Google Authenticator」がおすすめです。
ただしセキュリティ対策のプラグインは導入する数が多ければよいというものではありません。インストールした分だけセキュリティ対策が強化されるわけではない上、サーバーの容量を圧迫して重たくなってしまうリスクもあります。
プラグインを選ぶ際には、古いものではないか、ある程度の利用者がいるか、頻繁にアップデートがあるかなどを確認し、質や信頼性に注意した上で厳選するとよいでしょう。
WordPressのセキュリティリスクを診断できる、無料のツールもあるので、利用するとよいでしょう。代表的なものに「WPScans.com」や「WPdoctor」「Google Search Console」があります。
チェックしたいサイトのURLを入力してチェックボタンを押すだけで、問題があるかどうか簡単に確認できます。問題があれば注意すべき内容が表示されるため、一つひとつ改善していくことでセキュリティを強化することが可能です。
無料で利用できるため、セキュリティ対策を本格的に始めようか悩んでいる際にもおすすめです。
WordPressのセキュリティ対策は、プロの業者に依頼するのもおすすめです。
プラグインやツールを導入するだけでは不安な場合や、社内に管理や運用するリソースやノウハウが不足している状況であれば、専門家に任せた方が負担を減らせるはずです。
ジオコードの「WordPressセキュリティプラン」は、事前にサービスを導入できる環境かどうかを確認した上で、管理画面の脆弱性強化やプラグインの最新化、各種ファイルの強化などの基礎設定を実施します。
さらに定期的なアップデートやウイルスチェック、バックアップ作業にも対応しているのでセキュリティ周りの課題解決に役立ちます。
WordPressは世界的にも利用者が多いため、サイバー攻撃の標的にされてしまうリスクが高いです。定期的なアップデートやバックアップはもちろん、万全なセキュリティ対策は必須といえます。
株式会社ジオコードでは、WordPress のセキュリティ課題を解決できる「WordPressセキュリティプラン」をご用意しています。現在の脆弱性チェックを実施する「導入前調査」は無料でご利用いただけます。
「以前にWordPressで制作したWebサイトのセキュリティが心配」「WordPressでサービスサイトを構築したけれど、セキュリティ対策が十分にできているか不安」などのお悩みがありましたら、ぜひお気軽にご相談ください。