東証スタンダード上場企業のジオコードが運営！

Web制作がまるっと解るWebマガジン

資料ダウンロード

記事を探すメニュー

ジオコードのWeb制作

Web制作マガジン > 全ての記事 > WordPressのセキュリティ対策。基本的な対策方法を分かりやすくご紹介！

更新日：2024年 10月 28日

WordPressのセキュリティ対策。基本的な対策方法を分かりやすくご紹介！

【監修】株式会社ジオコード Web制作事業責任者
高松建太郎

WordPressを安全に運用するために、常にセキュリティ対策を万全にしておく必要があります。

この記事はWordPressでサイト構築をしている企業の担当者や、WordPressで構築したサイトのセキュリティ強化を検討中の方に向けて、WordPressのセキュリティリスクや脆弱性、セキュリティ対策の基本を解説するとともに、WordPressの被害事例やおすすめのプラグインなども合わせて紹介します。自社に合ったセキュリティ対策を進める上でぜひ参考にしてください。

WordPressのセキュリティ課題をズバッと解決。入って安心！WordPressセキュリティプラン

WordPressのセキュリティ強化が必要な理由とは？
- 利用者が多いCMS
- プラグインに脆弱性がある
WordPressにおけるセキュリティリスク
WordPressセキュリティ対策の基本
WordPressの被害事例
WordPressのセキュリティ対策はプラグインの導入や外注もおすすめ！
まとめ

WordPressのセキュリティ強化が必要な理由とは？

WordPressは攻撃者から狙われやすいCMSです。さまざまなセキュリティリスクから自社のWebサイトや情報を守るためには、常に最新情報の把握とセキュリティ対策のアップデートが必要になります。

ここではWordPressのセキュリティ強化がなぜ必要なのか、またWordPressが攻撃者から狙われやすい理由について詳しく解説します。

利用者が多いCMS

WordPressが狙われやすい理由の一つに、利用者が非常に多いCMSであることが挙げられます。

W3Techsの調査によると、2024年7月1日時点でWordPressのCMSのマーケットシェア率は62.7%と高く、WordPressは世界的に広く利用されているWebサイト構築プラットフォームであることを示しています。

シェア率の高いシステムの方が攻撃の成功確率が上がるため、攻撃者から狙われやすくなるわけです。

また、WordPressがオープンソースのCMSであることも、セキュリティリスクを高める要因の一つです。

WordPressは、HTMLやCSSに関する専門知識に乏しくてもWebサイトの制作が可能です。手軽で初心者でも扱いやすいCMSであるのは魅力ですが、セキュリティ対策が不十分だと攻撃を受けやすくなります。

※参考：W3Techs. 「W3Techs – World Wide Web Technology Surveys」

プラグインに脆弱性がある

WordPressは、特有の拡張機能である「プラグイン」やテーマの脆弱性（セキュリティーホール）を狙って攻撃されるリスクがあります。

プラグインはWordPressにインストールして有効化することで、必要な機能を追加できる便利な仕組みです。ただしプラグインは世界中のプログラマーによって制作されており、十分なセキュリティ対策が施されていない場合もあります。そのため、プラグインの脆弱性を狙った攻撃も多いのが現状です。

WordPress本体も攻撃対象になるため、脆弱性やセキュリティ対策のためのアップデートを定期的に行っており、外部から脆弱性を見つけにくくなっています。しかしアップデートだけでは悪意のある第三者からの攻撃を完全に防ぐことはできません。

使用するプラグインの脆弱性をしっかり認識しておくことも、攻撃を防ぐ上で必要です。

WordPressにおけるセキュリティリスク

ここではWordPressのセキュリティリスクを理解するため、WordPressへの攻撃による被害の詳細について解説します。

不正アクセス

WordPressのセキュリティ対策が不十分な場合、悪意のある第三者によって不正アクセスされる可能性があります。不正アクセスとは、脆弱性を利用して管理者権限を乗っ取る行為や、サイトのコードに悪意あるプログラムを挿入する行為を指します。このような攻撃は、サイト運営者だけでなく、訪問者にとっても深刻な影響を与える可能性があります。例えば、ユーザーのデバイスにマルウェアが配布されたり、フィッシング詐欺に利用されたりすることも考えられます。

特に、セキュリティパッチやプラグインの更新が滞っているサイトは狙われやすく、不正アクセスを受けると、運営サイト全体の信頼性が大きく損なわれるリスクが伴います。

情報漏洩

不正アクセスが引き金となるリスクの一つが、情報漏洩です。ユーザーの個人情報や企業の機密情報が外部に流出してしまうことがあり、その影響は甚大です。例えば、顧客データベースにアクセスされ、氏名、住所、クレジットカード情報などの個人データが不正に公開される可能性があります。このような情報漏洩が発生した場合、企業は法的な責任を問われることがあり、場合によっては損害賠償が発生することも考えられます。

さらに、企業の信頼を損ない、ビジネスに長期的な悪影響を及ぼす可能性もあるため、情報漏洩は避けるべき重大なリスクの一つです。

Webサイト内のコンテンツ改ざん

セキュリティ対策が不十分な場合、WordPressで構築したWebサイト内のコンテンツが改ざんされてしまうリスクもあります。

Webサイトで発信している情報が、知らないうちに不適切な内容に書き換えられてしまうと、企業の信頼性を低下させる原因になり、利用者にも悪影響を与えかねません。

また、Webサイト内に広告を掲載している場合では、悪意のある広告に差し替えられる被害もあります。そうなると広告から得られるはずの収益はすべてなくなってしまいます。

さらに、DDoS攻撃によるダメージを受けるリスクも考えられます。DDoS攻撃とはWebサイトやサーバーに対して、複数のパソコンから大量の攻撃を仕掛けることです。複数のパソコンから攻撃を受けるため、攻撃者の特定が難しいのが特徴です。

詐欺サイトやフィッシングサイトへの誘導や、マルウェアが埋め込まれてしまう可能性もあります。

スパムメールを勝手に配信

セキュリティ対策が不十分な場合、メール送信プログラムが勝手に組み込まれてしまうこともあります。そうなると不特定多数のメールアドレスへ大量のスパムメールが送信されることになります。

お問い合わせフォームのようなプラグインを攻撃されるケースが多いですが、WordPressのコメントフォームも攻撃の対象です。意図せずスパムメールが一斉送信されると、自社が発信元とみなされ、結果的に信頼の低下を招く可能性があるため、注意が必要です。

WordPressセキュリティ対策の基本

WordPressで構築したWebサイトを安全に運用するためには、複合的にセキュリティ対策を講じましょう。ここでは基本的なセキュリティ対策を解説しますので確認してください。

パソコンやWordPressを最新の状態に保つ

パソコンのOSやWordPressは常にアップデートし、最新のバージョンにしておくことが重要です。常に最新の状態にすることが脆弱性の対策になります。

特にOSの場合はセキュリティホールと呼ばれる欠陥が見つかることもあるため、迅速な対応が必要です。

また、WordPressのバージョンを非公開にしておくことも重要です。もし旧バージョンのまま公開されていると、脆弱性や修正点を参考に、バージョンに応じた攻撃を仕掛けられるリスクがあります。

アップデート内容はもちろん、セキュリティに関する警告が出ていないかなど、常に最新のセキュリティ情報を把握しながら、WordPressの運用や定期的なメンテナンスを行うことが重要です。

ログインパスワードの強化や見直しを定期的に行う

WordPressのログインパスワードを強化したり見直しを定期的に行うことも、セキュリティ対策の基本です。

WordPressは管理画面がインターネット上にあるため、ダッシュボードへのログインページとユーザー名・パスワードが分かれば、誰でも簡単にログインできます。ログインに必要な情報は、簡単に推測されてしまうリスクがあることを留意しておきましょう。

パスワードを決める際には、パスワードを自動生成してくれるツールを使うと便利です。定期的に推測されにくく強度が高いパスワードへ変更することで、セキュリティを突破されにくくなります。

記事投稿や簡単な編集を行う際は、管理者のアカウントとは別に編集用のアカウントを利用することも、セキュリティ対策として有効です。

テーマとプラグインの最適化（最新化と削除）をする

WordPressのテーマやプラグインを常に最新の状態にしておくことも心がけましょう。テーマやプラグインは、アップデートして最適化をしないとセキュリティリスクが残ったままになってしまいます。

WordPressにはテーマやプラグインを自動更新してくれる機能があるものの、アップデートによって脆弱性が増えたり、機能が低下したりすることもあります。

内容やアップデートの評判、警告などの状況を公式サイトやSNSで確認したうえで更新するのが安心です。

テーマやプラグインは無効化しても、存在や情報は残っています。攻撃に利用されてしまうケースがあるため、使用しない場合は無効化ではなく「削除」する対応が重要です。

定期的にバックアップを取得する

定期的にWebサイトのバックアップを取っておくことも、万が一の被害に備える上で大切です。

ハッキングされてしまい、サイト内容が改ざんされたとしても、バックアップがあれば被害を受ける前の状態に戻せます。

WordPress本体やテーマ、プラグインのバージョンアップをする際や、カスタマイズを実施する際は必ずバックアップを取っておきましょう。特に変更がない場合も、定期的にバックアップを取得しておくことで、予期せぬ事態が発生しても比較的新しい状態に戻せます。

外部からのアクセスを遮断する

WordPressが攻撃されるリスクを避けるためにも、外部からのアクセスを遮断しておきましょう。

外部からのアクセスを遮断するには、FTPソフトなどで「ファイルの属性（パーミッション）」を「400」や「600」といった値に設定することが有効です。

「wp-config.php」というシステムファイルがWordPressでは非常に重要で、取り扱いには気を付けなければなりません。「wp-config.php」には、データベースの重要な情報が記録されているため、外部に漏れてしまうと情報漏洩やWebサイトの改ざんリスクが高まります。

サーバーのセキュリティ対策を利用

使用しているレンタルサーバーによっては、セキュリティ対策を提供している場合もあるため、利用を検討してみるのも良いでしょう。専門的な知識がなくても、比較的簡単にWordPressのセキュリティ対策が可能です。

サーバー会社以外にも、WordPressのセキュリティ対策を代行してくれるサービスもあります。比較検討して自社に合ったものを導入するとよいでしょう。

WordPressの被害事例

実際にWordPressへの攻撃でどのような被害があるのでしょうか。過去に発生した不正アクセスや情報漏洩などによる被害事例を2つ紹介します。

一つめは、2017年にWordPress本体のプログラムが攻撃を受けた事例です。Rest APIという、WordPress内部のデータを外部から取得する目的のシステムに脆弱性があり、約80万件ものページが改ざんされました。

二つめは、2021年に約160万ものWordPressのサイトがサイバー攻撃を受けた事例です。4つのプラグインと複数のテーマの脆弱性を狙った攻撃を大量に受け、管理者権限を奪われた上、コンテンツが改ざんされました。

WordPressのセキュリティ対策はプラグインの導入や外注もおすすめ！

WordPressのセキュリティ対策をさらに強化するためには、プラグインやツールを導入したり、専門家に外注するとよいでしょう。セキュリティ向上に役立つおすすめの方法を詳しく紹介します。

セキュリティ対策プラグインを導入

WordPressのセキュリティ対策ができるプラグインには多くの種類があります。

豊富なプラグインの中でも特に、総合的なセキュリティ対策ができる「All In One WP Security＆Firewall」や、WordPressの管理画面とログインページを保護してくれる「SiteGuard WP Plugin」、不正アクセスに対するセキュリティ強化ができる「Google Authenticator」がおすすめです。

ただしセキュリティ対策のプラグインは導入する数が多ければよいというものではありません。インストールした分だけセキュリティ対策が強化されるわけではない上、サーバーの容量を圧迫して重たくなってしまうリスクもあります。

プラグインを選ぶ際には、古いものではないか、ある程度の利用者がいるか、頻繁にアップデートがあるかなどを確認し、質や信頼性に注意した上で厳選するとよいでしょう。