初心者でも簡単にWebサイトを作れることから多くのシーンで利用されているCMSのWordPressですが、一つ大きなデメリットがあります。
多くのWebサイトに使われているからこそ、常に悪意のある第三者による攻撃(SQLインジェクション・OSコマンドインジェクション・クロスサイトスクリプティング等)の対象となりやすいということです。
そうした理由から「WordPressに脆弱性が見つかった」「WordPressはセキュリティに問題がある」といった話題をよく見かけます。
ここではそんなWordPressのセキュリティや脆弱性による被害実例、それに対抗するための対策などをご紹介します。
目次
WordPressのセキュリティについて
WordPressはセキュリティに関してしっかりと対策を行えば、問題なく運用できるCMSです。
では何故、世の中にある多様なCMSの中でもWordPressがこれ程までにセキュリティについて言及されているのか。
それにはいくつもの要因があり、それが重なってしまっていることが原因となっています。
初心者が多い
WordPressは初心者でも簡単にホームページの作成が可能なCMSですので、利用者も初心者が多くなる傾向にあります。そのためネットリテラシーが低く、セキュリティに関しても関心が薄いユーザーが運用するため、悪意のある第三者からの攻撃に耐えられないというケースが多くなります。
また、人気があるCMSということも攻撃者にとっては効率が良くなる理由になります。人気があるCMSは当然利用するユーザー数も多くなりますので、攻撃者としては1つの脆弱性を発見できれば、その一つの発見に対して攻撃できるサイトが大量に存在するという状況になります。
現時点で意識してセキュリティ対策を行っていない場合であっても、その全てのWordPressサイトが危険だとは断言できません。
なぜなら普段からセキュリティを意識はしていないが、人からオススメされたセキュリティ系のプラグインを導入していたり、こまめに最新バージョンへの更新を行っている場合は意外とセキュリティも強固になっている場合があります。
オープンソースCMS
WordPressはオープンソースCMSですので、誰でもその中身を確認することができます。
これは開発者としては様々な検証ができることから大きなメリットに感じられるポイントであり、多くの開発者がチェックしていることから脆弱性を発見する頻度も高くなります。
もちろんWordPress側もこの脆弱性に対応すべく頻繁にアップデートを行い、被害を最小限に抑える努力をされていますので、セキュリティ上安全な環境を維持することが可能となります。
しかし、そのためにはWordPressサイト運営者も新しいアップデートが来た場合は速やかに対応する必要があります。
ダッシュボードがインターネット上にある
WordPressの管理画面であるダッシュボードは、インターネット上に存在します。ユーザー視点では、これは場所やデバイスを選ばずにログイン・編集などが可能となる便利な仕組みですが、裏を返せばそれはログインIDとパスワード、ログインページのURLが分かれば誰でもログインでき、WordPress内にあるデータにアクセスし放題という状況になってしまいます。
特にWordPressのダッシュボードのログインページのURLは対策を行わない限り簡単に推測されやすく、IDとパスワードに関してもドメインの文字列やメールアドレス、社員名などから推測されてしまったり、別のサービスのID・パスワードをWordPressにも使いまわしていると、そこから流出した情報をもとに不正アクセスを許してしまうリスクも潜んでいます。
他にも、推測されない無関係なパスワードを設定していても、シンプルなパスワードにしている場合はパスワードクラックで簡単に突破されてしまう可能性もあります。
プラグインやテーマが更新されない
WordPress自体や対応するテーマ・プラグインは基本的には常に改良が継続的に行われ、アップデートで常に新しい脆弱性対策がリリースされています。
しかし、中にはテーマやプラグインの開発者がその後のアップデートを止めてしまい、脆弱性がそのまま残ってしまっているケースがあります。
これだけではなく、開発者側はアップデートを継続し新しいセキュリティの脅威にも対応できる様に最新のアップデートをリリースしていても、肝心のサイト運営側がそれを実行せず古いバージョンのままWordPress運用を続けてしまうというケースもあります。
いずれのケースもプログラムの脆弱性を狙った攻撃に対応できず、実害が出てしまう状況となります。
脆弱性による被害や実例
それでは実際に、WordPressのセキュリティの脆弱性が攻撃されることでどのような被害を受けることになるのか、その可能性がある被害内容や実際にあった事例について紹介します。
詐欺サイトに転送される
WordPressサイトが攻撃されることで起こりえる1つ目の被害内容は、自動転送プログラムなどが組み込まれてしまい、サイトに訪れたユーザーが勝手に詐欺サイトなどに転送されてしまうというものです。
見るからに詐欺サイトだと判断できるページへの転送の場合、WordPressサイト自体の信用は落ちますが実被害は少ない可能性もありますが、これが本サイトに似せて作られた詐欺サイトの場合、そこから訪問者の個人情報の抜き取りやそこから更に悪質なサイトへの誘導、ウイルス感染など大惨事に発展する可能性もあります。
コンテンツの改ざんが行われる
WordPressサイトのコンテンツが改ざんされてしまうという被害も可能性としてはあり得ます。
例えば、運営者情報を悪意のある内容に書き換えたり、テキストコンテンツをでたらめなものに書き換えたりといったイタズラ感覚で行われる改ざんもこれに含まれます。
他にも、広告を配置しているWordPressサイトであれば、本来であればサイト管理者が発行している広告が表示されるところを、不正アクセスを行った第三者の発行した広告に差し替えて、サイト運営者の収益を奪うという被害もあります。
もっと悪質なもので言えばWordPress内に特定のサイトなどにDDoS攻撃を自動で仕掛けるようプログラムを忍ばせ、犯罪の踏み台にされるといったケースもあります。
会員情報が漏洩する
会員登録などを行うことでWordPressサイト内でコメントを自由に行えるようにしているサイトの場合、ダッシュボードに侵入されるとそこから登録を行っている会員の情報を抜き取られる可能性もあります。
WordPressではダッシュボードにある「ユーザー」という項目から登録されているユーザー、すなわち会員の情報を確認できます。
こういった仕様となっているため、管理者のログインIDやパスワードを入手さえできれば、素人レベルの人間であっても簡単に会員情報を抜き取る事が可能となっています。
なお、会員情報がどこまで含まれるかはそのサイト次第となりますが、メールアドレスの登録が必須となっている割合は高いです。
勝手にスパムメールを送信される
WordPressでは、メールの自動送信プログラムなどもプラグインで簡単に追加することができます。
メルマガなどを発行しているサイトであれば非常に便利な機能ではありますが、セキュリティ対策されていない場合は攻撃者にとってはアクティブなメールアドレスに大量のスパムメールを送れる格好の餌食となります。
この様にWordPress内に登録されているメールアドレスに対してだけではなく、最悪の場合はメール送信の踏み台としてそれ以外の不特定多数にスパムメールを送られてしまう可能性も考えられます。
厄介なのは、自動メール送信プログラムを導入してないWordPressサイトであってもお問い合わせフォームやコメントフォームを利用してスパムメール送信プログラムを仕込まれることもあるため、メール送信機能が搭載されていないサイトも注意が必要となります。
実例紹介
こういったWordPressのセキュリティに関する被害は、「可能性」だけの話だけではなく「実際に被害として起こっている」内容です。
しかも、個人ブロガーといった初心者だけではなく、大きな企業のWordPressサイトでもセキュリティ対策が不十分で脆弱性を突かれた攻撃を受けています。
安全性、セキュリティ、サステナビリティといったジャンルのサービスを行う会社のWordPressサイトにて改ざんが発覚。
改ざんされたページを訪問したユーザーがマルウェアに感染する可能性がある不正サイトに誘導される改ざんが行われたというもの。
この事例では主にセミナー申し込みフォームやお問い合わせフォーム、採用申込フォームといった主にユーザーが情報を入力するページが狙われました。
グローバル展開を行っているEV関連の会社のコーポレートサイト(WordPress)にて、2022年の夏にサイト改ざんが発覚。サイトは多言語化できる仕様になっており、海外からの攻撃の可能性が高いとみられる。
しかし幸いなことに、個人情報を取り扱うページは別のセキュリティが高いサイトに元々分けており、このサイト改ざんによるユーザーへの被害は皆無。
ただし、その調査のために一時的ではありますが数日間サイト調査の為に閉鎖を余儀なくされました。
ファッション事業を展開する企業のWordPressサイトにて不正アクセスがあり、その会社のメールアドレスから不特定多数のユーザーに大量にスパムメールが送れらる被害が発生。
この企業の場合、公開しているサイト自体はセキュリティ対策も行われていたが、事前にコンテンツをチェックするためのテストサイトが存在し、そちらに対しては対策がおろそかになりWordPressのバージョンも古いまま稼働させていました。
そこを攻撃者に突かれてしまい、この事件が発生してしまいました。
他にも、国内官公庁が管轄するWebサイトが不正アクセスによってコンテンツが改ざんされ、訪問したユーザーが詐欺サイトに誘導されて不利益が生じる状態になったこともあります。
このように自分の耳には入ってきていないが、実際はWordPressのセキュリティ対策を怠ったことによる被害は割と多いのが現状です。
まずはセキュリティ診断でチェック
こういった事例を目の当たりにして、「自分のところのWordPressもセキュリティ対策を行おう!」と思われる方も多いと思われますが、今まで運営してきたWordPressサイトに関しては先に行うべきことがあります。
それは、現在の状態でのセキュリティ診断です。
前述でもご紹介のとおり、今まで全くセキュリティに関して意識していなかったが、意外と強固なセキュリティになっているケースもあり、その場合は無理して脆弱性に対する追加の防御対策を行うことで今度はWordPressの利便性を損なってしまう可能性が発生します。
なので、まずは自分が管理・運用しているWordPressサイトが現在の状態で大丈夫かどうか、セキュリティ診断を行って確認することが推奨されます。
WPSCANS.com
1つ目の方法はWPSCANS.comという英語のウェブサイトにWordPressサイトのURLを入力して、「START SCAN」ボタンを押すだけという非常に手軽にできる診断方法です。
独自のアルゴリズムで脆弱性の有無をチェックしてくれるウェブサイトでもちろん無料となっていますので、他の方法と併用することで確実性を増すことができます。
WPdoctor
2つ目の方法も同じくWPdoctorというウェブサイトにURLを入力して「サイトを検査」ボタンを押すだけとなります。
ただし、1つ目に紹介したWPSCANS.comと同じ脆弱性のデータベースを使用していますので、結果は同じものとなります。唯一の違いとしては、こちらのサイトは日本語表記となっていますので、英語に抵抗がある方はこちらのサイトでの診断がオススメです。
Wordfence Security
3つ目の方法は、Wordfence Securityというプラグインを導入して診断を行うという方法です。
このプラグインはWordPressの総合的なセキュリティ対策ができ、インストール後にScanというボタンをクリックするという手軽さで脆弱性の有無をチェックすることができます。
セキュリティのプロに訊く! 狙われるWordPress、まずは脆弱性診断で対策を。
ホームページを簡単に作れるコンテンツ管理システム(CMS)であるWordPressのシェアは、世界中のすべてWEBサイトのうち35.8%に達しています。CMS市場におけるWordPressの世界シェアは62.6%、日本国内のCMS市場では82%以上という圧倒的なシェアを誇っています。 最近では企業のホームページもWordPressで作られるケースが多くなり、WEB制作会社もWordPressでサイ…
すぐに実行可能なWordPressのセキュリティ対策
ここからは実際にWordPressサイトで被害に合わないために、すぐに実行可能なセキュリティ対策についてご紹介します。
運用方法に注意する
まずは普段のWordPressの運用方法に関するルールを厳格にするという対策が必要になります。
当たり前の話ではありますが、WordPressのダッシュボードのログインIDやパスワードは他のサービスの使いまわしにせず、また推測されにくいものを用意し使用する。これでけでも不正アクセスを回避できる確率は格段に上がります。
アップデートで最新の状態を維持する
WordPress自体のアップデートだったり、テーマやプラグインのアップデートに関しても放置し続けるようなことはせず、確認が取れ次第最新バージョンにアップデートするという癖付けも必要になります。複雑な仕組みを導入していない場合は、自動更新をONにしておくという手段も有効です。
他にも、使用していないテーマやプラグインも「有効化していないから大丈夫」という訳ではなく、そこから狙われる可能性もありますので、使用していないテーマやプラグインは削除することを習慣化しましょう。
セキュリティ強化プラグインを導入する
WordPressは初心者ユーザーも多いCMSです。しかし、そういったユーザーでもセキュリティ対策を簡単に導入できる手段としてセキュリティ強化プラグインが推奨されています。
SiteGuard WP Plugin | WordPressの管理画面を守る強力なプラグインです。 一定回数ログインに失敗するとその接続元からログインを試行できなくなったり、ログインに画像認証を追加したり、さらにはログインしていない接続元IPアドレスから管理画面へのアクセスを不可にするなど機能が豊富です。 設定項目が全て日本語なので、使いやすいのも魅力です。 |
Google Authenticator | WordPressダッシュボードへのログインを2段階認証にするプラグインです。ID・パスワードを入力後に設定しているメールアドレスに2段階認証で使用するワンタイムパスワードが送信される仕組みとなっていますので、手間はかかりますがより確実に不正ログインを防ぐことが可能となります。 |
IP Geo Block | WordPressへの攻撃は海外から行われることが多いです。このプラグインでは、管理画面にたいする海外からのアクセスをブロックすることができます。 ※契約しているサーバーによっては無料オプションで海外IPからのアクセスを制限できる場合もあります。 |
All In One WP Security & Firewall | WordPressの総合的なセキュリティ対策が行えるプラグインです。ログイン画面のよく知られたURL(wp-admin.php)を変更したり、簡易的なファイアーウォールとして機能したりします。 |
Akismet | WordPressでユーザーからのコメントを許可する設定にしていた場合や問い合わせフォームを設置していた場合に、スパムコメントをフィルタリングしてくれるプラグインです。あらかじめインストールされており、改めてインストールする必要はありません。 |
WAFを利用する
脆弱性を突いた攻撃の中でもWEBアプリケーションに対する攻撃に関してはファイアーウォールが提供するIPアドレスやポート番号ベースのフィルタリング機能では防ぐことができません。
なので、この手の攻撃に対してはWEBアクセスで送受信されるデータを自動で解析・検査しアプリケーションレベルの攻撃を検出できる「WAF」というツールを利用する事が有効な手段となります。
WAFはレンタルサーバー会社から提供されていることが多いので、利用できる環境であれば導入する価値はあります。
サーバーと一緒にご利用いただく便利なオプションサービスをご紹介しています。
普段から情報収集を行う
WordPress関連の最新情報も定期的にチェックすることも、セキュリティ対策としては望ましいです。
というのも、誰もが使用しているテーマやプラグインで重大な脆弱性が発覚したり、最新のWordPressバージョンで脆弱性が発見されたということが過去にありました。そして、そういった情報が出回っているということは、既に攻撃者にも知られていることがほとんどで、その脆弱性を突いた攻撃が行われる可能性が高まります。
しかし、事前にこの情報を把握できていれば、異変を感じた時に迅速に対応できたり、事前に別のプラグインやテーマに切り替え、セキュリティ強化プラグインを追加で導入といった対策も可能となります。
なお、こういったWordPress自体の脆弱性に関しては、アップデート更新が比較的早い段階で行われます。なので、重要なアップデートに迅速に対応するためにも普段から情報収集を行うことは、WordPressのセキュリティ対策としては重要な項目となります。
外注に委託する
もしWordPressのセキュリティ対策に充てる時間や人員がいないという場合には、外注として外部の企業に委託するという対策も可能です。
当然この場合は、WordPressのセキュリティ対策に費用が掛かってしまうことになりますが、その代わりにプロによる監視・対策を受けることができるため安全性は大きく飛躍します。
もちろん、それでも100%安全と断言することはできませんが、少なくともWordPressのセキュリティに関する知識や経験が無い人間が運用するよりも安全な環境に置くことは可能となります。
WordPressを止めるという選択肢
WordPressはあくまでも簡単にWebサイトの作成ができるCMSの一つです。
つまりサイト作成にはWordPress以外の選択肢があり、その選択肢を選ぶことでWordPressのセキュリティ問題から解放されるという見方も可能です。
名刺代わりのホームページは静的サイトでも可能
会社のホームページ自体にそこまで必要性は感じないが、インターネット上で名刺代わりになれば良いとお考えの場合は、WordPressを使って動的なサイトにせずに、HTMLで静的なサイトを作るという手段も可能です。
特に基本的に更新することもなく、長期間そのまま放置することになる場合は、むしろ静的なHTMLのみのサイトの方が安全で手間が掛からないというメリットさえあります。
もちろんその場合は、最初にHTMLを使ってホームページを作成できる技術者もしくは外注などが必要にはなります。
他のCMSを利用する
WordPressが人気の理由の一つに「無料で利用できるCMSである」という要因があります。
反対に有料のCMSになってくるとそもそも利用者数が少なくなり、更にオープンソースでもないので攻撃者からすると攻撃対象に選ぶメリットが少なくなり、リスクを抑えることに繋がります。
有料CMSは絶対に安全だとは言えないまでも、WordPressほど狙われるリスクが多くありません。有名どころの有料CMSであればある程セキュリティ対策に対する開発にも力を入れているでしょうから、無料に拘らなければ脱WordPressの選択肢の一つになります。
日記帳レベルならブログサービス
WordPressの利用者の中には、SEOを意識したコンテンツのブログではなく、本当に単なる日記帳のような用途で使用されている方もいます。当然そういった用途であっても不正アクセスなどの標的になる事はあるので、その為だけにセキュリティに注意を払わなければいけないのが苦痛だという場合には、無料で利用できるブログサービスが推奨されます。
代表的なところで言えば、アメブロだったりライブドアブログ、他にもnoteといった後続サービスも登場していますので、選択肢の幅はかなり広いです。もちろん無料ですので、デザイン面などはかなりの制限を受けることになりますが、そこが気にならないという場合にはセキュリティ問題も気にしなくて済むので利用するメリットは大きいです。
WordPressのセキュリティを強化して安心してサイトを運営しましょう!
WordPressは利便性が高い反面、残念ながらさまざまなセキュリティリスクと隣り合わせです。
ただし、ここで紹介した簡単な設定によって多くの攻撃を防御することができるようになります。逆にきちんと設定しておかないと、攻撃者にとっては都合のよいターゲットになってしまいます。WordPressを利用する際は、かならずここで紹介した最低限のセキュリティ対策を行っておき、セキュアな状態で利用するようにしましょう。
なおカゴヤのWordPress専用サーバーでは、国外からのアクセスを遮断する機能や管理画面への不正なログインを防止する機能、無料のバックアップサービスなどを提供しています。そのためセキュリティの対策が簡単になります。その他、WordPressをさらに高速かつ便利に使えるようにするための特徴を豊富にそろえているので、WordPress利用の際は、ぜひご検討ください。
ブログを始めるとき、最初につまづく WordPress がインストール済!
ホームページの作成ツールとして人気の「WordPress」がインストール済の環境から簡単にスタート!
しかも、初期費用無料、月額440円~の低価格!むずかしい設定も不要で、セキュリティも万全!初心者でも簡単に始められる至れり尽くせりのプランです。