機能性が高く誰でも簡単にホームページが作れる代表的なCMSであるWordPressは、多くの人に利用されている反面、多くの脅威にさらされているのも否めません。この記事ではWordPressの脅威に対抗するため、必ず行っておきたい基本的な設定と、インストールしておきたいプラグインをまとめて紹介します。

いずれも、それほど労力をかけなくても比較的簡単に設定できる項目ばかりです。少しの手間をかけるだけで、WordPressのセキュリティは飛躍的に高まります。

WordPressのセキュリティ対策の重要性

ここではWordPressでセキュリティ対策が必要となる具体的な理由とチェック方法について簡単にまとめます。セキュリティ対策を行う前に、その前提となる知識についておさえておきましょう。

WordPressの脆弱性・脅威とは？

一口に脆弱性や脅威といっても、実際にどんな危険性があるのかわからないという方も多いのはないでしょうか。そのことが分からないと、対策も立てにくくなります。

WordPressの脅威としては主に以下のものがあげられます。

• 管理画面への不正ログインによるサイト改ざんや乗っ取り、重要な情報の盗み取り
• プログラムの脆弱性を狙った攻撃（SQLインジェクション・OSコマンドインジェクション・クロスサイトスクリプティング等）
• 許容を超える過剰なデータを送信することによる攻撃（バッファオーバーフロー攻撃）

WordPressを利用する場合、これらの脅威に備える必要があります。

なぜWordPressが狙われるのか？

WordPressが狙われやすいのには、以下のような理由があります。

• 世界中で利用しているユーザーが多くターゲットになりやすい。
• 管理画面のURLが決まっているなど、構造がわかりやすい
• オープンソースで脆弱性が発見されやすい

1つずつ簡単に解説します。

まずは、なんといっても利用するユーザーが多いためターゲットになりやすい点があげられます。攻撃者の視点からみると、たとえば1つの脆弱性があれば、それを利用してターゲットとして狙えるサイトがたくさん存在するわけです。攻撃者にとっては、非常に効率のよい攻撃対象がWordPressということになります。
またWordPressのようなCMSは、どのように管理画面へログインするかその際のURLはどんな文字列かなど、構造がパターン化されており攻撃しやすいのも理由の1つです。
くわえて、WordPressはプログラム（ソースコード）の詳細が一般に公開されたいわゆるオープンソースであるため、脆弱性が見つけやすいという面もあります。脆弱性が発見できれば、攻撃は容易です。
WordPressは使いやすい一方で、このようなセキュリティリスクがあることを理解しておきましょう。たがらこそ、セキュリティの対策が必要となるわけです。

WordPressのセキュリティ診断方法

まだWordPressのセキュリティ対策をされていない方は、ご自身のサイトにどのくらいのセキュリティの脅威があるのか診断してみると参考になるでしょう。具体的には以下のような方法があります。

【1】WPScans.com

独自のアルゴリズムで脆弱性の有無をチェックしてくれるウェブサイトです。対象のURLを入れて「START SCAN」をクリックするだけで診断できます。

【2】Wordfence Security

WordPressの総合的なセキュリティ対策ができるプラグインです。インストール後、Scanというボタンをクリックすると脆弱性の有無をチェックすることができます。

【3】WPdoctor

こちらもウェブサイト上でWordPressのセキュリティ診断をしてくれるサービスです。対象のURLを入力して「サイトを検査」をクリックするだけで診断を実施してくれます。なお、上述のWPScans.comは英語表記のみですが、こちらは操作画面から診断結果まで日本語で表示するので使いやすいかもしれません。

やっておくべきWordPressのセキュリティ設定5つ

ここではWordPressを利用する際に、最低限おこなっておくべきセキュリティ対策をまとめました。攻撃者の標的にならないようにするため、ここに記載した対策は必ず行うようにしましょう。

管理画面へのユーザー名/パスワード強化

万が一攻撃者に管理者アカウントで管理画面へ不正にログインされた場合、思うままに改ざんや乗っ取りが行われてしまいます。そのため管理者アカウントは「admin」のように誰もが思いつくような単純なものにせず、パスワードも第三者に想像されにくいような文字列で作成しましょう。

プログラムの最新化

WordPress本体のプログラムやインストールしたプラグインなどは、バグや不具合などがみつかると随時更新され、WordPressに通知されます。そのままにしておくと、攻撃者の標的になりやすくなってしまうので、更新があればできるだけ早くアップデートするようして、常に最新に保つようにしましょう。更新の作業自体は、WordPressの管理画面から簡単に行うことができます。

重要な設定ファイルにアクセスされないようにする

WordPressのプログラムには「wp-config.php」というファイルがあります。これはWordPressの動作にかかわる各種設定が記載されている上、データベースのID・パスワードまで記載されています。万が一、このファイルを攻撃者にみられてしまうと危険なので、外部からアクセスできないようにしましょう。
方法としては、FTPソフトで設定できる「ファイルの属性（パーミッション）」を400にします。これは、ファイルの所有者しか、そのファイルが読み込めない権限です。なお共用サーバーの場合、パーミッションを400にすることができない場合もあるので注意してください。
wp-config.phpと同じディレクトリにある「.htaccess」というファイルへ以下文字列を追記することでも対策できます。

<files wp-config.php> order allow,deny deny from all </files>

※※htaccessは、ウェブサーバー(Apacheの場合)において、ディレクトリごとの設定情報（アクセス制限、リダイレクトなど）をまとめておくファイルです。上記文字列を追記することによって、wp-config.phpに対して外部からアクセスできないようになります。

パーミッションの設定、.htaccessの設定の両方を行っておけばよりセキュリティが高まります。

使用していないプラグインは削除する

プラグインにも脆弱性が存在し、そのままにしておくと攻撃者のターゲットにされてしまいます。使っていないプログラムは放置せずに削除するようにしましょう。

プラグインを使って管理画面をさらに強化に

今や、プラグインにより管理画面を攻撃者から守る対策は一般的に行われています。おすすめのプラグインを以下で紹介するので、使いやすいものをインストールしてセキュリティを高めましょう。

WordPressのセキュリティを強化するおすすめプラグイン5つ（2018最新版）

WordPressでは、セキュリティ強化に役立つプラグインが数多く公開されています。ここでは代表的なプラグインを紹介します。

All In One WP Security & Firewall

WordPressの総合的なセキュリティ対策が行えるプラグインです。ログイン画面のよく知られたURL（wp-admin.php）を変更したり、簡易的なファイアーウォールとして機能したりします。

SiteGuard WP Plugin

WordPressの管理画面を守る強力なプラグインです。一定回数ログインに失敗するとその接続元からログインを試行できなくなったり、ログインに画像認証を追加したり、さらにはログインしていない接続元IPアドレスから管理画面へのアクセスを不可にするなど機能が豊富です。設定項目が全て日本語なので、使いやすいのも魅力です。

Backup Guard

WordPressで作成したホームページのバックアップが取得できるプラグインです。仮に攻撃者によってホームページが改ざんされたり、削除されたりしてもこのプラグインによってバックアップを取っておけば、元の状態に回復することができます。

IP Geo Block

WordPressへの攻撃は海外から行われることが多いです。このプラグインでは、管理画面にたいする海外からのアクセスをブロックすることができます。

Akismet

WordPressでユーザーからのコメントを許可する設定にしていた場合や問い合わせフォームを設置していた場合に、スパムコメントをフィルタリングしてくれるプラグインです。WordPress2.0以降を利用していれば、あらかじめインストールされており、改めてインストールする必要はありません。

スパムコメントに記載されているリンク先のホームページでは、フィッシング詐欺やウイルスの散布が行われたりすることがあるので、Akismetでの対策が有効です。なお、Akismetの設定方法は以下ページでもくわしく解説しているので、あわせて参照ください。

【簡単】Akismetプラグインの設定方法～WordPressスパム対策～
https://www.kagoya.jp/howto/wordpress/akismet/

WordPressのセキュリティを強化して安心してサイトを運営しましょう！

WordPressは利便性が高い反面、残念ながらさまざまなセキュリティリスクと隣り合わせです。

ただし、ここで紹介した簡単な設定によって多くの攻撃を防御することができるようになります。逆にきちんと設定しておかないと、攻撃者にとっては都合のよいターゲットになってしまいます。WordPressを利用する際は、かならずここで紹介した最低限のセキュリティ対策を行っておき、セキュアな状態で利用するようにしましょう。

なおカゴヤのWordPress専用サーバーでは、国外からのアクセスを遮断する機能や管理画面への不正なログインを防止する機能、無料のバックアップサービスなどを提供しています。そのためセキュリティの対策が簡単になります。その他、WordPressをさらに高速かつ便利に使えるようにするための特徴を豊富にそろえているので、WordPress利用の際は、ぜひご検討ください。