WordPressはCMSを使っているWebサイト全体で62.8%(2024年4月時点)※1という非常に高いシェア率があり、初心者から上級者まで幅広く人気のシステムです。
その人気の高さが原因でサイバー攻撃のターゲットにもされやすく、実際に脆弱性を狙った攻撃が発生しています。
今回は、実際に当社でも行っている「安全にサイト運営をするために必要なセキュリティ対策」をご紹介します。
※1 引用データ
W3Techs. “Usage statistics and market shares of content management systems.” Accessed [2024,4,17], from https://w3techs.com/technologies/overview/content_management
なぜWordPressが狙われやすいのか
狙われやすい理由は主に4つあります。
人気と普及度 | 世界で一番普及しているCMS(コンテンツ管理システム)のためサイバー攻撃の対象になりやすい |
---|---|
オープンソースで作られたソフトウェア | ソースコードが公開されているため、セキュリティ上の脆弱性を見つけて悪用しやすい |
プラグインやテーマの脆弱性 | WordPressの魅力として豊富なプラグイン(追加要素)やテーマがあるが、中にはバージョンが古く最新のセキュリティパッチが適用されていないものもある |
標準的な設定の脆弱性 | 初期設定のまま使ってしまうとセキュリティ対策が不十分な場合がある |
具体的な脆弱性
WordPressの脆弱性は下記のグラフのように94%(2024年4月時点)※2はプラグインが原因で発生します。
プラグインとは機能を拡張するためのソフトウェアです。Wordpressはオープンソースであるため、多くの異なる開発者がプラグインの開発に携わっています。
そのため、開発者のスキルとセキュリティ意識によっては予期せぬバグや脆弱性が発生しやすくなります。
更新頻度や安全性が高く不具合が少ないプラグインを選択することが非常に重要です。
また脆弱性があるとどんなことが起きてしまうかご紹介します。
※2 引用データ
WPScan. “Vulnerabilities by Component” Accessed [2024,4,17], from https://wpscan.com/statistics/
想定される脆弱性のリスク
サイトの乗っ取り | 攻撃者が管理者権限を取得しサイトの内容を改ざんし、不正な広告やリダイレクトを挿入することがある |
---|---|
マルウェアの拡散 | WordPressサイトにマルウェアがインストールされ、訪問者のデバイスに感染が広がる可能性がある |
SEOスパム | 悪意のあるリンクやキーワードが挿入され、検索エンジンでの評価が下がったり、サイトがブラックリストに登録される可能性がある |
サイトが見られなくなる | 利用サイトに大量のリクエストを送信し、サーバーをダウンさせサイトへのアクセスが遮断される可能性がある |
今はもちろんセキュリティ対策されていますが、過去にWordPressで発見され、実際にあった脆弱性をいくつかまとめました。
実際に起こった不正・改ざんの例
対象箇所 | 機能名 | 内容 |
---|---|---|
WordPress本体 | REST API※3 | 155万以上のサイトが改ざんされた |
WordPress本体 | Pingback※3 | 第三者のサイトへのDDoS攻撃に悪用された |
プラグイン | WP GDPR Compliance※4 | 悪意のある第三者が管理者権限を作成し、WordPressへ不正にログインされた |
プラグイン | All In One SEO※4 | 情報を取得・改ざんされた |
プラグイン | Fancybox※4 | 情報を取得・改ざんされた |
テーマ | OneTone※5 | 認証なしでデータベースに侵入され書き換えられた |
※3 WordPressの最新バージョンでは脆弱性は解消されています。
※4 プラグインの最新バージョンでは脆弱性は解消されています。
※5 アップデートがされていないため削除されました。
セキュリティ対策
セキュリティ対策をすれば100%防げるわけではないですが安全性を高めることができます。
また当社がさらに安全性を高めるために行っている対策もあわせてご紹介します。
具体的なセキュリティ対策
- WordPress本体、プラグイン、テーマのバージョン管理とアップデート対応
古いバージョンのWordPressやプラグインを使用すると脆弱性のリスクが高くなります。 - プラグインを取捨選択し不要なプラグインやテーマは削除する
プラグインを多く導入することで、セキュリティ上のリスクも増加します。
また、複数のプラグインを導入すると、相性の問題で不具合のリスクも高まります。 - プラグイン「SiteGuard WP」の導入
不正アクセスの監視や遮断など様々なセキュリティ対策ができるプラグインです。
初期設定のままだと狙われやすいページの「wp-login.php(ログイン画面)」や「xmlrpc.php(他サービスと連携するためのファイル)」の対策も簡単にできます。
さらに安全性を高めるために当社で行っていること
- 投稿者アーカイブを無効化
WordPressの初期設定では、投稿者の一覧ページが自動的に生成され、その結果、投稿者のIDが公開されてしまいます。セキュリティを強化するため、投稿者一覧ページを使用しない場合は、このページへのアクセスを無効化しています。 - XMLサイトマップ機能を無効化する
WordPressのバージョン5.5からXMLサイトマップを出力する機能が初期設定に追加されました。
この機能では先ほどの投稿者アーカイブやサイトマップに含めたくないページもすべて出力されてしまうため無効化しています。 - ユーザー名の漏洩回避
初期設定だとサイトのURLにパラメータを付与すると、ログインID名が分かってしまうためアクセスできないように無効化しています。
マルチサイトのセキュリティ対策について
当社ではマルチサイト機能を使ったWordPressの制作実績も多数あります。
マルチサイトとは
ひとつのWordPressで複数のWebサイトを運営する仕組みです。
コーポレートサイトと採用サイトなどの親子関係のあるwebサイトに対して、1つのWordPressで管理することができます。
マルチサイトでは対応しているプラグイン自体が少なく、先ほど紹介した「SiteGuard WP Plugin」も入れることができないため、変わりに「All In One WP Security」というプラグインを導入してセキュリティ対策を行っています。
All In One WP SecurityもSiteGuard WP Pluginと同じく、ログインページのURL変更やログイン時の画像認証の設定(All In One WP Securityの場合は簡単な数学の問題)、XMLRPCの対策もすることが可能です。
「All In One WP Security」は海外製のプラグインで多機能で設定項目も多くありますが、日本語にも対応しているため使いやすいプラグインです。
プラグインのリスクを回避するために
プラグインはとても便利で導入も簡単ですが、便利だからといくつも追加するとリスクが上がり、相性の問題で不具合が起きることもあります。またプラグインを多数追加するとページの読み込みが遅くなったりする場合もあります。
そのため、本当に必要かどうかを検討し、できるだけ少ない数の信頼性の高いプラグインを選択することが重要です。
明確な決まりはなく、あくまで目安ですが15~20件前後に抑えておくと不具合などは起こりにくいです。
プラグインを最小限に抑えるために、カスタマイズして機能を実装することもあります。
WordPressのプラグインは導入時は安全に見えても、時間とともに脆弱性が明らかになったり、開発者の更新が途絶えることがあります。
更新が止まったプラグインは脆弱性のリスクが高いため使用を取りやめましょう。
まとめ
事故を完全に防ぐことはできないように、すべての対策を行ってもセキュリティのリスクが0%になることはありません。
当社では、安全なWordpress運用のお手伝いができるよう、日々情報収集を行っております。Wordpress運用にお困りがある企業様はぜひご相談ください。
▼Wordpressに関する他の記事はこちらからご確認いただけます。
https://www.akindo2000.net/blog/tag/wordpress/
#Wordpress運用 #セキュリティ対策 #マルチサイト機能
おすすめの記事
おすすめタグ
- 広告
- ワイヤーフレーム
- 保護されていない通信
- XMLサイトマップ
- モダンブラウザ
- gulp.js
- Adobe Express
- 構造化マークアップ
- Google for jobs
- Transport Layer Security
- shopify
- gap
- node.js
- Webマーケティング
- HTML5広告
- Googleしごと検索
- HowTo
- ECサイト
- gridレイアウト
- WebP画像
- デジタルマーケティング
- Google Chrome
- 撮影
- ハウツー
- ショッピングサイト
- object-fit
- 楽天GOLD
- 文字コード
- videoタグ
- iPad
- 構造化データ
- ショッピファイ
- aspect-ratio
- スマートフォン用新店舗トップページ
- 符号化文字集合
- 動画
- 一眼レフカメラ
- リッチリザルト
- Shopify使い方
- any-hover
- Threads(スレッズ)
- Unicode(ユニコード)
- 動画広告
- 写真
- ノンデザイナー
- WebP
- docker
- 未経験
- GoogleMapsPlatform
- リモート
- 文字
- wordpress
- Photoshop
- Adobe Firefly
- 新人デザイナー
- スピードアップデート
- ウェブサイト翻訳
- デザイン
- リモートワーク
- クラウドドキュメント
- 画像生成AI
- CMS
- PageSpeed Insights
- iPhone
- フォント
- remotework
- ディスプレイ広告
- 生成塗りつぶし
- 絞り込み検索
- SSL
- Facebook Audience Network
- Core Web Vitals
- ECcube
- スマートオブジェクト
- 生成拡張
- カレンダー
- HTML
- Zapier
- Facebook広告
- 自作PC
- プラグイン
- 画質パラメーター
- Adobe MAX Japan 2023
- ハッシュタグ
- PHP
- Google my map
- Instagram広告
- 初心者
- カスタマイズ
- サイズパラメーター
- UI
- 中小企業SFA
- CSS
- 創業記念日
- クリック率
- 自作パソコン
- ASP
- レクタングルバナー
- UX
- SFA
- 動画制作
- レクリエーション
- TLS
- PC組み立て
- IE
- アセット生成
- Adobe Stock
- 中小企業向けSFA
- AMP
- Adobe XD
- Chrome
- Google Search Console
- コーディング
- タスクランナー
- アンチックフォント
- AVIF