WordPressは危険？セキュリティ対策の重要性

• セキュリティ
• 2022年7月11日

CMSを利用すれば専門的な知識がなくても、誰でも簡単にWEBサイトの更新が出来るようになります。突然の休業など、すぐに配信したい情報などがある際に、瞬時に公開出来るので、多くの企業や店舗で使われています。

なかでもWordPress（ワードプレス）は「無料で使える為コストを抑えられる」「使いやすい」「必要な機能だけを追加できる」などの理由から、日本はもちろん世界でも圧倒的なシェアを誇っています。

ただ、WordPressは世界でもシェアが高いことから、ハッカーなどの標的にされがちです。またシステムの性質上、脆弱性も発見されることもあります。毎日のようにWordPressの脆弱性を突いた攻撃が、色々なサーバーにたいして自動的に行われているのが現状です。特に最近は、サイバー攻撃が増加傾向にある為、セキュリティ対策をしておくことが望ましい状況です。

・国内のサイバー攻撃が前年比85％増、日本企業が知るべき現実とは？（TECH+ 公式サイト）
https://news.mynavi.jp/techplus/article/20220513-2343471/

具体的には、セキュリティ対策として「サーバーの設定をしっかりとする」「WAFやIP制限を導入する」「システムを常に最新の状態に保つ」ということが重要になります。今回は、WordPressのリスクとセキュリティ対策をご紹介します。

WordPressを古いまま使うリスク

WordPressなどのシステムは、使っていると脆弱性と呼ばれる、不具合やバグなどが見つかることがあります。また、WordPress本体だけでなく、機能追加で使っているプラグインも同様に、脆弱性を修正する為の定期的なアップデートが必要になります。

アップデートを行うことで、これらの脆弱性が修正され、最新の状態に保つことができるのですが、アップデートをせずに古いまま使っていると、脆弱性を攻撃されてしまいWEBサイトに不正アクセスされてしまうことがあります。

不正にアクセスされてしまうと以下のような危険性があります。

WEBサイトの内容を書き換えられる（改ざん）

WEBサイトの内容が全く別の内容に書き換えられてしまい、サイトを訪問したユーザーに不快な思いをさせたり、企業の信用低下に繋がります。

フィッシングサイトの踏み台にされる

知らぬ間にフィッシングサイトのページを設置され、踏み台にされてしまう可能性があります。その為、WEBサイトのドメインがブラックリストに登録されてしまったり、評価を下げられてしまうことも。

迷惑メールの踏み台にされる

サーバーから迷惑メールを送信する為の踏み台に使われてしまうことがあります。サーバーに多大な負荷がかかるだけでなく、ドメインやサーバー全体のIPアドレスがブラックリストに登録されて、通常のメールも正常に届かなくなってしまい、色々な方に迷惑をかけてしまうことになります。

フォームを書き換えられて個人情報が漏洩

お問い合わせフォームや資料請求などのフォームの内容が書き換えられてしまうと、フォームに入力された個人情報が漏洩してしまいます。また、自社でクレジットカード情報を保持していないから安心と思っていても、フォームに入力されたクレジットカード情報が漏洩しまうという危険性があります。

ECサイトや会員サイトの個人情報が漏洩

WordPressなどのシステムでECサイトや会員サイトを運営している場合には、登録された個人情報が漏洩してしまうことがあります。

ウィルスを仕掛けられる

ウィルスを仕掛けられてしまうと、WEBサイトを訪問したユーザーが、そのページにアクセスしただけでウィルスやアドウェアに感染してしまいます。

WordPressのセキュリティ対策

上記のような事が起こらないようにする為に、WordPressを使う場合には、セキュリティ対策が重要になります。

WAFを利用する

WAFを利用することで、システムに対する攻撃を防ぐことができます。通常は、WAFを利用する為に月数千円～数万円が必要になりますが、最近では共用サーバーでもWAFを気軽に利用できることもありますので、その場合には利用するようにしましょう。

WAFを導入すれば確実に攻撃を防げるという訳ではないので、脆弱性のアップデートは行うようにしましょう。また、無料で使えるWAFは通常のものに比べて簡易的で、除外設定も出来なかったりします。

海外のIPを遮断する

サーバーに対する攻撃の多くは海外から行われています。その為、WEBサイトの内容が国内向けである場合には、海外からのアクセスを遮断することで、かなりの攻撃を防ぐことが出来るようになります。ただ、同時に検索エンジンのクローラーも防いでしまうことになるので、きちんと除外設定をする必要があります。

また、国内で使われているIPアドレスは変わることがあるので、定期的に除外するIPアドレスの設定などをメンテナンスするようにしましょう。

WordPressの管理画面にベーシック認証をかける

WordPressの管理画面にベーシック認証をかけることで、IDとパスワードを入力しないと管理画面にアクセス出来ないようになります。簡易的ではありますが、ベーシック認証をかけないよりは、かなりのセキュリティ対策に繋がります。

セキュリティ対策のプラグインを使う

WordPressには多くのプラグインが用意されており、その中にセキュリティ対策のプラグインもあります。これらのプラグインをインストールすることで、簡易的ではありますが、不正アクセスのリスクを低減することができます。

>> WordPressのセキュリティ対策。やっておきたい4つの施策

WordPressのアップデートによる危険性？

WordPressのセキュリティ対策として「最新の状態に保つ」ということは一番重要に感じます。ただ、WordPressやプラグインをアップデートすると、稀にバグが発生して、WEBサイトが表示されなくなってしまったり、エラーを起こしてしまう危険性もあります。

WordPress本体やプラグイン自体にバグがあったり、使っているTheme（テーマ）が対応していなかったり、原因は様々です。そのような状態になってしまった際には、不具合を起こしている該当のプラグインを無効化したり、時にはバックアップから正常な状態のものに復元したりする必要があります。

アップデートは使っているプラグインの数にもよりますが、月に数件は発生します。その為、ただアップデートをすれば良いという訳ではなく、万が一、アップデートによる不具合が発生してしまった場合にも、対処できるような状態でアップデートを行う必要があります。

まとめ

このように、更新が便利になるWordPressですが、セキュリティ対策は重要になります。もし、WEBサイトにWordPressがインストールされており、バージョンが古いままになってしまっている、という場合には、いつ不正なアクセスを受けてもおかしくない状態ですので、早急な対策が必要になります。

弊社では、WEBサイトの状態を確認し、お客様にとって最適な改善策をご提案させていただいております。ご要望がございましたら、ご担当者様のご負担にならないように、弊社にてWordPressの保守・管理も行っておりますので、是非、お気軽にご相談ください。

お問い合わせフォーム

関連記事