ホームページのセキュリティ対策。WordPressを安全に保つための基本

「うちのサイトは狙われない」という思い込みが、もっとも危険です。WordPressは世界中で使われているぶん、攻撃の標的になりやすいプラットフォームでもあります。この記事では、専門知識がなくても今日から取り組めるWordPressのセキュリティ対策の基本を、優先度の高い順に解説します。

「自分のサイトはアクセスも少ないし、攻撃されるはずがない」——そう思っている方が多いのですが、実際のサイバー攻撃の多くは「有名サイトを狙う」ものではありません。セキュリティが甘いサイトを自動的に探し出して攻撃するボットが、24時間休むことなく世界中のサイトを巡回しています。規模の大小は関係ありません。

WordPressはWeb上のサイトの約43%で使われているため、攻撃者にとって研究しがいのある標的です。しかしそれは同時に、対策の情報も豊富であることを意味します。基本を押さえておくだけで、被害に遭うリスクを大幅に下げることができます。

・WordPressが狙われやすい理由と、実際に起きる被害の種類

・今すぐ取り組むべきセキュリティ対策の優先順位

・ログイン画面・パスワード・ユーザー名の正しい設定

・プラグインとテーマの管理でやるべきこと

・バックアップの正しい取り方と確認方法

「ハッキングされた」と聞くと、機密情報の盗難をイメージしがちですが、小規模サイトへの攻撃はもっと身近な形で起きます。

■世界のWebサイトのうちWordPressで動いている割合：43%

■ボットによる自動攻撃が世界中で行われている頻度：毎日

■WordPressへの攻撃のうち自動化されたものの割合：97%

サイトの内容が書き換えられ、見知らぬ広告・リンク・文字化けが表示されるようになります。お客さんがアクセスしたとき「このサイトは安全ではありません」という警告が出ることもあり、信頼を一瞬で失います。気づかないまま何日も放置されているケースも珍しくありません。

サーバーを乗っ取られて、大量のスパムメール送信に利用されることがあります。サーバー会社からアカウントを停止されたり、自分のドメインがブラックリストに登録されてメールが届かなくなるという事態が起きます。

サイトの訪問者のパソコンやスマートフォンにウイルスを感染させるコードを埋め込まれることがあります。Googleがこれを検出すると検索結果から除外され、「このサイトはコンピュータに損害を与える可能性があります」という警告が表示されます。

ログイン情報が破られてサイトの管理者権限を奪われると、コンテンツの削除・設定の変更・新しい管理者の追加など、サイトを自由に操作されてしまいます。最悪の場合、サイト自体が使えなくなります。

WordPressのアップデートの多くは、発見されたセキュリティの脆弱性を修正するためのものです。古いバージョンのWordPressやプラグインは、攻撃者にとって「既知の穴」です。管理画面の「更新」メニューを定期的に確認し、アップデートが来たらなるべく早く適用しましょう。ただしアップデート前には必ずバックアップを取ることが鉄則です。

もっとも多い攻撃方法が「ブルートフォース攻撃」——つまりIDとパスワードの組み合わせを自動で総当たりする手法です。ユーザー名を「admin」のままにしている、パスワードが短い・単純という状態は、攻撃者に入り口を大きく開けているようなものです。ユーザー名は推測されにくい独自の名前に変更し、パスワードは大文字・小文字・数字・記号を組み合わせた16文字以上を設定します。

「Limit Login Attempts Reloaded」などのプラグインを使うと、一定回数ログインに失敗したIPアドレスを自動でブロックできます。これだけで総当たり攻撃の大半を防ぐことができます。設定は数分で完了し、無料で使えます。ログイン画面のURLを変更するプラグインを追加すると、さらに効果的です。

「Wordfence Security」や「SiteGuard WP Plugin」は、マルウェアのスキャン・ファイアウォール・不審なログインの検知などをまとめて行う無料のセキュリティプラグインです。特にSiteGuardはログイン画面のURL変更・画像認証の追加・ログイン通知のメール送信など、日本語環境で使いやすい機能が揃っています。

URLが「https://」で始まるSSL対応は、今やセキュリティの最低限です。SSLが有効でないサイトは、ブラウザに「保護されていない通信」と表示され、お客さんに不安を与えます。Googleも検索順位の評価にSSLを加味しています。多くのレンタルサーバーは無料でSSL証明書を提供しているため、未対応のサイトはすぐに設定しましょう。

どんな対策をしていても、100%安全なサイトは存在しません。万が一のときに「元に戻せる」状態を作っておくことが、最後の砦です。「BackWPup」「UpdraftPlus」などの無料プラグインで、週1回以上の自動バックアップを設定しましょう。バックアップデータはサーバー内ではなく、Google ドライブやDropboxなど外部のクラウドストレージに保存することが重要です。

WordPressのセキュリティ問題の多くは、プラグインやテーマの脆弱性から発生します。「使っていないけど削除していない」プラグインやテーマは、更新されないまま放置されやすく、攻撃の入り口になりやすいです。

◎ 使っていないプラグインは無効化して削除する

✕ 使っていないプラグインが「無効化」のまま残っている

◎ プラグインは信頼できる開発者・公式ディレクトリから導入する

✕ 出所不明のサイトから入手したプラグインを使っている

◎ 更新が長期間止まっているプラグインは代替品を探す

✕ 最終更新が2年以上前のプラグインを使い続けている

◎ 有料テーマは正規ルートから購入する

✕ 「無料で使える有料テーマ」などの非公式サイトから入手する

◎ 不要なデフォルトテーマは削除する

✕ WordPressデフォルトのテーマが未使用のまま残っている

バックアップは「取っているつもり」では不十分です。実際に復元できる状態になっているかどうかが重要です。以下のステップで、バックアップの設定と確認を行いましょう。

「UpdraftPlus」はもっとも広く使われているバックアッププラグインです。無料版でも、自動スケジュール・Google ドライブやDropboxへの自動保存が可能です。インストール後、設定画面からスケジュール（週1回以上推奨）と保存先（外部クラウド）を指定します。

設定したら、すぐに「今すぐバックアップ」を実行して、正常にファイルが保存されるか確認します。自動設定だけして実際のファイルを確認していないと、「取れているつもりだったができていなかった」という事態になりかねません。

Google ドライブやDropboxにログインして、バックアップファイルが実際に保存されているかを確認します。ファイル名に日付が含まれていることで、いつのバックアップかが分かります。3世代分（直近3回分）以上を保持しておくと安心です。

できればテスト環境でバックアップから復元できるか試してみましょう。「バックアップはあるが復元できない」という状況を事前に発見できます。難しい場合は、ファイルが壊れていないか確認するだけでも意味があります。

今すぐ確認したい、セキュリティチェックリスト

chekk ordPressのバージョンが最新になっているか（管理画面「更新」で確認）

✔ すべてのプラグインとテーマが最新版になっているか

✔ ユーザー名が「admin」や本名・メールアドレスではないか

✔ パスワードが16文字以上の複雑なものになっているか

✔ ログイン試行回数を制限するプラグインが導入されているか

✔ セキュリティプラグイン（Wordfence・SiteGuardなど）が有効か

✔ URLが「https://」で始まる（SSL対応済み）か

✔ 使っていないプラグイン・テーマが削除されているか

✔ バックアップの自動設定がされ、外部クラウドに保存されているか

✔ バックアップファイルが実際にクラウド上に存在するか確認したか

セキュリティ対策は、事故が起きてから慌てて取り組むものではありません。日常のメンテナンスとして、定期的に状態を確認する習慣を作ることが大切です。

私がこちらのサービスで制作するサイトは、SSL設定・セキュリティプラグインの導入・バックアップの自動設定を標準で行っています。公開後も「何かあったとき」に備えた状態でお渡しすることを、制作の一部と考えています。「今のサイトのセキュリティが心配」という方も、ぜひ一度ご相談ください。

WordPress・プラグイン・テーマのアップデートを確認・適用する

バックアップファイルがクラウドに正常に保存されているか確認する

セキュリティプラグインのスキャン結果を確認し、異常がないか確かめる

不審なユーザー・ログイン履歴がないか管理画面から確認する

セキュリティ設定も含めて、まとめてご相談ください

制作から保守・セキュリティ設定まで、トータルでサポートしています。