WordPressとセキュリティ

『WordPressはセキュリティに難がある』

そんな言葉を聞いたことがありませんか?
当サービスではWordPressを使ってHPを作成しています。そこで今回は、WordPressで制作するHPのセキュリティについてお話させて頂こうと思います。

ご自身でWordPressを使ってHPを作成している、という方にも参考になる記事になっていると思いますので是非ご覧ください。

目次

WordPressのセキュリティが弱いというのは本当か?

WordPressは、オープンソースと言って『誰でも自由に仕組みを確認することができ、みんなで一緒に作ることでより良いものを作っていこう』という考え方がベースに作られています。

したがって、システムの弱い部分が多くの人の目に触れやすい構造となっており、結果的にセキュリティを突破されやすくなるのです。

これが、セキュリティが弱いとされる所以。

加えて、WordPressは世界でも最もポピュラーなCMSのひとつであり、全世界に多くのユーザーが存在しています。そして絶対数が多ければ、もちろん初心者のユーザー数も沢山います。
悪意のあるエンジニアが攻撃するには好都合ですよね。

然るべき対処を事前に行なっておかなければ、WordPressでつくったHPは悪意のあるエンジニア達の標的になりやすいというのは残念ながら事実なんです。

セキュリティを突破されると何が困るのか?

セキュリティを突破されると、どんな弊害があるのでしょうか。

具体的には

  • スパムメール大量に送られる
  • Webサイトを乗っ取られる

他にもありますが、主なものはこの2点です。

スパムメールを大量に送られる

突然びっくりするくらいの迷惑メールが送られてくるという現象。消しても消しても次から次へ送られてくる迷惑メール、本当にイライラするし、頭を悩ませられます。

怒涛の迷惑メールを送ってくる目的は、そのURLをクリックさせること。
そのメールにマルウェアが埋め込まれていたり、フィッシングサイトに誘導されたり…。

URLをクリックさせて個人情報を抜き取る、詐欺メールというやつです。

Webサイトを乗っ取られる

Webサイトを乗っとられると、勝手にプログラムを書き換えられてしまいます

例えば詐欺サイトへ誘導する広告コードを書き込まれたとして、自分のサイトを訪れた閲覧者がその広告をクリックしたら、最悪の場合その閲覧者が詐欺被害にあってしまいます。そうなると、場合によってはサイト運営者である自分に賠償責任が生じる可能性もあるのです。

自分だけでなく、自分のHPを訪れてくれた人すべての個人情報を危険にさらしてしまうかもしれないなんて、ぞっとする話ですよね。

WordPressのセキュリティ対策は?

とはいえ、しっかりと対策さえしておけばそこまで心配するものでもありません。100%安全、とは言い切れませんが…極力セキュリティを突破されるリスクを減らすことは可能です。
そして、その対策というものはそれほど難しいものではなく、特別な知識等もそこまで必要としません。

では一体、どのような対策を考えればよいのでしょうか?

私が考える主なWordPressのセキュリティ対策は

  • レンタルサーバーをしっかりと選ぶ
  • プログラムのバージョンアップを怠らない
  • 不必要なプラグインやテーマは削除しておく
  • 信用できるセキュリティ用プラグインを入れておく

以上の4点です。

これらはどれも難しいことではなく、すぐにできる事ばかりです。他にも対策はありますが、まずはこの辺りをしっかりと押さえておけばまず安心して大丈夫です。

ひとつずつ詳しく見てみましょう。

レンタルサーバーをしっかり選ぶ

多くのレンタルサーバーには、WordPressのセキュリティ設定という機能があります。
このセキュリティ設定がしっかりとできるレンタルサーバーを選ぶという事が、まず1つ目の対策になります。

当サービスでも推奨している

エックスサーバー

には『国外IPアドレスアクセス制限設定』というものがあります。

要するに、日本国外の怪しいアドレスからは一切不正ログインできませんよ、という設定。この設定があるだけでも海外からの不正アクセスのリスクは大きく減らせます。ちなみに初期設定の状態で『ON』となっているため、特別な操作は必要ありません。

プログラムのバージョンアップを怠らない

WordPress本体やプラグイン、テーマは機能の向上とセキュリティ面の強化のために度々バージョンアップします。その都度しっかりとバージョンの更新をすることでプログラムの脆弱性を改善することができるので、常々早めの更新を心掛けましょう。

逆に、古いバージョンのまま放置しておくと、脆弱性を放置することになるので攻撃の対象になりやすくなってしまいます

不必要なプラグインやテーマは削除しておく

基本的にプラグインやテーマが多くインストールされていればいるほど、セキュリティの脆弱性が見つかるリスクが高くなります。とりわけ、しばらくバージョンアップされていない古いプラグインやテーマは、インストールされているだけでリスクとなりかねません。

インストールしておくプラグインやテーマは必要最低限にしておきましょう。

信用できるセキュリティー用プラグインを入れておく

非常に重要なポイントです。自分なら、HPを作り始めたらまず最初に信用できるセキュリティー用プラグインをインストールします。

どんなプラグインを選ぶのがベストかと言われた場合、現時点で自分が選ぶとしたら


『All in One WP Security & Firewall』

です。

信頼性が高くそれほど設定が難しいわけではないのでオススメです。

おわりに

いかがだったでしょうか?今回はWordPressのセキュリティに関してお話させて頂きました。

WordPressのセキュリティに脆弱性があるのは事実です。とはいえ、しっかりと対策を講じておけばそうそうセキュリティが破られるものではありません。

また、この記事ではWordPressのセキュリティに焦点を当ててお話してきましたが、加えて昨今常識となりつつある、WebサイトのHTTPS化というものもセキュリティ強化には必須となってきます。サイトのHTTPS化がまだの方は是非早めにHTTPS化を図っておきましょう。

STREETIST

最後までお読み頂きありがとうございました。

よかったらシェアしてね!

この記事を書いた人

本業は理学療法士。
元々はWebやPC関連について苦手意識を持っていたが、知人からの依頼をきっかけにHP作成の楽しさに気付く。
現在は副業としてHP作成代行を行ないながらブログにて様々な情報発信を行なっている。

コメント

コメントする

two × three =

目次
閉じる