弊社はサイト制作を行う際には、基本的にWordPressで構築を行っています。

そのようにクライアントにお伝えすると、「セキュリティ面では大丈夫でしょうか？」というようなことを聞かれることが時々あります。

そんな疑問に答えれるように、いつもお伝えしていることを今回は記事にまとめてみました。

WordPressはなぜ危険と言われるのか

世界で一番使われているCMSだから

よく聞く「WordPressは危険」という言葉。

その理由としては、単純に世界で一番使われているCMSだからというのが一番に挙げられます。

こちらの表は2022年12月時点での世界で使われているCMSのランキングです。

こちらを見ると、WordPressは43.2%となっており、マーケットシェアの約半数近くを占めています。

つまり、世界中のCMSでできたウェブサイトの半数はWordPressが使われているということで、そうなると、そこをハッカーが狙うのも当然かなというところです。

ブラウザ上でログインできるCMSという仕組みだから

そもそもCMSというのは何なのかというところなんですが、CMSとは、「Contents Management System：コンテンツ・マネジメント・システム」の略です。

これだとわけがわからないと思うので、簡単にいうとWebサイトのコンテンツを比較的簡単に管理画面から更新できる仕組みのことです。

CMSという機能のおかげで、ホームページの文字や画像の差し替えが、クライアント側で簡単に行えるようになっていますし、ブログやお知らせ、お客様の声などの情報をどんどん追加したりできるようになっています。

このCMSという仕組みは基本的にブラウザ上でログインできるようになっており、そこが便利でもあり、リスクもある部分です。

つまり、誰でもURLさえわかれば、ログイン画面までいけてしまうということなので、ハッキングされるリスクと隣合わせの仕組みではあります。

WordPressはどうやってセキュリティの被害に合うのか

では具体的にどうやって被害に合うのかというところですが、具体的には下記が多いです。

• ID・パスワードの漏洩による管理画面への不正ログイン
• テーマやプラグインに脆弱性を利用されてハッキングされる

一番多いのはIDやパスワードが漏洩してしまったり、簡単に推測できるものを使っている場合の管理画面への不正ログインでしょうか。

またテーマやプラグインを一定期間最新状態にしていないと、そこの脆弱性を突かれることがあるので、こちらは最新状態にして対策をしましょう。

WordPressのセキュリティリスク

不正ログインやハッキングされた場合の具体的な被害ですが、このあたりが多い印象です。

• 詐欺サイトに自動転送される
• 大量のメールが勝手に送信される
• コンテンツが改ざんされる

WordPressのセキュリティリスクを下げるためにできる対策

1.ID、パスワードをより強固なものに変更

IDについては一度決めてしまうと、変更できないので注意してください。

よくあるinfoだったり、admin、test、userというのはかなりリスクが高いので、やめましょう。

パスワードについては、変更ができるので、ここから変更してください。

「ユーザー」→「ユーザー一覧」→ユーザーを編集→パスワード変更→「プロフィールを更新」で変更できます。

「強力」と表示されているものが理想ですね。

2.WordPressやテーマ、プラグインを最新の状態にしておく

これはダッシュボードの「更新」という部分を見ると、まだ更新できていないテーマやプラグインのリストが見ることができるので、そこで全てをチェックして、更新しておきましょう。

WordPress本体のバージョンも定期的にされているので、そちらも合わせて更新して、最新の状態を保ちましょう。

3.利用していないテーマやプラグインは削除

利用していないプラグインなどは無効にしておくのはもちろんなんですが、無効化していても踏み台にされる可能性はあるので、削除しておきましょう。

4.セキュリティ対策用のプラグインを導入する

セキュリティ用のプラグインがあるので、普段使っているものを紹介します。

SiteGuard WP Plugin

こちらはWordPressの管理画面のログインページ保護に特化したプラグインです。

弊社ではこちらを基本的にどのサイトも入れるようにしています。

こちらを使うことで、ログイン画面のURLを変更できたり、表示されている日本語を入力する枠が出るので、日本語がわからないとログインできないようになるので、かなり不正アクセスのリスクを減らすことができます。

All In One WP Security & Firewall

こちらはログインページの保護に加えて、海外からの管理画面へのアクセス遮断もできるようです。

またスパムメール防止の機能もあるので、そちらを有効にしたい方は、こちらのプラグインも良さそうです。

5.国外IPアクセス制限（サーバー側での対策）

WordPressだけでではなく、サーバー側での対策も視野に入れると、さらにセキュリティは強化できます。

代表的なものとしては、「国外IPからのアクセス制限」が挙げられます。

具体的には海外でのネットワークから、WordPressへアクセスしようとすると、アクセスが遮断されるようになるような対策になります。

こちらはできるサーバーとできないサーバーがあるので、レンタルサーバー等に確認するのがマストです。
（※弊社はXサーバーを利用しているので、国外IPアクセス制限は可能です）

最後に

WordPressのセキュリティリスクはたしかに指摘はされがちですが、実際にはこのように対策が可能です。

CMSという利便性とトレードオフにはなってしまうので、ゼロリスクをご希望の方は、CMSを使わず、HTMLでの構築というのも手段の一つです。

セキュリティへお悩みの方は、ご相談ください。
最適な手段をご提案させていただきます。