はじめに

こんにちは。A-ROOM編集部です。
本記事にアクセスいただき、ありがとうございます！

最近WordPress以外のCMSについてお問い合わせをいただく機会があり、改めてWordPressやその他のCMSについて調査しました。
2021年9月時点の日本国内のCMSシェア割合はWordPressが83.7%という圧倒的な結果が出ていました。

日本では圧倒的シェアを誇る「WordPress」

引用元：https://w3techs.com/technologies/segmentation/cl-ja-/content_management

ちなみに世界平均は65.2%で世界と比べても日本でのWordPress使用率が高いことが分かります。個人のブログやホームページから、なんとアメリカのホワイトハウスまで使用しているCMSです。

今回は「WordPress」のセキュリティ編

シェアデータでも分かるように最近では、企業サイトだけではなく個人サイトでも手軽に始められる「WordPress」の使用が多くなっています。ですが、WordPressはセキュリティ面で心配があるという声を聞いたことがある方もいるのではないでしょうか？

そこで今回は、WordPressが気になるけど本当にセキュリティ面で大丈夫なのか、安全に使用するためにはどのようなセキュリティ対策をすると良いのかご紹介していきます。

無料で使えるオープンソース（ソースコードが公開され誰でも利用できる）のCMSだから
比較的使いやすいCMSで、初心者も多く利用しておりセキュリティ対策が不足しているから
多くのユーザーがおり、シェア数トップのCMSのため攻撃の標的になりやすいから

サイトのソースコードを見ると、運用元がWordPressであることが簡単に分かります。
無料で使えるオープンソースは、プログラムの構造も分かりやすく、攻撃を受けやすい傾向にあります。

高性能なCMSを無料で使えるという魅力がある反面、多くの人がプログラムコードの仕組みを知っているために狙われやすいと言えます。

しかしそんなセキュリティ面で狙われやすい部分を補うセキュリティ対策もたくさんあります。是非WordPressのセキュリティで不安な方は、ここで紹介する対策を取り入れてみてください！

２、管理画面（ログインページ）対策

ログインURLを変更する

WordPressには標準ログインURLがある

ログインページのURLは「〜/wp-login.php/」
管理画面ページのURLは「〜/wp-admin.php/」が初期設定で使われています。

URLを知っていれば誰でもログイン画面へアクセスできてしまうため、推測しにくいURLに変更する必要があります。

URLは任意の英数字を使用した誰からも推測しにくいランダムな文字列にすることが望ましいです。変更はプラグイン等で設定ができます。セキュリティ用プラグインについては後半で紹介します。

ユーザー名・パスワードを強化する

ユーザー名

登録する際のユーザー名、表示されるニックネームを別の名前で登録しましょう。これは同一名で登録している人が多く、推測されやすくなるため要注意です。
後からでも変更出来る項目なので、もし一緒にしている場合はすぐに変更しましょう。

パスワード

ログインパスワードに関しては、定期的に変更することが理想的です。
ですが、定期的に変更することでパスワードが分からなくなってしまっては意味がないので、なるべく解読されにくいパスワードを設定しましょう。

解読されにくいパスワードを作成するのが難しい場合

無料でパスワードを作成してくれるwebサイトもありますので、活用してみてください。「パスワード　生成」などのキーワード検索で上位に来るサイトがオススメです。

画像認証を追加する

ログインページは推測されやすいURLのままだと自動プログラムでアクセスされるなど狙われやすいため、最終的にユーザー名・パスワードに加え、人間しか読みとれない「ひらがな(4文字)」も入力させる仕様にして強化する例もあります。

こちら後半で紹介するおすすめプラグイン「Site Guard WP Plugin」にて機能追加ができます。

接続制限・ユーザー認証をする

IPアドレスでの接続制限をかける

ログインページおよび管理画面へのアクセスを特定のネットワーク環境下にいるグループのみできる使用にすることもセキュリティ強化につながります。

IP制限・IPアドレス制限などと言われます。こちらはサーバー側での設定が必要となり、有識者の対応が必要となります。
昨今ではコロナ禍でのテレワーク推進・リモート環境での働き方が増えている中で、その都度許可するIPアドレスを設定する必要があるため運用の効率化を妨げるデメリットもあります。

ユーザー認証をかける

また、こちらもサーバー側で特定ページへのアクセスにID・パスワードの入力を求めるユーザー認証をかけるセキュリティ対策もあります。
Basic認証などと呼ばれます。こちらもログインページへアクセスする度に入力が求められ、認証をクリアすると今度は管理画面へのログインが求められるためアクセスする手間がかかります。

設定には専門的な知識が必要

上記でご紹介した接続制限・ユーザー認証はサーバー側での設定が必要となるため、ある程度知識のある方が実施する必要があります。
また日々の使い勝手が悪くなるデメリットもあるため、どこまで強化を行うか、運用体制・更新頻度などから検討が必要となります。

３、プログラムを最新化する

WordPress本体、インストールしたプラグイン、テーマは、セキュリティホールなど脆弱性が見つかるとバージョンアップされます。
バージョンアップしたものを常に使用することで安全に使用できます。

WordPressの推奨条件をチェック

WordPress本体を動かす推奨環境を確認し、条件をクリアすることでより安心して利用することができます。チェックは公式サイト「要件」ページにて確認できます。

2021.9.30時点：要件ページのスクリーンショット

プラグインのアップデート情報をチェック

管理画面でアップデート情報を確認

WordPressのプラグインメニューにて更新可能なプラグイン情報を自動的に出ます。
定期的に管理画面をチェックし、バージョンアップを行いましょう。

WordPress関連情報もチェック

ニュース・レビュー・解説、記事まとめサイト

プラグインの脆弱性などのニュース更新されているサイトチェックも大切です。
参考サイト：https://www.itmedia.co.jp/keywords/wordpress.html

不要プラグインは、必ず削除する

使用していないプラグインでも攻撃の対象になってしまうことがあるため、不要なプラグインは削除しましょう。

４、セキュリティ用プラグインを設置する

WordPressのプラグインには、セキュリティ対策ができるものが多く用意されています。
これは、WordPressの管理画面からインストールすることが出来て、無料で利用できます。

中には、使い勝手の良いものがありますので、ここでは、WordPressを安全に使用するためにオススメのプラグインをご紹介します。

Site Guard WP Plugin

公式サイト：https://ja.wordpress.org/plugins/siteguard/

管理画面とログインページの保護に特化

このプラグインは、日本語対応しています。
ログインURLの変更・画像認証の導入・ログイン履歴のチェックができます。
メニューがシンプルで分かりやすく、初めてセキュリティ対策をする方にオススメです。

All One WP security &Firewall

公式サイト：https://ja.wordpress.org/plugins/all-in-one-wp-security-and-firewall/

包括的にセキュリティ対策を実装するなら

このプラグインは管理画面のURLの変更、ブログ記事のコメントに対する簡単な計算をさせるフォームを追加し、スパムメールを防止するプラグインです。
すべてが英語表記なので、難しく感じるかもしれませんが、設定をすることでセキュリティ対策が出来ます。

５、WordPressのセキュリティリスクに関する診断方法

WordPressには、無料でセキュリティリスクを診断するツールがあります。
このツールを利用することで、より高度なセキュリティ対策をしていくことが出来ます。
ここでは、オススメのセキュリティリスク診断が出来るサイトを２つご紹介します。

WPScans.com

公式サイト：https://wpsec.com/

無料で利用できるサイトです

英字サイトですが、対象サイトのURLを入力するだけで診断をしてくれます。
セキュリティの詳細を診断するには有償になりますが、試しにエーウイングサイトを診断したところ、「Your WordPress website is safe!」と出ました。
安全ですよとお墨付きを貰えたようで、これだけでも安心しますね。

WP doctor

公式サイト：ワードプレスドクター・セキュリティースキャナー

日本語のセキュリティ診断サイト

こちらのサイトは、有名なセキュリティ診断サイトの１つになります。
無料で細かな部分まで診断してくれます。
日本語サイトなのでレポート結果も安心して読むことができます。
※上述したWPScan社のGPLバージョンのデータベースを使用した診断です。

６、その他の対策

ここまで読んでセキュリティ対策に関する理解が深まりましたでしょうか。
WordPressは、常にアップデートされていることを覚えておき、最新の状態をキープすることが望まれます。

また、ご紹介したもの以外でも過去に実績のあるセキュリティ対策は以下のようなものもあります。どこまでするかは会社のセキュリティ方針によって異なります。

WordPressのバージョン情報を隠す
WordPressの推測されやすいフォルダ名を変更
万が一のためにバックアップ体制をつくる

実施するにはコストがかかるものもありますので、予算感なども押さえながらセキュリティ対策を強化していきたいですね。

７、まとめ

いかがでしたでしょうか。
上記で紹介したセキュリティ対策の方法を取り入れ、セキュリティ診断サイトなどを利用しながら、安全にWordPressを運用しましょう。

エーウイングはWordPressのカスタマイズ実績が豊富です

エーウイングではWordPressを導入をするべきか悩んでいる方やセキュリティ対策について、お客様のご要望を丁寧に伺いながらより最適な仕様をご提案させていただいております。

部分的にセキュリティ対策を強化する手法もあります。お困りや不安なことなど是非お力になれば幸いです。

「そもそもCMSって何？」はこちらをチェック

【サイト制作でお悩みの方へ】CMSって何？知っておきたい特徴とメリット・デメリットをご紹介

WordPress運用・仕組みづくりでお悩みの方へ

【運用でお悩みのご担当者様へ】ホームページ運用の課題解決！いっしょに育てるウェブサイト計画

ここまでお読みいただき、誠にありがとうございました！

今後も多摩地域・立川にあるホームページ制作会社として地域の皆様、
ホームページに関わる皆様に向けてお役に立てる有益な情報発信ができるよう努めて参ります。

BACK TO ARCHIVE AROOM

【WordPressって安全なの？】おすすめのセキュリティ対策についてご紹介