「自分のサイトはアクセスも少ないし、攻撃されるはずがない」——そう思っている方が多いのですが、実際のサイバー攻撃の多くは「有名サイトを狙う」ものではありません。セキュリティが甘いサイトを自動的に探し出して攻撃するボットが、24時間休むことなく世界中のサイトを巡回しています。規模の大小は関係ありません。
WordPressはWeb上のサイトの約43%で使われているため、攻撃者にとって研究しがいのある標的です。しかしそれは同時に、対策の情報も豊富であることを意味します。基本を押さえておくだけで、被害に遭うリスクを大幅に下げることができます。
- WordPressが狙われやすい理由と、実際に起きる被害の種類
- 今すぐ取り組むべきセキュリティ対策の優先順位
- ログイン画面・パスワード・ユーザー名の正しい設定
- プラグインとテーマの管理でやるべきこと
- バックアップの正しい取り方と確認方法
WordPressで実際に起きる被害とは
「ハッキングされた」と聞くと、機密情報の盗難をイメージしがちですが、小規模サイトへの攻撃はもっと身近な形で起きます。
世界のWebサイトのうち
WordPressで動いている割合
ボットによる自動攻撃が
世界中で行われている頻度
WordPressへの攻撃のうち
自動化されたものの割合
セキュリティ対策は「万が一のため」ではなく、「日常のメンテナンス」。攻撃は今この瞬間も、あらゆるサイトに向けて行われています。
優先度の高い順に取り組む、6つの基本対策
WordPress・プラグイン・テーマを常に最新版にする
WordPressのアップデートの多くは、発見されたセキュリティの脆弱性を修正するためのものです。古いバージョンのWordPressやプラグインは、攻撃者にとって「既知の穴」です。管理画面の「更新」メニューを定期的に確認し、アップデートが来たらなるべく早く適用しましょう。ただしアップデート前には必ずバックアップを取ることが鉄則です。
ログインIDとパスワードを強化する
もっとも多い攻撃方法が「ブルートフォース攻撃」——つまりIDとパスワードの組み合わせを自動で総当たりする手法です。ユーザー名を「admin」のままにしている、パスワードが短い・単純という状態は、攻撃者に入り口を大きく開けているようなものです。ユーザー名は推測されにくい独自の名前に変更し、パスワードは大文字・小文字・数字・記号を組み合わせた16文字以上を設定します。
ログイン試行回数を制限する
「Limit Login Attempts Reloaded」などのプラグインを使うと、一定回数ログインに失敗したIPアドレスを自動でブロックできます。これだけで総当たり攻撃の大半を防ぐことができます。設定は数分で完了し、無料で使えます。ログイン画面のURLを変更するプラグインを追加すると、さらに効果的です。
セキュリティプラグインを導入する
「Wordfence Security」や「SiteGuard WP Plugin」は、マルウェアのスキャン・ファイアウォール・不審なログインの検知などをまとめて行う無料のセキュリティプラグインです。特にSiteGuardはログイン画面のURL変更・画像認証の追加・ログイン通知のメール送信など、日本語環境で使いやすい機能が揃っています。
SSL(https)を必ず有効にする
URLが「https://」で始まるSSL対応は、今やセキュリティの最低限です。SSLが有効でないサイトは、ブラウザに「保護されていない通信」と表示され、お客様に不安を与えます。Googleも検索順位の評価にSSLを加味しています。多くのレンタルサーバーは無料でSSL証明書を提供しているため、未対応のサイトはすぐに設定しましょう。
定期的なバックアップを自動化する
どんな対策をしていても、100%安全なサイトは存在しません。万が一のときに「元に戻せる」状態を作っておくことが、最後の砦です。「BackWPup」「UpdraftPlus」などの無料プラグインで、週1回以上の自動バックアップを設定しましょう。バックアップデータはサーバー内ではなく、Google ドライブやDropboxなど外部のクラウドストレージに保存することが重要です。
プラグインとテーマの管理——見落としがちな盲点
WordPressのセキュリティ問題の多くは、プラグインやテーマの脆弱性から発生します。「使っていないけど削除していない」プラグインやテーマは、更新されないまま放置されやすく、攻撃の入り口になりやすいです。
| 安全な管理 ◎ | 危険な状態 ✕ |
|---|---|
| 使っていないプラグインは無効化して削除する | 使っていないプラグインが「無効化」のまま残っている |
| プラグインは信頼できる開発者・公式ディレクトリから導入する | 出所不明のサイトから入手したプラグインを使っている |
| 更新が長期間止まっているプラグインは代替品を探す | 最終更新が2年以上前のプラグインを使い続けている |
| 有料テーマは正規ルートから購入する | 「無料で使える有料テーマ」などの非公式サイトから入手する |
| 不要なデフォルトテーマは削除する | WordPressデフォルトのテーマが未使用のまま残っている |
バックアップの正しい取り方と確認方法
バックアップは「取っているつもり」では不十分です。実際に復元できる状態になっているかどうかが重要です。以下のステップで、バックアップの設定と確認を行いましょう。
「UpdraftPlus」はもっとも広く使われているバックアッププラグインです。無料版でも、自動スケジュール・Google ドライブやDropboxへの自動保存が可能です。インストール後、設定画面からスケジュール(週1回以上推奨)と保存先(外部クラウド)を指定します。
設定したら、すぐに「今すぐバックアップ」を実行して、正常にファイルが保存されるか確認します。自動設定だけして実際のファイルを確認していないと、「取れているつもりだったができていなかった」という事態になりかねません。
Google ドライブやDropboxにログインして、バックアップファイルが実際に保存されているかを確認します。ファイル名に日付が含まれていることで、いつのバックアップかが分かります。3世代分(直近3回分)以上を保持しておくと安心です。
できればテスト環境でバックアップから復元できるか試してみましょう。「バックアップはあるが復元できない」という状況を事前に発見できます。難しい場合は、ファイルが壊れていないか確認するだけでも意味があります。
今すぐ確認したい、セキュリティチェックリスト
- WordPressのバージョンが最新になっているか(管理画面「更新」で確認)
- すべてのプラグインとテーマが最新版になっているか
- ユーザー名が「admin」や本名・メールアドレスではないか
- パスワードが16文字以上の複雑なものになっているか
- ログイン試行回数を制限するプラグインが導入されているか
- セキュリティプラグイン(Wordfence・SiteGuardなど)が有効か
- URLが「https://」で始まる(SSL対応済み)か
- 使っていないプラグイン・テーマが削除されているか
- バックアップの自動設定がされ、外部クラウドに保存されているか
- バックアップファイルが実際にクラウド上に存在するか確認したか
「何かあってから」では遅い——oto-productionsの考え方
セキュリティ対策は、事故が起きてから慌てて取り組むものではありません。日常のメンテナンスとして、定期的に状態を確認する習慣を作ることが大切です。
oto-productionsで制作するサイトは、SSL設定・セキュリティプラグインの導入・バックアップの自動設定を標準で行っています。公開後も「何かあったとき」に備えた状態でお渡しすることを、制作の一部と考えています。「今のサイトのセキュリティが心配」という方も、ぜひ一度ご相談ください。
- WordPress・プラグイン・テーマのアップデートを確認・適用する
- バックアップファイルがクラウドに正常に保存されているか確認する
- セキュリティプラグインのスキャン結果を確認し、異常がないか確かめる
- 不審なユーザー・ログイン履歴がないか管理画面から確認する