WordPressを使う時のセキュリティ上の注意点および必ず施しておきたい設定

2020年11月1日

便利なWordPressの注意点

WordPressは無料で使えることもあり、世界で最も使われているCMSです。
無料で使えることから資金に余裕のない創業間もない事業者をはじめ、大企業でも使用されている例があります。

このように広く愛されているWordPressですが、様々なセキュリティの弱点を抱えており、それを知らずして使用していると大きなインシデントにつながってしまう恐れがあります。

今回はWordPressのセキュリティの弱点とその対策を紹介していきます。

なぜWordPressはセキュリティ上の不安があるのか

WordPressの弱点を例えると

WordPressを使用することは、設計や構造が知れ渡った家に住むようなものです。
もし今住んでいる家の構造や設計が広く知られているものなら、泥棒はその情報を得て、盗みに入るでしょう。
WordPressは無料で使用でき、その中身のコードまで見ることができるので、プログラミングの心得があれば、誰でもその設計を知ることができます。
そのため、悪意のあるハッカーは日夜WordPressに脆弱性がないかを探していますし、ひとたび脆弱性が発見されれば、それを知った全世界のハッカーが攻撃をかけられるようになってしまいます。

このように、WordPressは無料で誰でも手に入るからこそ、その構造・設計が知られているため、サイバー攻撃を仕掛けられやすいCMSだということを認識しておかなければなりません。

初期設定では誰でもブラウザからログイン画面に入れる

設計が知られていることによる問題に近い話ですが、WordPressは初期設定では管理画面へのログイン画面が固定されており、WebサイトのURLの後ろに“/wp-admin"“/wp-login"と入力するとログイン画面が表示されてしまいます。

ログイン画面に入れたとしても、そこからユーザー名・パスワードが分からなければ、管理画面にまで入られることはないのですが、総当たり攻撃をかけられた場合は突破されてしまう恐れがあります。

プラグインは誰が作っているかわからない

WordPressはさまざまな拡張機能・プラグインがあることも魅力の1つですが、大部分のプラグインは誰が作ったのかわからないものです。
そのため、便利だと思って使っているプラグインが大切な情報を盗んでいたということもありえます。
また、プラグインを開発したプログラマーに悪意はなくとも、そのプラグインにセキュリティ上の問題があり、そのセキュリティの穴から不正に情報が抜き取られるということはWordPressのトラブルとしてよくあります。

必ず押さえておきたいWordPressのセキュリティ設定

ここからは、これまで見てきたWordPressのセキュリティ上の問題を踏まえ、どのような設定をしていけばよいのかを紹介していきます。

ログイン画面へのアクセス制限をしておく

WordPressをインストールしたら、はじめに施しておきたいセキュリティ設定は、ログイン画面へのアクセスを制限することです。
ポピュラーな方法として、ログイン画面にベーシック認証を設けることです。
ページにベーシック認証をかけると、IDとパスワードを入力しない限り閲覧することができないため、ログイン画面のアクセス制限にぴったりです。
このベーシック認証を使って/wp-adminや/wp-loginのURLへのアクセス制限をしていきます。

ベーシック認証だけでも十分にセキュリティを向上させることは可能ですが、ID・パスワードが流出してしまうと、やはりログイン画面に入られてしまいます。
そのため、さらにセキュリティを強化する場合は、特定のIPアドレスからしかページを閲覧できなくする方法もあります。

こうしたベーシック認証やIP制限の設定は、サーバー上の設定を変えるhtaccessファイルを編集する必要があるため、サーバーの知識がない場合は無理に設定する必要はありません。
htaccessファイルに誤った記述をしてしまうとWebサイトが表示されなくなる恐れもあるため、Web制作会社に依頼できなかったり、周囲にお願いできる人がいなければ、次に紹介するログイン画面のURL変更からはじめていきましょう。

ログイン画面のURLを変更する

WordPressのログイン画面を関係者以外に見られないために、ログイン画面のURLを変更することも大切です。
たとえベーシック認証やIP制限をかけていたとしても、念には念を入れてログイン画面のURLも変えておくことをおススメします。

ログイン画面のURLの変更はWordPressの設定ファイルを変更することでも対応可能ですが、最近では"Login rebuilder"などのプラグインを使うことで簡単に変更することができます。

不要なプラグインは入れない

プラグインをインストールすれば、簡単に便利な機能をWordPressに加えることができます。
しかし上述の通り、プラグインがサイバー攻撃の足掛かりとなることもあります。
そのため、様々なプラグインがあるのがWordPressの魅力と知りつつも、セキュリティの観点から、不要なプラグインをインストールすることは控えておいたほうがよいでしょう。

もしプラグインをインストールした場合は、ユーザーからの評価更新頻度を確認し、信頼できるプラグインかどうかを判断していきます。
ユーザーからの評価が低い場合、バグが発生するかもしれず、サイバー攻撃以外の心配事を増やしてしまいます。
また、最終更新日が数年前になっていたりすると、脆弱性が発見されても対応されない可能性が高く、WordPressのバージョンアップについて行けていない恐れもあり、インストールすると不具合を発生させることもあります。

セキュリティの意識を高めていくことが大切

今回はWordPressを使用する上で大切なセキュリティの話をしてきました。技術的な話を中心にしてきましたが、もちろん運用にも気を付けることが大切です。
WordPressを安全に使用していくには、定期的にログインのパスワードを変更したり、誰が見ているかわからない社外から管理画面にログインしないというような日々の心がけも大切です。
WordPressは使用者が多く、影響が多いため、脆弱性の問題が取り沙汰されますが、多くのセキュリティインシデントが組織内部の問題から発生していることを肝に銘じておかなければなりません。