WordPressのセキュリティ対策について、初心者向けにわかりやすく解説します。
- なぜWordPressのセキュリティ対策が必要なの?
- セキュリティ対策をしないとWordPressサイトはどうなる?
- WordPress初心者にも簡単にできるセキュリティ対策を知りたい!
このようなお悩みをスッキリ解決する記事を書きました。
こんにちは、かずよしといいます。2010年からWordPress(ワードプレス)を使っています。
この記事を書いた、かずよしです
ユーザー数のべ800万人超えの情報サイト「WordPress超初心者講座」を管理・運営する人。ワードプレスの始め方や使い方を、初心者向けにやさしく解説します。
WordPressのセキュリティ対策が必要な理由
そもそも、なぜWordPressのセキュリティ対策が必要なのでしょうか。その主な理由は、次の2つです。
WordPressは利用者が多いため攻撃対象になりやすい
とあるウェブ市場調査サービスによると、世界中のサイトの4割以上がWordPressで作られているというデータが公表されています。
上記の調査結果については、下記ページで詳しく紹介しています。
現在、世界中にウェブサイトがどれくらい存在するのかは明らかではありませんが、多くのメディアが「サイト数は10億を超えている」と伝えています。
上記の数値が事実なら、世界中に存在するWordPressサイトは数億にのぼる計算になります。
ここで、悪意のある攻撃者の立場で考えてみましょう。
WordPressのシステムに脆弱性(セキュリティ上の欠陥)が見つかると、非常に多くのサイトに対して一度に攻撃を仕掛けることが可能になります。攻撃者にとっては、効率がいいわけですね。
また、WordPressはいろんな人が利用しているので、セキュリティに対する知識や対策のレベルも様々です。
特に初心者や小規模サイトの運営者はセキュリティ対策が不十分であることが多く、攻撃者にとって狙いやすいターゲットになってしまいます。
WordPress初心者だからこそ、できる範囲でしっかりとセキュリティ対策をする必要があります。初心者向けのセキュリティ対策については、後ほど詳しく解説します。
インストール型WordPressのセキュリティ対策は自己責任
WordPressの利用形態には、次の2種類があるのをご存知ですか。
- ブログサービス型の「WordPress.com」
- インストール型の「WordPress.org」←利用者が多いのはこちら
WordPressをビジネスに活用している人の多くは、ブログサービス型の「WordPress.com」ではなく、インストール型の「WordPress.org」を使っています。
ブログサービス型のWordPress.comを使えばブログシステムの用意やセキュリティ対策は運営会社にお任せできますが、利用規約や機能制限によってブログを収益化しにくいというデメリットもあります。
一方、インストール型のWordPress.orgなら広告を自由に掲載できますし、サービス終了のリスクもありません。
当サイト(WordPress超初心者講座)をはじめ、多くのメディアなどで「WordPress」と呼んでいるのは、インストール型のWordPress.orgのほうです。
ただし、WordPress.orgで作ったサイトのセキュリティ対策は、基本的に自己責任で行わなければなりません。「よくわからないから」という理由で放置するのは厳禁です!
では、WordPressを使うことには、具体的にどのようなセキュリティリスクがあるのでしょうか。
WordPressのセキュリティリスクとは
WordPressの主なセキュリティリスクとして挙げられるのは、以下の3つです。セキュリティ対策をしないままにしておくと、次のようなトラブルが起こり得ます。
サイトが改ざんされてしまう
サイトの改ざんとは、ウェブサイトのコンテンツや機能が攻撃者によって不正に変更されることです。
サイトの内容が書き換えられてしまうと、以下のトラブルが発生する可能性があります。
- 不適切なコンテンツが掲載される
- 意図しない広告が表示される
- ページのデザインやレイアウトが崩れる
- フィッシングサイトへのリンクが掲載される など
攻撃の踏み台にされてしまう
踏み台攻撃とは、攻撃者が第三者のコンピューターやサーバーを乗っ取って、自分の代わりに攻撃させることです。
具体的には、次のようにサイトを悪用される恐れがあります。
- スパムメール(迷惑メール)の送信元として利用される
- マルウェア(コンピューターウイルスなど)の配布元として利用される
- DDoS攻撃の一部として利用される など
DDoS攻撃とは、複数の端末から攻撃対象のサーバーに対して大量のリクエストを送信し、通信量を激増させることによってサービスを妨害することです。
個人情報が漏洩してしまう
個人情報の漏洩(ろうえい)は、攻撃者がウェブサイトのデータベースやファイルにアクセスし、サイト利用者の個人情報を取得することを指します。
個人情報が漏洩してしまうことには、次のリスクが懸念されます。
- ユーザーからの信用を失う
- 個人情報保護法などの法規制に違反し、法的責任を問われる可能性がある
WordPressを使って会員制サイトやECサイトなどを運営する場合は、特に注意が必要です。
ここまでに具体例として紹介したトラブルが起こった場合、サイトの信頼性を大きく損ない、訪問者や検索エンジンからの評価を下げる要因となってしまいます。
WordPress初心者にもできるセキュリティ対策5つ
ここからは、WordPress初心者にも簡単にできるセキュリティ対策を紹介します。
もしできていない項目があれば、今すぐ実行することをおすすめします
管理画面のログインパスワードを強力にする
まずは、WordPress管理画面にログインするためのパスワードを強力にしましょう。
強力なパスワードは、不正なログインを防ぐための最も基本的で効果的な手段です。簡単なパスワードだと、「ブルートフォース攻撃」などで簡単に突破されてしまう可能性があります。
ブルートフォース攻撃とは、何度もログインを試して正しいパスワードを見つけ出そうとする「総当たり攻撃」のことです。
例えば、「password」や「123456」といった簡単なパスワードを使うのではなく、大文字・小文字・数字・特殊文字を組み合わせた複雑なパスワードを設定することが重要です。
WordPressのログインパスワードは、管理画面で簡単に変更できます。パスワードの強度をチェックしながら設定することができますよ。
パスワードを変更する方法については、下記ページで詳しく解説しています。
最新のバージョンを使う
WordPressのシステムを、常に最新バージョンに保つことが大切です。
WordPress本体やテーマ、プラグインは、セキュリティの改善を目的としたバージョンアップが実施されることがあります。
新しいバージョンが公開されたら、早めの更新を心がけましょう。脆弱性を取り除けば、不正にアクセスされるリスクを減らすことができます。
最新バージョンへの更新方法については、下記ページを参考にしてください。
使わないテーマやプラグインを削除する
使っていないテーマやプラグインを放置しちゃってませんか。不要なテーマやプラグインがサイトに残っていると、セキュリティの欠陥を生み出す可能性があります。
特に、テーマやプラグインが古いバージョンのまま放置されている場合は、より一層リスクが高まるので注意が必要です。
テーマやプラグインの削除は、WordPress管理画面で簡単にできます。削除方法は、下記ページを参考にしてください。
レンタルサーバーのセキュリティ機能を使う
レンタルサーバーによっては、WordPress利用者向けにセキュリティ機能が提供されている場合があります。
例えば、国内シェアNo.1のレンタルサーバー「エックスサーバー」では、下記のようなセキュリティ対策を無料で設定することができます。
さらに、エックスサーバーでは「WordPressリカバリー」機能を利用できます。
WordPressリカバリーは、ワードプレスの様々なトラブルを解決する機能です。2024年3月から提供されています。詳しくは、下記ページをお読みください。
あなたが使っているレンタルサーバーでセキュリティ機能が提供されていないかどうか、チェックしてみてください。
万が一に備えてバックアップを取る
万が一に備えて、定期的にバックアップを取りましょう。
バックアップを取っておくことで、サイトが攻撃されたときやシステム障害が発生した場合でも、迅速に復旧できます。データの損失を防ぎ、サイトの運営を継続するためにはバックアップが不可欠です。
WordPressのバックアップを取る方法は、いくつかあります。初心者向けのバックアップ方法は、次の2つです。
- バックアップや復元が簡単にできるプラグインを使う
- レンタルサーバーの自動バックアップ機能を活用する
おすすめプラグインを使ってバックアップを取る方法は、下記ページで紹介しています。
ただし、上記のプラグインを使う方法では、WordPress管理画面にログインできなくなった場合はすぐに復元することが難しくなります。
この問題を解決するには、自動バックアップ機能を提供するレンタルサーバーを利用しましょう。
例えば、エックスサーバーの自動バックアップ機能では1日1回バックアップが実施され、過去14日分のデータが保持されます。
万が一のときは、バックアップデータを使って簡単に復旧することができます。
復旧にはエックスサーバーの管理画面を利用するので、WordPressにログインできなくなっても迅速に不具合を解消できます。
WordPressのセキュリティ対策プラグイン
先ほど紹介した5つのセキュリティ対策の他に、プラグインを使う方法もあります。
ただし、プラグインを使いすぎると、サイトの表示速度が遅くなったり、プラグインどうしが干渉してエラーが発生したりすることがあるので注意が必要です。
ここでは人気のセキュリティ対策プラグインを2つ紹介しますが、必要に応じて使うようにしてください。
- WPS Hide Login:ログインURLを変更できるプラグイン
- All-In-One Security (AIOS) :総合的にセキュリティ対策ができるプラグイン
WordPressプラグインの使い方については、下記ページで解説しています。
WPS Hide Login
「WPS Hide Login」プラグインを使うと、WordPressのログインURLを簡単に変更することができます。加えて、機能がとてもシンプルなので他のプラグインと干渉しにくいメリットがあります。
WPS Hide Login プラグインは、インストール・有効化が完了した時点でログイン画面のURLが自動的に変更されるので注意してください。
WordPressのログインページ(管理画面にログインするためのページ)は、初期状態では次のようにURLのパターンが決まっています。
http(s)://(サイトのドメイン名)/wp-login.php
URLのパターンが決まっているということは、サイトのドメイン名さえ分かれば誰でもログイン画面にアクセスできてしまうことを意味します。
しかし、ログインURLを変更しておけば、不正アクセスを受けるリスクを軽減することができるわけです。
WPS Hide Login プラグインの使い方は、別ページのWordPressのログインURLを変更する方法の中で解説しています。
All-In-One Security (AIOS)
All-In-One Security (AIOS) は、様々なセキュリティ対策機能を備えたプラグインです。主な機能は、次のとおりです。
- ログイン情報(ユーザー名やパスワード)の強度チェック
- ログイン試行回数の制限
- データベースのセキュリティ強化
- ファイルシステムのセキュリティ強化
- ファイアウォール(悪意のある攻撃を遮断する“防火壁”)の設定 など
All-In-One Security (AIOS) プラグインの設定画面は、日本語訳に完全対応していません。使いづらい場合は、ブラウザの翻訳機能などを活用してください。
WordPressのセキュリティまとめ
WordPressを使うなら、セキュリティ対策は自己責任です。対策をしなければ、様々なセキュリティリスクを抱えてしまいます。
本記事では、WordPress初心者にも簡単にできるセキュリティ対策を5つ紹介しました。まだできていない対策があれば、今すぐ実行してくださいね。
WordPressのセキュリティ対策で見落としがちなのが、安全性の高いレンタルサーバーを選ぶことです。セキュリティ機能が充実しているサーバーを使うことで、安心してブログを運営できます。
おすすめは国内シェアNo.1のエックスサーバー。豊富なセキュリティ対策機能に加え、「WordPressリカバリー」が使えるようになりました!
\ WordPress簡単移行が無料で使える /
利用料金最大30%オフキャンペーン実施中
2025年1月7日(火)17:00まで