目次
WordPressにセキュリティチェックが必要な理由とは
現在運営中のサイトは本当に安全ですか?
Webサイトの運営において、セキュリティ対策は重要です。
セキュリティを強化するWeb改ざん検知サービス やSSL(Secure Sockets Layer)の普及が進んでいるとはいえ、不正アクセスは年々巧妙化されていて、被害が後を絶たない状況です。
不正アクセスにより個人情報が流出すると、サイトユーザーや顧客に迷惑をかけてしまううえ、運営に大きな影響が出てしまいます。
場合によっては、損害賠償を求められる訴訟問題になるかもしれません。
特に、WordPress(ワードプレス)を利用している方は、不正アクセスに気を付ける必要があります。
WordPressが不正アクセスを受ける原因
WordPressは、一般に公開されたオープンソース型ソフトウェアです。
WordPressはユーザーが多いことと、オープンソースであるがゆえに脆弱性を見つけられやすいという理由から、不正アクセスによる攻撃を受けやすいのです。
また、WordPressのプラグインやテーマなどをアップデートしないで、脆弱性がある古いバージョンのままで使い続けていると、簡単に不正アクセスをされ、気づかないうちにコンテンツの改ざんや情報の窃取などの被害を受けてしまいます。
これらの理由から、WordPressの脆弱性を突かれないためにも、定期的にセキュリティチェックを行い、必要なセキュリティ対策を講じておきましょう。
WordPressサイトの脆弱性診断は弊社にお任せください
弊社では、お客様のホームページに潜むセキュリティリスクを診断する脆弱性診断サービスを行っています。
サイトがWordPressの場合、ログインするIDやパスワードをチェックし、外部から閲覧できるようになってないか、サーバー上にあるファイルの書き込み権限であるパーミッションを確認します。
もっと詳しくセキュリティリスクを確認したい場合は、プラグインでセキュリティの脆弱性を確認できるツールを導入して問題点を探ることもできます。
仕掛けられるサイバー攻撃の内容は年々悪質化しております。
「セキュリティチェックしてみたらマルウェアが仕込まれていた!」といったことがないように、いち早くサイトの脆弱性を確認し、セキュリティリスクを回避しましょう。
まずは、「無料診断フォーム」よりお気軽にお問い合わせください。
下記の画像をクリックしていただくと、「無料診断フォーム」に遷移します。
WordPressで自分でできるセキュリティチェックのポイント
WordPressのセキュリティ対策として、確認するべきチェックポイント3つをご紹介します。
チェック①WordPress本体
WordPress本体でセキュリティチェックすべきポイントは以下の通りです。
- WordPressは最新バージョンかどうか
- プラグインのバージョンは古くないか
- 使っていないプラグインがあるかどうか
- ログインURLが初期状態のままかどうか
WordPressでは、セキュリティ対策を強化するための更新が多いので、こまめにバージョンアップを行いましょう。
使用していない、または使用する予定のないプラグインは削除しておきましょう。
そして、WordPressの初期状態のログインURLは、末尾が「wp-admin」または「wp-login.php」となっており、誰でもログイン画面にアクセスすることが可能な状態となっています。
初期状態のログインURLを使用している方は、ログインURLを変更しましょう。
チェック②ユーザーアカウント
- ユーザーアカウントが共有アカウントであるがどうか
- パスワードが共通パスワードかどうか
- ユーザーパスワードが推測されやすいものかどうか
同じユーザーIDを複数人で利用している場合は注意が必要です。
初期パスワードの場合は変更し、共通パスワードを使用しないで、一人ひとりのパスワードを設定することをおすすめします。
チェック③xmlrpc.phpとREST API
- 「xmlrpc.php」が有効になっていないか
- 「REST API」が有効になっていないか
「xmlrpc.php」は、サイト外部の様々なアプリケーションがWordPressとやり取りできるようにする機能で、これはサイバー攻撃の対象になる可能性があります。
デフォルトで有効になっている場合がありますので、「xmlrpc.php」は無効化しておきましょう。
「REST API」は、外部からのWebサイトの情報を取得することができる仕組みのことです。
「REST API」は「Contact Form 7」などのプラグインで利用されているので、無効化するとプラグインも利用できなくなるので注意が必要です。
WordPressのバージョンに問題なければ、何もしなくて大丈夫ですが、海外からのアクセスを遮断したい場合は無効化しておくことをおすすめします。
WordPressのセキュリティを強化する対策方法
セキュリティ対策を適切に行っていれば、WordPressサイトを守ることができます。
WordPressのセキュリティを強化する方法は、以下の通りです。
- 推測されにくい文字列を使用したパスワードを設定する
- WordPress関連のソフトウェアは最新版にアップデートする
- 二段階認証などを使ってパスワードを管理する
- セキュリティ用プラグインを導入する
- 使用していないプラグインは無効化する
- サイトをSSL化する
- WordPressにIPアドレス制限をかける
WordPressの本体、プラグイン、テーマなどは、常に最新のバージョンに更新して使用しましょう。
そして、不正アクセスのリスクを低くするために、使用していないプラグインやテーマの無効化、または削除をしておきましょう。
また、WordPressのログイン画面と管理画面にIPアドレスを制限することで、外部からの攻撃を防ぐことができ、セキュリティ強度を高めることができます。
WordPressのセキュリティを強化するサーバー対策
WordPressのセキュリティを強化するサーバー対策は以下の通りです。
- レンタルサーバーのセキュリティ機能を使う
- WAFを有効化する
- ファイルのパーミッションを変更設定する
WAFとは、「Web Application Firewall」の略で、脆弱性を狙った攻撃からWebサイトを守るソフトウェアのことです。
WAFは、サーバーに標準で装備されている場合は無料で利用できますが、ない場合はサーバーにWAFをインストールすれば利用することができます。
パーミッションとは、サーバー上のデータファイルへのアクセス権のことで、権限のないユーザーはファイルを開いたり、書き込みができなくなります。
デフォルトで設定されているパーミッションの数値を変更設定することで、サイトのセキュリティを強化することができます。
WordPressのセキュリティリスクに備える対策とは
WordPressのセキュリティリスクの備えとしてやるべき対策は以下の通りです。
- 定期的にバックアップを取得しておく
- WordPress関連のセキュリティ情報を把握しておく
- Google Search Consoleでセキュリティ問題をチェックする
万が一に、WordPressサイトに攻撃を仕掛けられて不具合が起きても、バックアップがあればサイトを復旧することができます。
また、WordPressには「サイトヘルス」といって、管理画面からサイトのセキュリティ状態をチェックできる機能があります。
こまめに確認して、サーバー攻撃の原因となる脆弱性を見つけておきましょう。
そして、分析ツールである「Google Search Console」には、サイトにセキュリティ問題があるかをチェックできる機能があります。
警告が表示されているかを確認し、すぐに対処できるように備えておきましょう。
弊社では、WordPressサイトの脆弱性診断を随時行っていますので、セキュリティに関して不安がある方はぜひご依頼ください。
下記の画像をクリックしていただくと、「無料診断フォーム」に遷移します。
関連記事
