【WordPressセキュリティ対策】初心者こそ狙われる!乗っ取られる前の3STEP

WordPressのセキュリティ対策

WordPressでブログを始めました!
設定はわけわからなかったけど、これからたくさん記事を書いていきますよ!

りょうこ

ブログ開設おめでとうございます!
WordPressのセキュリティ対策はしましたか?

セキュリティ対策?
PVもほとんどないんだから誰も狙わないよ。
立派なサイトになったらちゃんとやりますよ!
(なんだか面倒そうだしよくわからないし…)

始めたてのブログサイトなんて誰も狙わない、そう思っちゃいますよね。

残念ながらそれは大きな思い違いです。

WordPressでブログを始めた =全世界からノックできる場所に家を建てたということ

悪い人にとってサイトが個人運営とかPVが少ないとか、そんなことは関係ありません。ノックしてドアが開いていれば入ります。穴があったら忍び込みます。

家を建てたからには玄関も裏口もきっちり鍵をかけ、穴があったらふさぎましょう。

この記事ではITセキュリティ業界に20年以上従事する筆者が、WordPressサイトになぜセキュリティ対策が必要なのか、初心者さんにもわかりやすく解説していきます。

※わかりやすさのために、一部単純化したり厳密に正確な用語を使用していなかったりする部分があります。ご了承下さい。

この記事でわかること
  • だれでもわかる!WordPressのセキュリティ対策:必要な理由
  • だれでもわかる!WordPressのセキュリティ対策:3つの具体的な方法
りょうこ

ある日突然あなたの大切なサイトが全部消えてしまう
この記事を読むと、そんな考えたくもない恐怖を現実としないための対策がまるっとわかります!

目次

WordPressにセキュリティ対策が必要な理由

セキュリティ対策はどうして必要?

本章ではWordPressのセキュリティ対策が必要な理由を説明していきます。

>> 今すぐ具体的な対策を知りたいかたは次の章へどうぞ

立ち上げたばかりの個人のサイトなんて誰も狙わないでしょ?のウソ

僕のサイトは立ち上げたばかりでPVもほとんどないです。
悪い人が狙うのは企業とか国のサイトとかじゃないんですか?

りょうこ

そんなことはありません。
悪い人たちがサイトを狙うのにはいくつか理由があります。
手下を作りたい」が初心者さんが気づきにくい理由の1つです。

て、手下???

悪い人が最終的に狙うのは、ニュースで見るような企業や国のサイトかもしれません。

しかし企業や国のサイトを攻撃する際、悪い人は直接手を下しません。

攻撃をされた企業サイトが攻撃元を調査すると、見付かるのは悪い人が管理するPCやサーバではなく私たち一般市民が管理するPCやサーバなのです。

インターネットに繋がっているPCやサーバなら何でもOK。つまりあなたの大切なサイトが攻撃元かもしれません。

悪い人があなたのサイトを攻撃する理由、それは大物を攻撃する際の実行犯にするために乗っ取りたいからです。

現実世界で例えるなら

例えば、オレオレ詐欺犯罪。

お金を受け取る役の犯人を捕まえても、犯人はちょっとした報酬で雇われた下っ端。

本人は何のためにお金を受け取っていたのかもボスも知らない。

こんな話を聞いたことはありませんか?

同じ構図がインターネットの世界にもあります。

サイトが乗っ取られるとどうなるの?

悪い人は実行犯になる手下を増やすためにあなたのサイトを乗っ取ろうとしています。

たくさんの手下を使って最終ターゲットを攻撃したり、ウイルスをばらまいたりします。

悪の手先になっているかも
サイトが乗っ取られると
  • 記事が消される・書き換えられる
  • 設定を変更される
  • ウイルスが仕込まれる

記事が消されたり書き換えられたりするケースは、目に見える実害が大きくショックも大きいです。その分すぐに気づくことができ対応もできます。

一番怖いのはサイトの見た目は全く変わらないにもかかわらず、攻撃プログラムを仕込まれて他のサイトを攻撃したり、あなたのサイトを見に来た人にウイルスを感染させたりするように改造されてしまうことです。

ぱっと見が変わらないので長期間気づくことができずに、加害者になり続けてしまうのです。

一例として私が最近遭遇したケースを紹介します。

とあるWordPressサイトに知らない記事が投稿されていると相談を受けました。

すぐに確認すると、アクセスしたPCのウイルス対策ソフトがウイルス(トロイの木馬)を検出しました。

トロイの木馬検知
トロイの木馬

このサイトはあなたと同じ一般的なWordPressの個人ブログサイトです。

ウイルスが仕込まれてしまうと対応は大変です。高度な技術が必要となり、最悪サイトが復旧しないことも覚悟しなければなりません。

りょうこ

こうなってしまったら、被害拡大を防ぐため急いでWebサービスを停止してください。
サーバー会社や専門家(※)に連絡し、その後の対処方法を相談しましょう。

※「WordPress 改ざん 復旧」などで検索すると、個人向けに復旧サービスを実施してくれる業者が見付かります。復旧にはすべての管理権限を一旦お渡しするので、必要なのは信頼できる相手であることです。実績などをよく確認して依頼するかどうかご判断ください。

上記で説明した組織的・計画的な犯罪者以外にも、「面白いから攻撃してみる」「騒ぎを起こしたくて攻撃してみる」のような悪い人もいます。

乗っ取られないためにすべきこととは

どの家に入る?

大切なサイトを悪い人に乗っ取られないためにすべきこと。それがWordPressのセキュリティ対策です。

セキュリティ対策をすると使いにくくなるんだよー

りょうこ

確かにセキュリティと利便性は良いところ取りが難しいですね。

セキュリティ対策をたくさん実施するとより安全になることは大前提です。

しかしインターネット上にはWordPressサイトが無数にあり、悪い人はあなた個人を狙いうちしているわけではありません。インターネット上に公開されているサイトならばどれでもいいのです。

大切なのは「あそこは簡単に入れるぞ!」と狙われないこと。最低限の対策でも確実に実施することです。

対策は下記の3つの観点で行います。

  1. 管理画面から悪い人にログインされないようにする
  2. WordPressやプラグインに隠された穴を悪い人に利用されないようにする
  3. 悪い人に乗っ取られてしまった場合に備えておく
りょうこ

次の章で具体的な方法を解説していきます。
対策を積み重ねていくことで強固なサイトになっていきますので、1つ1つ確実に実施していってください。

セキュリティ対策1:管理画面から悪い人にログインされないようにする

サイトを守るための3つの鍵

WordPressの管理画面からあなたのユーザ名・パスワードでログインされてしまうと、あなたと同じ権限をもち何でもできてしまいます。

管理画面のログインするために必要な情報は3つあります。

  1. 管理画面のURL
  2. ユーザー名
  3. パスワード

隠すべき情報はパスワードだけとお思いでしょうか。

しかしながら鍵が1つだけでは、パスワードだけ突破されたらすぐに入られてしまいます。

3つの情報を全て隠すことでログインできるまでの手間が格段に大きくなり、セキュリティ強化につながるのです。

管理画面のログイン画面・ユーザー名を隠す

りょうこ

管理画面のログイン画面(URL)とユーザー名はWordPressの初期設定のままでは誰でもすぐにわかってしまいます

初期設定のログイン画面のURLは決まっています。誰にでもログイン画面を表示させることができます。

ユーザー名は、あなたのサイトのURLにちょっとしたおまじないを入力すれば表示できます。

初期状態では誰にでもわかってしまうログイン画面とユーザー名ですが、プラグインや設定変更で簡単に隠すことができます。

行うことは下記です。

  1. WordPressの設定でメタ情報を削除する(最近はメタ情報は表示されなくなりました)
  2. ニックネームを設定する
  3. SiteGuard WP Plugin」をインストールする
    ⇒ 管理画面のURLが変更される
  4. 「SiteGuard WP Plugin」の「ユーザー名漏洩防御」機能をON
    ⇒ ユーザー名(ユーザーID)が表示されなくなる

画像を交えた具体的な手順は以下の2つ記事で詳しく解説しています。2つはどちらから実施しても大丈夫。

記事を見ながら一緒に設定すれば必ずできますので、ぜひご覧ください。

ユーザー名(ユーザーID)を隠す方法はこちら!

>> ユーザーIDを隠して不正ログインを防ぐ!【WordPressセキュリティ対策】

パスワードは複雑なもの・再利用はしない

パスワードの重要性はWordPressに限ったことではありません。

すぐ破られてしまうパスワードとはどのようなものでしょう。

  • よく使われるパスワードリスト(1234, password, p@ssw0rd, apple など)

はもちろんのこと、以下も情報も世の中には出回っていると言われています。

  • 既存のサービスで使用されているIDとパスワードの組み合わせ

ここからわかる重要なことは2つ。

  • パスワードを複雑にすること
  • 他のサービスで使用しているパスワードを使用しないこと

どんなに複雑なパスワードをつけても、同じユーザー名とパスワードの組み合わせを他で使用していたら、簡単に突破されてしまう可能性があるのです。

え、怖いですね!!

Google Chromeや1Passwordのような複雑なパスワードを自動発行・管理してくれる機能を持つツールがあります。

上手く利用しながら推測しにくい強固なパスワードを設定して下さい。

りょうこ

qwertyuiop asdfghjklも一見ランダムなようですが、よく使われるパスワードとして知られています。どうしてかわかりますか?
パソコンのキーボードで隣り合ったキーを順に押していった文字列です。
安易に使わないで下さいね。

セキュリティ対策2:WordPressやプラグインの穴を悪い人に利用されないようにする

抜け穴があるかも

WordPressやプラグインの穴とは?

WordPressやプラグインによる抜け穴。専門用語では脆弱性(ぜいじゃくせい)と言います。

WordPressの管理画面が正面玄関、管理画面のID・パスワードが正面玄関の鍵だとすると、WordPressやプラグインによる抜け穴とは鍵のかからないお風呂場の窓や、こっそり掘られた地下道のようなもの。

家の持ち主も知らないうちに不正に出入りできてしまうまさに「穴」です。

そんな穴、そうそうあるもんじゃないでしょ?

りょうこ

実はそんなことはないんです
WordPressやプラグインは基本的にソースコードまで公開されているため、悪い人にとっては穴が探しやすいのです。

世界的な脆弱性のデータベース「CVE」で「WordPress」をキーワードに脆弱性検索したところ、2022年9月9日現在で2022年に登録された脆弱性は800件ヒットしました。

CVE検索結果
CVEの検索結果画面

8ヶ月で800件以上!?そんなにあるんですか?

りょうこ

プラグインも含めての検索結果なので、非常に多くなっています。
あなたの使っているプラグインに脆弱性がないとは言い切れない数ではないですか?

WordPressやプラグインは極力最新にする

脆弱性対策としてできることは1つ、最新バージョンを使うことです。

基本的に脆弱性が見付かったプラグインはプラグインの開発者により脆弱性対策が施されバージョンが上がります。

バージョンが上がったプラグインが公開されると、WordPressのダッシュボードでプラグインの更新の通知がきますので、更新してください。

更新通知

プラグインの自動更新を有効化しておくと、自動的に更新されるので便利です。

自動更新を有効化

WordPressやテーマについても、基本的には更新通知が来たら更新しましょう。

WordPressの最初の一桁の数字がカウントアップされるメジャーバージョンアップ(例:5.x.x ⇒ 6.x.x)については、公開直後に更新すると不具合が出てサイトが上手く表示されなくなる可能性があるため、1~2週間程度様子を見ることをオススメしています。

不要なプラグインは削除する

セキュリティの観点でも、Webサイトの動作の重さの観点でも、プラグインの数は少ない方がよいとされています。

不要なプラグインは削除するようにしてください。

不要なプラグインが有効化されている場合は、プラグイン画面で「無効化」リンクをクリックすると「削除」リンクが表示されます。「削除」リンクをクリックすることでプラグインを削除することができます。

WAF機能をONにしておく

WAF(Web Application Firewall, ワフ)機能とはWebアプリケーションを守ること特化したセキュリティ対策機能です。Webアプリケーションの脆弱性を悪用した攻撃からWebサイトを守ってくれます。

エックスサーバーやConoHaWingのようなメジャーなレンタルサーバーではWAF機能が標準搭載されています。

しかしWAF機能をONにしておくと、WordPressで少し複雑な設定を実施した際にWAFに不正アクセスと間違えられ、エラーになってしまうことがあります。

そのようなときはWAF機能をOFFにする必要がありますが、設定が終わったら必ずONに戻して下さい。

ConoHaWingの管理画面では、「サイト管理」→「サイトセキュリティ」→「WAF」からWAFの設定と検知ログを見ることができます。

WAFの設定

9月9日だけでも6件以上の攻撃が来ていることがわかります。

りょうこ

どれか一つでも攻撃が成功していたらと考えるとゾッとしますね。
Webサイトへの攻撃は思っているよりずっと頻繁に行われているのです。

セキュリティ対策3:悪い人に乗っ取られてしまった場合に備える

BACKUPが大事

バックアップを取っておく

悪い人に大切なサイトを乗っ取られ、記事をすべて消されたり書き換えられたりしても、乗っ取られる前のデータさえあれば元の状態に戻せます。

例えばConoHaWINGでは特に設定をしなくても、14日分のバックアップが取られているのです。

しかしConoHaWINGのバックアップのみだと、乗っ取りから14日経過してしまうともう戻すことができません。

万が一の時のためにプラグインを使用してバックアップを取っておきましょう。

私が使用しているのは「BackWPup」です。

BackWup

「BackWPup」でできること

  • WordPressインストールフォルダ・ファイルデータのバックアップ
  • WordPress用データベースのバックアップ
  • サーバ内ディレクトリへの保存
  • 外部サービス(FTPサーバ・Dropboxなど)への保存
  • バックアップ時のメール通知機能
  • スケジュールバックアップ機能
  • バックアップファイルの世代管理機能

セキュリティ対策として重要なのは、サーバ以外の場所にバックアップファイルを保存できる機能です。

サーバ全体が乗っ取られてしまうと、バックアップファイルも消されてしまうことがあります。

少し面倒かもしれませんが、一定の周期でレンタルサーバ以外の場所にもバックアップを取っておくことをオススメします。

ブログ作成用PCにウイルス対策ソフトを入れる

サイトが乗っ取られたらどうなるの?」で解説したとおり、サイトが乗っ取られるとウイルスが仕込まれることがあります。

ウイルスが仕込まれると何が不都合なのでしょう。

ウイルスが仕込まれると?(例)
  • サイトに来てくれた人が悪意のあるサイトに自動的に移動させられてしまう
  • サイトに来てくれた人がウイルスに感染してしまう
  • サイト内の大切なデータを外部に送信してしまう

サイトの見た目の変化は一切なく、ウイルスだけ仕込まれてしまうと気づくのが難しいです。

しかしブログを管理しているPCにウイルス対策ソフトを入れておくと、いち早く気づくことができます。

トロイの木馬にびっくり
トロイの木馬

ウイルス対策ソフトがWordPressサイトのウイルス(トロイの木馬)を検出した際の表示画面例

上図のウイルスを検知したウイルス対策ソフトはESET(イーセット)インターネットセキュリティです。

仕事でも家でも5年以上愛用していますが、動作が軽く価格と性能のバランスが良いオススメのウイルス対策ソフトです。

ESET(イーセット)インターネットセキュリティの機能とオススメの理由については以下の記事で詳しく説明していますので、興味のある方はぜひご覧下さい。

まとめ:大切なサイトを悪の手先にしないためにセキュリティ対策をしよう

WordPressのセキュリティ対策を実施するのは2つの理由がありました。

  • 大切なサイトを失わないようにするため
  • 大切なサイトが他のサイトを攻撃する加害者にならないようにするため

具体的な対策としては下記があります。

1. 管理画面から悪い人にログインされないようにする
  • ログイン画面・IDを隠す
  • パスワードは複雑ものとし、他のサイトの再利用はしない
2. WordPressやプラグインに隠された穴を悪い人に悪用されないようにする
  • WordPressやプラグインは極力最新にする
  • 不要なプラグインは削除する
  • WAF機能をONにしておく
3. 悪い人に乗っ取られてしまった場合に備えておく
  • バックアップを取っておく
  • ブログ作成用PCにはウイルス対策ソフトを入れる
りょうこ

サイトを乗っ取られてしまうと、最悪今までの記事がすべて消滅し、悪の手先として活動してたなんてことになってしまいます。
セキュリティ対策は必ず実施しましょう。

\応援クリックお願いします/
ブログランキング・にほんブログ村へ

コメント

コメントする

CAPTCHA


This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.

目次