簡単に始められるWordPressセキュリティ対策の基本ガイド

WordPress
文字数:6,301 / 読了時間:17分

WordPressはとても使いやすいホームページ構築ツールです。実際、世界の全ホームページの約43%がWordPressで作られており、日本国内でも広く利用されています。その人気が高いからこそ、悪質な攻撃の標的にされやすいことも事実です。ここでは、なぜWordPressのセキュリティ対策が必要なのか、放っておくとどんな危険があるのか、どんな対策をすればいいのか、そして初心者でもできる対策についてわかりやすくお話しします。

なぜ、WordPressのセキュリティ対策が重要なのか?

WordPressは世界中でたくさんの個人や企業に使われており、CMSの世界シェアでは62.8%と非常に高いシェアを誇っています(2位はShopifyで6.8%と圧倒的な差があります)。日本国内のCMSシェアでは82.5%にのぼり、さらに高いシェアを持っています(2位はShopifyで2.8%)。その導入は増加傾向にあります。

参考:【2024年】シェアトップのCMSを比較!世界と日本の順位・WordPressが人気の理由

企業向けのコーポレートサイトやニュースサイトはもちろん、個人ブログとしても使用しやすいため、高い人気を得ていると考えられます。これは、WordPressの機能が向上し、セキュリティ対策も強化されたこと、また、WordPressの開発や運用を支援するサービスが増加したことが要因として挙げられます。

そのため、攻撃者にとって狙いやすいターゲットとなっている側面もあります。もしセキュリティが甘いと、マルウェアの感染やデータ漏洩といった問題が起こり、あなたの大切なビジネスや個人情報に深刻なダメージを与える可能性があります。

セキュリティを怠るとどうなる?

具体的に、私たちのクライアントにも実際に起きた過去のホームページ感染被害例をご紹介します。下記は「2大マルウェア」の脅威として、世界中で注意喚起がアナウンスされています。

Emotet(エモテット)

危険度:★★★★★ ダメージ度:★★★★★ 感染力:★★★★★

エモテットは、非常に巧妙な方法で企業や個人に被害をもたらすマルウェアの一種です。このマルウェアの最大の特徴は「普段受け取っているメールに見せかけて、正規のやり取りに見えるメールに紛れ込ませる手法」にあります。

具体的には、件名に「RE:」を追加して本物の返信に見せかけたり、知り合いから来たかのような内容のメールに添付された不正なファイルを開くことで感染が広がります。PCのウィルス対策ソフトもすり抜けた事例も多くあります。

エモテットに感染すると、感染したコンピュータは、さらに多くの連絡先に対して同じようなメールを送信し、企業内部の情報が外部に漏洩する危険性があります。被害に気づかないまま、社内での感染が広がったり、取引先に感染が伝播することで、信用失墜や損害賠償請求へと発展する可能性もあります。

実際には、多くの企業がこのマルウェアの感染を認識せず、その結果、対策が遅れたり、取引先とのトラブルが発生することも報告されています。

このような状況を防ぐためには、メールの安全性に常に注意を払い、感染経路となりうるホームページのシステムも定期的にスキャンを行うことが重要です。

<Emotet攻撃の事例>

●「12月賞与」というタイトルで、ボーナスの明細を添付して送付したと社内メールが送られてきた。ダウンロードURLがメール本文に記載されていた。送信者も社内メールで過去の文面と酷似していた。

●実際の取引先の担当者から「請求書」というタイトルの添付ファイル付きのメールが届いた。不審に思い添付ファイルを開かずに、確認の返信したところ、そのメールに再度返信する形で、別のファイルを添付したメールが送られてきて信じてしまい、意図せず感染を広げた。

●Emotetの被害企業のほとんどが、その感染に気づかずに、取引先への感染拡大をしてしまったケースが多い。取引先からクレームが入っら段階でも、何が起こっているのか状況を把握できないことが多い。

Gumblar(ガンブラー)

危険度:★★★★☆ ダメージ度:★★★★★ 感染力:★★★★☆

ガンブラーは、正規の公式ホームページを見ただけで感染し被害をもたらすマルウェアの一種です。この最大の特徴は「マルウェア感染した公式ホームページが被害者であり、加害者にもなる」ことです。

また、悪質なホームページではなく、正規の公式ホームページがサイバー攻撃によって訪問者をマルウェア感染させる道具にされてしまうことがその恐ろしさです。企業や店舗のホームページがガンプラー感染を受けた場合、「あの会社のホームページを見たらマルウェア感染した」といった悪評が立つ恐れがあります。それは情報流出などのサイバー攻撃同様に大きなダメージをもたらします。

また、利用者としては悪質なWebサイトを訪れたわけではないのに、ガンブラー感染したホームページとは気がつかずにマルウェア感染してしまい、家族や会社から「不審なWebサイトにアクセスしたんじゃないか」などと閲覧者個人の信用にもダメージを与えます。

これは大企業だけでなく、中小企業にも無差別に被害をもたらすため、すべてのホームページで警戒し対策を講じる必要があります。ホームページのセキュリティを強化し、定期的なアップデートと監査を行うことが重要です。

<Gumblar攻撃の事例>

●2009年、JR東日本の公式サイトがガンブラー攻撃によって一時停止する事件があった。サイト内の検索サービスの一部にプログラムの改ざんがあり、該当のページを見るとウイルスに感染し偽サイトへ誘導されるとのこと。改ざんされたページのアクセス数は約5万件以上にのぼる。ページを見た人はすぐにウイルスを駆除するよう、JR東日本が呼びかけた。

●大企業だけでなく、中小企業でも同様の事例が多くあり、とくに、不動産会社、製造メーカー、公共性の高いサービスを提供している会社などで、被害が多数あった。

どんな対策をすればいいのか?

では、このような悪質な攻撃から大切なホームページやデータを守るには、日頃からどのような対策をすればいいのでしょうか?初心者にもできるWordPressの基本的なセキュリティ対策を紹介します。

1. WordPress本体、テーマ、プラグインを常に最新に保つ

なぜ重要?

更新にはセキュリティの修正や脆弱性の改善が含まれています。古いバージョンを使用すると、攻撃者に狙われやすくなります。

どうする?

  • 自動更新を有効にするか、定期的にダッシュボードで確認し、手動で更新します。
  • テーマやプラグインも同様に最新バージョンを維持しましょう。
  • 未使用のテーマやプラグインは削除しましょう。

2. 強力なパスワードとユニークなユーザー名を使用する

なぜ重要?

簡単なパスワードや一般的なユーザー名(例:admin)は、ブルートフォース攻撃で容易に突破される可能性があります。

どうする?

  • パスワードは大文字、小文字、数字、記号を組み合わせた複雑なものにします。
  • ユーザー名は「admin」ではなく、個性的な名前を選びましょう。
  • ニックネームを設定しましょう。

3. ログイン試行回数を制限する

なぜ重要?

無数のログイン試行(ブルートフォース攻撃)を防ぐことで、不正アクセスのリスクを減らせます。

どうする?

  • プラグイン(例:Wordfence Security)を導入し、一定回数以上の失敗時にロックアウトされる設定にします。

4. セキュリティプラグインを導入する

なぜ重要?

セキュリティプラグインは多層的な防御を提供し、サイトを保護します。

どうする?

  • Wordfence Security: ファイアウォールやマルウェアスキャン機能、ログイン試行回数制限などセキュリティ全般の機能があります。

5. SSL証明書を導入し、HTTPSを有効にする

なぜ重要?

データの暗号化により、ユーザー情報やログイン情報が安全に送信されます。また、検索エンジンの評価も向上します。

どうする?

  • ホスティングサービスが提供する無料のSSL証明書(例:Let’s Encrypt)を利用するか、購入して設定します。
  • WordPressの設定でHTTPSを強制します。

6. WordPressに強いホスティングを選ぶ

なぜ重要?

信頼性の高いホスティングサービスは、セキュリティ対策がしっかりしています。

どうする?

  • 評判の良いホスティングプロバイダーを選び、セキュリティ機能(ファイアウォール、DDoS防御など)が充実しているか確認します。
  • エックスサーバー、コノハウィングがおすすめです。

7. 定期的にバックアップを取る

なぜ重要?

万が一サイトが攻撃された場合でも、バックアップがあれば迅速に復元できます。

どうする?

  • バックアッププラグイン(例:UpdraftPlus、BackWPup)を使用して、自動バックアップを設定します。
  • バックアップデータは外部ストレージ(クラウドサービスや外付けハードディスク)に保存します。
  • ホスティングサービスでもバックアップ機能を提供していれば、そちらも利用します。

8. 二要素認証(2FA)を導入する

なぜ重要?

パスワードだけでなく、追加の認証ステップを設けることで、セキュリティを強化できます。

どうする?

  • プラグイン(例:Google Authenticator、Two Factor Authentication)を使用して、ログイン時にスマートフォンで確認する仕組みを導入します。

WordPressのセキュリティ対策は多岐にわたりますが、基本的な対策をしっかりと実施することで、サイトの安全性を大幅に向上させることができます。

万一の緊急事態に備えるには?

基本的な対策をしっかりと実施し、維持し続けることは、場合によっては本業の時間を削って対応しなければならないこともあります。

また、前述の2大マルウェアのような脅威に万一、感染してしまった場合、その原因究明や感染除去、今後の対策を実施するにはかなりの時間とコストがかかります。

このような緊急事態に、業者から見積もりを取り、上長に稟議書を上げて説明していては、対策が間に合わないばかりか、外部の取引先にまでリスクが拡大する危険があります。とくに企業サイトではこのような深刻な事態も想定しておくべきでしょう。

このような万一の緊急事態に備えるために、WordPress専門の保守管理サービスがあります。

企業サイトは、保守サービスの検討もあり

ここで紹介するのは、企業サイトのWordPress保守管理の実績があるサービスの比較です。サービス内容と費用感の参考にしてください。とくに「緊急時データ復旧対応」ができるかどうか、透明性の高い「月次レポート」報告があるかないかは重要なポイントです。

  • ◎:特に良い
  • ⚪︎:標準対応
  • △:オプション
  • ×:なし

A社

初期費用:

33,000円(税込み)
※サイト構築後であれば無料

月額費用:

松:30,800円(税込み)
竹:19,800円(税込み)
梅:8,800円(税込み)

契約期間:

不明

実施内容:

  • ⚪︎コアシステムアップデート(日次)
  • ⚪︎脆弱性監査・アップデート(日次)
  • ⚪︎定期データバックアップ(日次)
  • ⚪︎WordPressセキュリティ強化(日次)
  • ×パフォーマンス監査(日次)
  • ×死活監査(日次)
  • ×SEOランキング監査(日次)
  • ×サーバー保守(日次)
  • ⚪︎月次レポート(月次)
  • ⚪︎緊急時データ復旧対応(適時)
  • ×サーバーPHPアップデート(適時)
  • ×メールサポート(適時)
  • ×ドメイン維持(年次)

B社

初期費用:

なし

月額費用:

44,000円以上

契約期間:

3ヶ月毎

実施内容:

  • ◎コアシステムアップデート(日次)
  • ◎脆弱性監査・アップデート(日次)
  • ⚪︎定期データバックアップ(日次)
  • ⚪︎WordPressセキュリティ強化(日次)
  • ×パフォーマンス監査(日次)
  • ⚪︎死活監査(日次)
  • ×SEOランキング監査(日次)
  • ⚪︎サーバー保守(日次)
  • ⚪︎月次レポート(月次)
  • ⚪︎緊急時データ復旧対応(適時)
  • ⚪︎サーバーPHPアップデート(適時)
  • ⚪︎メールサポート(適時)
  • ⚪︎ドメイン維持(年次)

c社

初期費用:

松:55,000円(税込み)
竹:27,500円(税込み)

月額費用:

松:88,000円(税込み)
竹:55,000円(税込み)

契約期間:

1年間毎

実施内容:

  • ⚪︎コアシステムアップデート(日次)
  • ⚪︎脆弱性監査・アップデート(日次)
  • ⚪︎定期データバックアップ(日次)
  • ×WordPressセキュリティ強化(日次)
  • ×パフォーマンス監査(日次)
  • ⚪︎死活監査(日次)
  • ×SEOランキング監査(日次)
  • ×サーバー保守(日次)
  • ×月次レポート(月次)
  • ⚪︎緊急時データ復旧対応(適時)
  • ×サーバーPHPアップデート(適時)
  • ⚪︎メールサポート(適時)
  • ×ドメイン維持(年次)

当社

初期費用:

なし

月額費用:

38,500円(税込み)

契約期間:

1年間毎

実施内容:

  • ◎コアシステムアップデート(日次)
  • ◎脆弱性監査・アップデート(日次)
  • ◎定期データバックアップ(日次)
  • ◎WordPressセキュリティ強化(日次)
  • ⚪︎パフォーマンス監査(日次)
  • ⚪︎死活監査(日次)
  • ◎SEOランキング監査(日次)
  • ⚪︎サーバー保守(日次)
  • ◎月次レポート(月次)
  • ◎緊急時データ復旧対応(適時)
  • ⚪︎サーバーPHPアップデート(適時)
  • ⚪︎メールサポート(適時)
  • ⚪︎ドメイン維持(年次)
より詳しい内容については、「最新2024年版 実績豊富な法人向けWordPress保守 厳選12社比較表」があります。ご希望の方は、こちらからお気軽に資料請求してください。

低コストで始められるWordPressセキュリティサービスのご紹介

今、どんなに小さなビジネスであっても、データ環境を守ることはとても大切な時代です。

たとえ「個人事業主だから」「小規模ビジネスだから」と思っていても、ホームページにお客さまがアクセスする以上、その安全を守る責任があります。

とくに、WordPressで作られたホームページは、システムやテーマ、プラグインのアップデートをしないと、セキュリティに脆弱性が生じることがあります。こうした脆弱性を狙って侵入してくるマルウェアやウィルスも少なくありません。そのため、こまめなアップデートが欠かせないのです。

そこで私たちは、データとセキュリティを守るために、低コストで始められるWordPressセキュリティサービスを提供しています。

どこでもホームページ整備工場の「ホームページ見守り」サービス

対象:

当社以外で作成のホームページ(WordPress)
個人・法人

初期費用:

なし

月額費用:

2,980円(税込み)
※1年間一括払いで2ヶ月分お得:29,800円(税込み)

契約期間:

1ヶ月毎

実施内容:

  • ⚪︎コアシステムアップデート(日次)
  • ⚪︎脆弱性監査・アップデート(日次)
  • ⚪︎定期データバックアップ(日次)
  • △WordPressセキュリティ強化(日次)
  • ⚪︎パフォーマンス監査(日次)
  • ⚪︎死活監査(日次)
  • △SEOランキング監査(日次)
  • ×サーバー保守(日次)
  • ⚪︎月次レポート(月次)
  • ×緊急時データ復旧対応(適時)
  • ×サーバーPHPアップデート(適時)
  • ⚪︎メールサポート(適時)
  • ×ドメイン維持(年次)

どこでもホームページ整備工場

自分でセキュリティ対策をするのが難しいし時間がないと感じたら、ぜひ当社のWordPress見守りサービスをご検討ください。

お申し込み

無料会員登録:
マーケティングの習慣化に役立つ各種テンプレートなど会員限定コンテンツにアクセスできます。

今すぐダウンロード

Eiji Morofuji

■E DESIGN SHOP(有限会社イーデザインショップ)代表 ■1995年創業  ■デザインエンジニア / ノーコード ■福岡出身糸島市在住、4児の父 ■会社まで往復9Kmを毎日ウォーキング