WEB制作

WordPressは安全?セキュリティリスクへの対策チェックや実際の被害事例を解説

WordPress セキュリティリスクと対策

世界、国内ともにシェア1位のCMS「WordPress」。

関わりがなくても名称だけは知っている、という人も多いのではないでしょうか。

WordPressは非常に多くの人が利用しているサイト作成ツールです。個人のサイトはもちろん、企業のホームページやオウンドメディア運営などにも利用されています。

その一方で、WordPressのセキュリティに関するトラブルも増加しています。

しっかりと対策を打っていればサイバー攻撃などの被害に遭うリスクを未然に防ぐことができますがセキュリティ面での対策ができていない場合は万が一のトラブルに備えてリスクヘッジをしておく必要があるでしょう。

この記事では、WordPressに存在するセキュリティリスクや実際の被害事例、簡単にできるセキュリティ対策のチェック方法などをご紹介します。

1.WordPressのセキュリティリスク

WordPressはサイト構築の専門知識がなくても簡単にサイトを作ることができるため、国内海外問わず様々な人が利用しているツールです。W3Techの調査によれば、世界市場で約62.6%のシェアを有しています。

WordPressは商用利用も可能。無料で誰でもソフトウェアを利用できるようオープンソース(OSS)になっているのが大きな特徴です。そのため、WordPressそのものにセキュリティに対する確かな保証はありません。セキュリティチームによるアップデートは日々行われていますが、リスクへの対策が甘いまま利用しているとサイバー攻撃の対象になってしまう場合も考えられます。

また、WordPressだけでなく別の機能を拡張するためのプラグインに脆弱性が見つかり、そこからハッキングなどの被害を受けることもあります。

WordPress自体もプラグインも対策をしっかりしていれば基本的に危険性はありませんが、情報漏えいやデータ改ざんなどのリスクを回避するにはある程度専門的な知識を持って定期的に情報収集を行う必要があるでしょう。

2. セキュリティの基本的な対策チェック

本格的なWordPressの運用・保守には高度な専門知識が必要です。しかし、WordPressを触るのが初めての人でもできるセキュリティを守る簡単な対策方法もいくつかあります。

ご自身のサイト運営に不安がある、まったく対策をしていないという方は、まず基本的な対策ができているかチェックしてみましょう。

使わない機能(プラグイン)は削除しているか

プラグインとは、WordPressで作成したサイトにさまざまな拡張機能を追加できるツールのことです。サイトのレイアウトを変更するなど見た目に関係するものから、データのバックアップやセキュリティ対策など内部の機能を充実させるものまで種類は多岐にわたります。

昨今、SEO集客目的で取り組む企業が増えているオウンドメディアで導入されていることが多いSEO用プラグインがトラブルの発端となるケースもあるので注意が必要です。表示崩れが起きることを恐れてバージョンアップ自体を避けるサイト運営者も少なくありませんが、古いプラグインをそのまま放置しておくのはリスクが高く非常に危険です。

長期間バージョンアップされていないプラグインは脆弱性が見つかって攻撃の対象になってしまうリスクが高まります。定期的にプラグインの内容を確認して、使っていないものは削除しましょう。

プラグインは削除する以外にも無効化するという選択肢がありますが、無効化していてもファイルはそのまま存在するため危険性は残ってしまいます。

過去の事例では無効化しているプラグインから被害に遭うパターンも報告されているので、被害を避けるためにもなるべく削除しておくのがおすすめです。

ユーザー名・パスワードは推測されにくい文字列になっているか

WordPressは初期設定時に自動でユーザー名とニックネームが同一になります。ニックネームはサイトに飛べば誰でも見ることができる投稿者の名前なので、ログイン時に必要なユーザー名と全く同じにしてしまうとセキュリティ上のリスクが高まります。

ユーザー名は推測されにくい、なおかつニックネームとは違う文字列に変更しておきましょう。

パスワードは名前や誕生日などを避けてなるべく無作為な文字列にするのがおすすめです。よりセキュリティ面を重視するなら、ログイン時にSMSやメールでの二要素認証ができるプラグインの導入もおすすめです。

常に最新バージョンを使っているか

WordPressは脆弱性への対応などで定期的にアップデートされています。最新バージョンのWordPressを使っている場合はデフォルト設定でソフトウェアが自動更新されるようになっているので、基本はONにしておきましょう。

プラグインやテーマも設定で自動更新をONにすることができます。なるべくONにするかアップデートを欠かさず行うようにしてください。

3. 不正アクセス・脆弱性の事例紹介

WordPressの脆弱性を利用した不正アクセスやサイバー攻撃などの事例はこれまでにも数多く報告されています。

ここからは実際に起きた事例をいくつかご紹介します。

WordPress本体の脆弱性を狙った80万件もの大規模被害

2017年、WordPress内のプログラムであるRest APIの処理に脆弱性があることが発覚。その直後。このシステムの脆弱性を悪用した攻撃が多発しました。

WordPress向けのセキュリティプラグインを提供しているWordfenceが2017年2月に発表した情報※1によれば、80万件ものページが改ざんの被害に遭っていたとの情報も。改ざんされたホームページは詐欺サイトなどにアクセスする仕様になっており、大きな話題を呼びました。

プラグインの脆弱性を突いたサイバー攻撃

2023年、WooCommerce PaymentsというWordPress内の決済プラグインに存在する欠陥を利用した攻撃が発生※2しました。

同年7月に発表されたWordfenceの情報※3によると、1日で15万7000のWebサイトに対して130万回以上の攻撃が行われました。WordPress本体が原因で起こった大規模な被害は2017年以降起こっていませんが、このようなプラグイン起因のサイバー攻撃は現在もたびたび発生しています。

WordPressのプラグイン脆弱性報告は年700件以上

筆者の集計では、2023年1月~11月の11ヶ月間でJVN(Japan Vulnerability Notes)に公表されたWordPressプラグインの脆弱性報告は743件。平均して1日1~2件と考えると、その数がかなりのものであることがわかります。

上記で紹介したような脆弱性を悪用したサイバー攻撃を防止するため、多くの場合は脆弱性を公表する前にプラグインのアップデートが行われます。未然に被害を防ぐためにもこまめな情報収集やバージョンアップが重要です。

>>>その他の脆弱性事例はこちらから<<<

4.初心者向け・不正アクセスされているか調査する方法

セキュリティに穴がある状態でサイトを運営していると、これまでに紹介したようなサイバー攻撃を受けるリスクが高まります。

自社サイトが不正アクセスを受けていないかどうか簡単にチェックしたい場合は以下の方法を試してみてください。

検索結果やGoogle Analytics、Google Search Consoleを確認する

サイバー攻撃によってサイトの改ざん被害が起こった場合、Googleなどの検索エンジンでの検索結果に異常が発生することがあります。まずは検索エンジンから自社サイトをチェックしてみましょう。

悪質なサイトへの誘導が発生すると、サイトのドメインがブラックリストに入ってしまうこともあります。ブラックリスト入りが起こるとサイトのトラフィック(ユーザーの訪問回数)が著しく減少するので、トラフィック数などが分かるGoogleアナリティクスを見てみるのも一つの手です。

トップページを直接確認する

ページの改ざんが起こると、リンクが変わったり文字サイズが変わったり、場合によっては全く別のページに置き換わっていたりといった被害に遭うことがあります。まずはトップページを確認してみるのもよいでしょう。

また、サイトにアクセスした際ブラウザに「サイトが危険にさらされています」といったメッセージが表示されたときも注意が必要です。

脆弱性を確認したい場合はセキュリティ診断も

今不正アクセスが起こっているわけではないものの、サイトのセキュリティに不安があるといった場合はセキュリティ診断サイトを利用すると簡単にセキュリティのレベルをチェックすることができます。

多くのセキュリティ診断サイトはページのURLを入力するだけで診断してくれるので、知識がなくても容易に確認することができます。ただし、無料で診断できるツールには確実性があるわけではないので、企業サイトの脆弱性をチェックしたい場合は別途プロによる有料サービスの利用を検討しましょう。

>>>お試し無料診断はこちらから<<<

5.まとめ

WordPressはオープンソースのサイト作成ツールなので、登録やサイト制作自体にリスクはありますが、運用する上でのセキュリティ的な安全は必ずしも保証されていません。

特にアップデートや使わないプラグインの整理など基本的なリスク対策ができていない場合は注意が必要です。そのまま放置しておくとデータの漏えいやサイトの改ざんなど深刻な被害に遭うこともあるので、早急に対処しましょう。

ECマーケティングのWordPress丸ごとお任せ(保守)サービス

自社サイトのセキュリティに不安がある企業でも安心してサイトを運営できるよう、セキュリティ管理のプロが徹底的にサポートします。

当社の保守サービスではバックアップやアップデートの管理からメールサポートでの疑問解消まで、WordPressの運用・管理をあらゆる角度から支援します。

オプションでサーバー保守・障害時の復旧まで承りますので、まずはお問い合わせください。

>>>サービスの詳細・無料セキュリティ診断<<<

※1 Wordfence+A Feeding Frenzy to Deface WordPress Sites

※2 TECH++15万サイトに影響、WordPress人気プラグイン狙った大規模攻撃発生

※3 Wordfence+Massive Targeted Exploit Campaign Against WooCommerce Payments Underway

WEB制作の最新記事

WEB制作をもっと見る

おすすめの記事