誰でも無料で簡単にブログが作成できることから、非常に人気のあるWordPress
ソースコードが公開されている(オープンソース)ため、世界中の開発者によって多くのプラグインが作られ、それを使うことで好きなようにカスタマイズし、使い勝手を良くしていける優れものです。

WordPressは、CMSコンテンツマネージメントシステム)市場において世界No.1のシェアを誇っています。CMSを利用する企業は年々増加傾向で、その中でもWordPressは、2016年現在、CMSの国内シェア率80%超と最も人気が高いソフトウェアです。

参考:クラウドワークス
https://crowdworks.jp/public/jobs/category/7/articles/10618

しかし、国内シェアが高く利用者が多い反面、不正アクセスなどのセキュリティ対策には気を配りたいところです。皆さんは、WordPressを利用する際、どのようなセキュリティ対策をしているでしょうか。

本記事では、WordPressが受ける可能性のある不正アクセスする内容、その被害を防ぐための方法・ツールをご紹介していきます。

そもそも、どのような不正アクセスが考えられるの?

一般的に不正アクセスというと、特定のPCやネットワークを正規の権限で利用するのではなく、パスワードを盗み出したり、ソフトウェアの脆弱性を悪用したりといった方法で不正に侵入することを言います。

WordPressは、オープンソースで公開されているブログシステムのため、脆弱性がハッカーの目に触れやすく、標的にされやすいというデメリットがあります。そして、それに加えて、WordPressのログインURL形式が「URL+wp-login.php」という決まった形式になることも狙われやすい要因となっています。

攻撃される可能性がある不正アクセスのポイントはいくつかありますが、最も危険なのは「管理画面への不正アクセス」です。
例えば、パスワードの漏えいやブルートフォースアタックと呼ばれる、IDとパスワードの組み合わせをすべて試す攻撃によって管理画面に入られてしまった場合、ブログの改ざんなどといったものだけではなく、そのままパスワードを変えられて、乗っ取られてしまう恐れもあります。

他にも、WordPressに対する不正アクセスには、クライアントPC、WordPress本体やプラグインに潜む脆弱性を利用するものがあります。悪意を持った攻撃者によって、これらの脆弱性を利用されると、PCやWordPress自体を壊されてしまうという事態になりかねません。そのため、最善の注意と対策が必要です。

不正アクセスを防ぐ方法とは

WordPressの不正アクセスを防ぐ方法は、大きく分けて2つの方法があります。それが、「ツールを使う方法」と「プラグインを使う方法」です。ここからは、それぞれの方法について、活用方法も交えながらご紹介していきます。

<ツール>

◎WPScan

01_Wordpressツール「WPScan」.JPG
https://wpscan.org/

WPScanは、WordPressのサイトが安全かどうかセキュリティ診断を行うためのツールです。このツールでは、悪意を持った攻撃者が行うと想定される攻撃をサイトに対して試すことで、サイトが安全かどうか情報を得ることができます。

対応しているテストの項目は以下のとおりです。

・サイトに対するスキャン
・ログインユーザの一覧取得
・サイトに対するブルートフォースアタックによるパスワード取得
・プラグインのバージョン取得

これらの項目をテストした結果、設定に問題がある場合や脆弱性のあるプラグインを使っていると分かった時点で、迅速に対応を取ることができます。

<プラグイン>

◎Login LockDown

02_Wordpressツール「Login_LockDown」.JPG
https://wordpress.org/plugins/login-lockdown/

WordPress管理画面は、記事を書いたり、コメントを確認したりと何かと利用頻度が高いですが、同時にWordPressの設定をするなどサイト運用にとって、とても大切です。
悪意を持った攻撃者の中で最も多いのが、この管理画面に不正アクセスをしようとします。そして、Login LockDownでは一定回数以上ログインユーザ名とパスワードを間違えたユーザーをログインできなくしますので、不正アクセスを防ぐことができます。

◎Akismet

03_Wordpressツール「Akismet」.JPG
https://ja.wordpress.org/plugins/akismet/

WordPressブログを開設し、アクセス数が増えてくると、どうしてもスパムコメントのようなものも多くなってきます。これらは煩わしいだけでなく、文章の中に不正サイトへのリンクがあるケースもあり、セキュリティリスクにもなります。
このAkismetを使うと、こうしたスパムコメントを自動で「迷惑なもの」と判別し、振り分けてくれるので、管理者がわざわざ時間をさいて確認する手間も省け、何より危険な文章が誤って表に出てしまうことも防げます。

◎Acunetix WP Security

04_Wordpressツール「Acunetix_WP_Security」.JPG
https://wordpress.org/plugins/wp-security-scan/

WordPressを初期設定のまま利用している方も意外と多いのではないでしょうか。実は初期設定のままでは、セキュリティ的に危険な状態です。
Acunetix WP Securityは、WordPressサイトの脆弱性を診断し、診断結果を危険性に基づいて色分けしたり、設定を変更したりすることができるプラグインです。データベースのバックアップなどもできます。

◎AntiVirus

05_Wordpressツール「AntiVirus」.JPG
https://wordpress.org/plugins/antivirus/

WordPressには様々な画面テンプレートがあり、自由にカスタマイズが可能です。ただし、公式リポジトリで公開されている画像テンプレートは問題ないのですが、公式以外のものにはバグがみられたり、不正コードが含まれていることも極稀に見受けられます。
このAntiVirusはテーマに脆弱性や不正コードが含まれていないか確認できるプラグインで、安全なサイト運営を行なうには必要不可欠です。

◎iThemes Security

06_Wordpressツール「iThemes_Security」.JPG
https://ithemes.com/security/

WordPressの脆弱性診断と対策ができるプラグインで、かなり細かい項目まで診断できるのが特徴です。しかし、wpXレンタルサーバなど、セキュリティ対策を行っているサーバでは機能が競合し、サイトの動作が不安定になるケースもあるので注意が必要となります。