はじめに

近年では企業・個人にかかわらず、Webを利用しての情報発信は一般的なことです。その際に多く使われている「WordPress」の使用にはセキュリティへの取り組みが必須となりますので理解を深めておきましょう。

「WordPress」使用におけるセキュリティ対策の必要性

「WordPress」は世界中で最も利用されているコンテンツ管理システム（CMS：Contents Management System）のひとつであり、使用する際のセキュリティ対策は非常に重要です。あまりシェアの大きくないCMSの脆弱性を探すよりも、WordPressを狙い、悪さをおこなうほうが効率的だと判断され、世界中から狙われています。適切なセキュリティ対策をしないと、多種多様な被害を受ける可能性が高くなります。

セキュリティ対策をしないことで起きる可能性のあるリスク

もしセキュリティ対策をおこなわないでいるとどうなるのでしょうか。メジャーなリスクを4つ解説します。

不正アクセスの被害を受けるかもしれない

不正アクセスとは、悪意ある第三者が権限のない方法でシステムやネットワークに許可なく侵入する行為のことです。WordPressに対する不正アクセスも同様で、さまざまな悪質行為により深刻な被害の発生する可能性があります。このような攻撃はサイトへの信頼性を損ね、訪問者に対してもセキュリティリスクを与えてしまうことがあります。

情報漏洩の被害を受けるかもしれない

情報漏洩とは、不正な手段によって本来秘密にすべき情報が外部に流出してしまうことです。漏れてしまったデータを悪用されるリスクは大きなものです。
WordPressにおいて情報漏洩が発生してしまうと、法的な問題・経済的な損失・信用失墜につながる可能性があります。情報漏洩の対象を以下に記載します。

• 企業：顧客情報や機密情報など
• 個人：個人情報など

Webサイトの改ざんの被害を受けるかもしれない

悪意ある第三者がWebサイトやデータに不正アクセスし、内容を変更したり破壊したりする危険があります。WordPressが攻撃を受けると情報漏洩につながる恐れがありますので、データの暗号化やアクセス権限の厳格な管理など、万全なセキュリティ環境を構築することが求められます。

SEOに対しての被害を受けるかもしれない

不正にハッキングされたサイトは検索エンジンによって「スパムサイト」と認定され、検索結果から除外されてしまう可能性があります。また、ハッキングされたことが公になると、社会的信頼を失い、Webサイトへのアクセスが減少するかもしれません。

WordPressでの被害3事例

WordPressで実際に起きた被害について、3つの事例を解説します。

1　詐欺サイトへの自動転送機能追加

某企業の公式Webサイトが「アクセスすると悪意ある外部サイトへと誘導する状態へと変更されてしまう」という事例が2021年にありました。
WordPressのデータを変更されてしまうと、運営サイトを訪れたユーザが不利益を被ってしまう可能性が発生します。後に明らかになった原因は、WordPress本体のアップデート漏れにより、WordPressの脆弱性が放置されていたことでした。

2　スパムメールの配信元にされる

女性向けファッション事業を手掛ける某企業のWebサイトが改ざんされ「メール送信機能を使いスパムメール送信の踏み台にされてしまう」という事例が2017年にありました。
原因はWordPressとプラグインの脆弱性を突かれたことでした。不正アクセスを受けてメール送信プログラムを埋め込まれる攻撃を受けてしまったのです。

3　 コンテンツを改ざんされる

国内の某官公庁管轄Webサイトが改ざんされ「悪意のある外部サイトに誘導するように変更されてしまう」といった事例が2018年にありました。移動先のサイトには正規Webサイトから盗用したと思われる情報が掲載されていました。改ざん原因としては、古いWordPressプラグイン脆弱性の放置です。
コンテンツの改ざんによって、悪意のある内容に書き換えられたり、適当なものに書き換えたりといった、被害にあうリスクがあります。

WordPressのセキュリティ対策

WordPressにはセキュリティ対策が必要です。ここではポピュラーな5つのセキュリティ対策方法について解説します。

対策1　パスワードの防衛

WordPress使用時のセキュリティ対策、1つ目は「WordPressのパスワードは人にばれないようにしておこう」です。
具体的には、パスワードを大文字・小文字・数字・記号を組み合わせて複雑にして強化したり、二段階認証を導入したりすることです。

対策2　WordPressの不要なテーマやプラグインを削除する

WordPress使用時のセキュリティ対策、2つ目は「不要なテーマ・プラグインは削除しよう」です。使用していない古いテーマ・プラグインは、放置すると攻撃に利用されることがあります。「削除しなくても無効化すれば問題ない」と思うかもしれません。ですが、無効化だけでは不十分ですので必ず「削除」しておきましょう。不要なテーマ・プラグインは削除しておくよう習慣化しておくとよいでしょう。

対策3　WordPressのテーマ・プラグインは最新の状態にする

WordPress使用時のセキュリティ対策、3つ目は「テーマ・プラグインは最新の状態にしておく」です。理由として、テーマ・プラグインの新バージョンは前のもので見つかったセキュリティの穴を潰しているからです。

対策4　外部から重要なファイルにアクセスさせない

WordPress使用時のセキュリティ対策、4つ目は「なるべくデータやファイルに外部からのアクセスを許可しない」です。
WordPressは管理画面自体がインターネット上にあります。ログインされてしまうと、重要情報・コンテンツの改ざんなどが「誰であっても」可能となってしまいます。なるべくデータやファイルに外部からアクセスできないようにしておくことが大切です。自身でWordPressの設定をして、外部からのアクセスを遮断するようにしておきましょう。

対策5　セキュリティ対策プラグインを導入する

WordPress使用時のセキュリティ対策、5つ目は「セキュリティ対策用のプラグインを導入する」です。しかしここで注意してほしいことがあります。脆弱性のあるプラグインは導入しないでください。もしこれをしてしまうと、作業意図とは逆にセキュリティを下げてしまいかねません。そのようなことを避けるためプラグイン選択・導入検討の際には、評判・レビューなどをしっかりと調べて参考にしましょう。

まとめ

「WordPress」は世界中で最も利用されているコンテンツ管理システム（CMS：Contents Management System）のひとつです。
WordPressは世界中から狙われているので、適切なセキュリティ対策が必要になります。
もしセキュリティ対策をおこなわないでいると、多種多様な被害を受ける可能性が高くなります。ポピュラーなリスクとしては下記の4つになるでしょう。

1. 不正アクセス
2. 情報漏洩
3. Webサイトの改ざん
4. SEOに対しての悪影響

WordPressのセキュリティ対策としては以下に記載する5つがメジャーなものになります。

• 対策1　パスワードの防衛
• 対策2　WordPressの不要なテーマやプラグインを削除する
• 対策3　WordPressのテーマ・プラグインは最新の状態にする
• 対策4　外部から重要なファイルにアクセスさせない
• 対策5　セキュリティ対策プラグインを導入する

個人・組織にかかわらず、WordPressでの運用にはセキュリティ対策が必須となります。この記事を読んでしっかりと学んでおきましょう。