WordPressを使ってホームページを自作されている方も非常に多いと思います。
テンプレートを使えば、専門知識がなくてもホームページを作ることができるのが、Wordpressの魅力ですから。

自作でホームページを運用されている方の多くは、セキュリティ対策をされていないケースが多々見受けられます。個人事業主だから、小さい会社だから狙われることはない、ホームページが改ざんされることはない、悪いことする踏み台に使われることはないと思われているかもしれません。しかし、実際に、個人事業主でも社員数名の小さな会社でも改ざんされた事例は多くあります。

公式サイトでは、現在インターネット上の29%のWebサイトがWordPressで構築されているとしています。悪いことを企む人たちは、シェアが大きい製品やサービスを狙って攻撃をしてきます。ですから、もしWordPressで自社のWebサイトを構築しているなら、最低限のセキュリティ対策は実施して、少しでも安全にWebサイトを運用していくことが必要となります。

とはいえ、実際に被害にあわないと、意外とインターネット上に潜むリスクを真剣に考えれないものです。また、聞いたことはあっても、具体的にどんな対策ができるか分からないという方も多いと思います。

そこで今回は、最低限実施すべきセキュリティ対策をお伝えしていきます。

①WordPressは最新バージョンを保つ

これは非常に簡単であり、かつ、効果が大きいものです。
ちなみに、WordPress本体だけでなく、プラグインについても常に最新バージョンにしましょう。

バージョンアップするということは、何かしら問題があるから改善しているのです。
バージョンアップしないということは、その問題点を放置したままにするということです。
特に、重要なセキュリティリスクが発生する脆弱性が発見され、その脆弱性対策を実施したバージョンが出ているのに更新しないとなると、非常に大きなセキュリティリスクを抱えることになります。

2017年には、2/1に公開されたver4.7.2は大きな脆弱性に対応したバージョンでした。ver4.7.0、4.7.1を使用していると脆弱性をつかれてコンテンツを改ざんされてしまう、そんなリスクがありました。契約しているレンタルサーバー会社などもメールやWebサイトで注意喚起し、すぐに最新バージョンにアップデートするように呼びかけました。

しかし、すぐにWordPressのバージョンアップを実施しなかったユーザーが多く、結果的にコンテンツを改ざんされてしまったWebサイトが多数出てしまいました。
Web制作会社が運用している場合はすぐに対応したと思います。
しかし、自社で運用していたり、個人で作って運用している人たちは、メールに気付かなかったり、WordPressの管理画面で更新があることに気付いてもすぐに更新しなかった。それが被害を拡大させました。

後の祭りとならないよう、「バージョンは最新版に保つ」ことを意識してください。

なお、Wordpress本体は自動更新する機能があるため、更新バージョンが公開されて少しタイムラグがあって更新自体はされます。しかし、プラグインは手動で更新する必要があります。プラグインについても最新版があれば、必ずその場で更新するようにしてください。

②不要なWordpressプラグインは今すぐ削除する

WordPressの簡単インストール機能が付いているレンタルサーバーを使っている場合は、インストールするとプラグインが最初から何個かインストールされます。

プラグインを有効にして使っているのであれば良いですが、無効のまま、つまり使っていない方がいらっしゃいますが、これは危険です。使っていないという意識から、最新バージョンが出ていても更新しなくて良いと思ってしまう方が多いようです。

有効か無効かは関係ありません。インストールされているかいなかです。
インストールしている以上、最新バージョンに保つ必要があります。

そもそも、使っていない以上、インストールしている必要はありません。使っていないのにリスクを抱えるのはもったいないです。使っていないプラグインがあれば今すぐに削除しましょう。

③WordPressのユーザー名とパスワードは類推されにくいものにする

WordPressをインストールする際に、ユーザー名とパスワードを設定します。
パスワードについては、いろいろな場面で啓蒙されているためか、みなさん注意して分かりにくいものを設定しているようです。

ユーザー名はどうでしょうか？
adminとかwebmasterとか攻撃されやすい名称があります。会社名だけも危険です。
ユーザー名とパスワードの両方を類推されにくいもので作成すること。少しでもログインされにくいようにしておきましょう。

④WAFを有効にする

Web Application Firewall、通称、WAFを有効にします。

WAFといわれても分からないという方も少なくないでしょう。
簡単にいうと、Webサイトの改ざんや不正ログインしたり、大量にデータを送りつけてサーバーをダウンさせたり、あなたを踏み台にして他のWebサイトを攻撃したりといったサイバー攻撃を防ぐためのものです。

Webサイトのデータはサーバー内に存在します。そのサーバーに不正なアクセスがあったときに、サーバーに到達する前段階で通信の内容を解析して問題があれば、サーバーへアクセスさせない処理をします。WAFがこの機能を果たすことで、あなたのWebサイトへの攻撃を防ぐのです。

契約しているレンタルサーバー会社によっては、管理画面でボタン1つで有効にできます。分からない場合は、レンタルサーバー会社に問い合わせましょう。

実際にWordPressでどんなセキュリティリスクが発生しているのか

経済産業省所管の独立行政法人情報処理推進機構（通称IPA）をご存知でしょうか？公的機関としてWordPressに限らず、様々な情報セキュリティ対策に関する情報発信をしています。その中に脆弱性対策情報というものがあり、セキュリティリスクに対して情報発信をしてくれています。

https://www.ipa.go.jp/security/vuln/documents/index.html

この一覧をご覧いただくと分かると思います。
プラグインを含めると、ちょこちょことWordpress関係で脆弱性が発見されています。

WordPress自体は無料で使えるオープンソースです。
仮に有料のテーマを購入していても、Wordpress自体は無料のプラットフォームなのですから、Wordpress本体に関わるセキュリティ対策は自分でしっかりやらないといけません。この意識をもってください。

まとめ