WordPressのセキュリティ対策について
はじめに。WordPressは、先日(日本時間で2023年5月27日)20周年を迎えたオープンソースシステムであり、CMS(コンテンツ・マネジメント・システム)です。
WordPressは、数多くの人に使われ続けているシステムであり、オープンソースシステムであるからこそ、制作やカスタマイズに関する様々な情報が出回っているため、サイバー攻撃(ネットワークを通じてデータの改ざんや情報を盗んだり、システムの破壊を狙う攻撃)がされやすいシステムでもあります。
WordPress自身も出来得る限りセキュリティ対策に取り組んでいますが、オープンソースシステムであり、使用者の利用サーバーにインストールして使う仕様上、使用者自身(または依頼した保守管理会社、専門家)でもセキュリティ対策をする必要があることは、ご留意いただきたいと思います。
本ページは、WordPressについて関心のある方を対象にした、難しくない表現かつ正しい情報が伝わりやすいように努めた「WordPressのセキュリティ対策についてのまとめページ」です。本ページが少しでも皆様の参考になりましたら幸いです。
【★これを読んでほしいです!★(特に伝えたいこと)】Q.「WordPressはセキュリティが駄目なサービス・システムでしょ?(他のサービス・システムのセキュリティ対策は強いでしょ)」 A.「誤解です!セキュリティ対策はしっかりとしていますし、使い方が悪かったら攻撃されるのはどのサービスでも変わりません!」
今回のWordPressセキュリティ対策に関するまとめページを作成するにあたり、「これだけは最初に伝えておかねば……っ!」と強く思ったことです。
よほど問題のあるものじゃない限り、どのサービスやシステムもセキュリティ対策はしっかりと対応しています。
ただ、WordPressに限らず、使用者の利用サーバーにインストールして使うサービスやシステムで情報が多く出回っている有名なものであればあるほど、狙われやすくも攻撃されやすくもあります。これらのサービスやシステムに対する攻撃を防ぐためには、正しく理解をして正しく利用する必要があるので、専門的知識なく制作および運用することが難しいのは否定のできない事実です。
残念ながら、問題のある使い方で攻撃を受けた方も多々見てきました……(涙)
クリエイトアコード自身は遭遇したことがありませんが、トラブルに繋がったケースも見られたようです。
利用だけに限って言えば、正しく制作され、適切に運用できる環境が整っていることが前提になりますが、専門的知識なく利用すること自体は可能ではあります。ただ、この環境を実現できる専門家ではない人が価格に問わず制作サービスを提供していることもあるので、制作サービス利用をするときは気をつけて選ぶことをオススメします。
「正しく制作され、適切に運用できる環境が整っている」前提の実現を目指すためには、ある程度のご予算が必要になると思われます。安くて良い制作サービスもありますが、きちんと対応してくれるかどうかは料金の安さだけでは選ばないように心がけた方が良いでしょう。運用についても、セキュリティ対策に関する知識と対応する技術を持つ専門家が提供する保守管理のサービスをご利用いただくことで、より安全にご利用いただけます。
そのため、WordPress等に強いこだわりまたは実現が難しい機能がある人以外で、特に不安に思う方は、これらのサービスやシステムを使わずに運営会社がシステムを提供していて自身でインストール作業が不要なサービスをご利用いただくと安心いただけると思います。長い運営実績があって、口コミや運営会社からの報告でもトラブルのない(少ない)サービスを選ぶことをオススメします。この他、利用サービスにセキュリティ対策に関する取り組みに関するページがあるかもチェックしておくと良いでしょう。
ただ、どのサービスやシステムを使おうとも、パスワードは強固にすることは忘れずにご対応いただきたく存じます。
パスワードが特定されやすいものは、不正ログインされやすく、狙われやすく攻撃されやすくなります。
以上の事情から、WordPress等の制作や運用のハードルが高いと感じるのは無理もありません。そのため、個人的には「無理にWordPress等を利用する必要はない、自身に合うシステムやサービスを使ってほしい」と考えていますが、WordPressをはじめとする使用者の利用サーバーにインストールして使うシステムやサービスには優れたものが多々あることから、必要に応じてWordPress等を使っていただくと良いと思います。
ホームページやECサイト、ランディングページを作成したい方におかれましては、WordPress等の制作サービスや保守管理サービスの利用も視野に入れつつ、予算感と利用者の状況や運営方針などを総合的に判断して利用システムやサービスをご検討いただけましたら大変嬉しく思います。
クリエイトアコード自身としては、本ページを作成するくらいにはWordPressが好きですが、WordPressが絶対とは思っていません。
「セキュリティリスクへの認識がうまく伝えにくい(伝わりにくい)」課題があること、「導入ハードルは低くなったものの、自身で運用していくには、ある程度の操作方法の習得コストもかかる(制作コストは別)」ことから、ヒアリングの上でWordPressが不適切と思う場合は別のシステムやサービスを勧めます。
また、ホームページが必ず必要とは限らないケースもあることから、決して安いとは言えない制作費と運用・保守管理コストをかけてもホームページを作る必要があるのか、総合的に判断して提案するようにしています。
ホームページやECサイトが欲しい方、WordPressの導入を検討している方は、ヒアリングの上でクライアント・利用者(閲覧者)にとって最適なシステム・サービスの提案をさせていただきますので、クリエイトアコードまで遠慮なくご相談いただけましたら幸いです。
本サイトのお問い合わせやSNSのDM以外では、ココナラ等でも受け付けています。
WordPressを使ってホームページを制作したり、プラグインやテーマを制作する人たち、関連する人たちへ
すでに分かっている人たちにとっては今更な話ではありますし、正しい情報発信をし続けている人にとっては「お前に言われたくねーよ」って話になってしまいますが、何卒お付き合いいただけましたら幸いです。
我々が当たり前に思うWordPressの「セキュリティ対策に対する取り組み」「正しい保守管理・運用方法」は、一般の方々には、あまり伝わっていないものと心得た方が良いです。
もし、これに対して思うことがあるなら、正しい情報発信を怠ってしまっている証左なので、是非とも正しい情報発信をしてください。クリエイトアコードや有識者の方々が発信するだけじゃ不足しているから、色々なところで「WordPressは危ない」という端的な情報だけが広まってしまうと考えています。
WordPressを利用して恩恵を受けている人たち皆で正しい情報発信を行うことで正しい認識が広まると信じていますし、WordPressを守ることだけではなく今ある別のシステムたちや今後生まれるシステムたちを守ることにも繋がるとも思っています。
ご協力のほど、何卒よろしくお願い申し上げます。
最初にクリエイトアコード自身のことを
今回、こうしてまとめページを作ることにしましたが、クリエイトアコード自身は保守管理とセキュリティ対策をメインにしたサービス提供はしていません。セキュリティ対策への取り組みは行っているし簡易的な診断等はしていますが、保守管理やセキュリティ対策に関しては、高いお金を払おうとも専門家の方が良いと考えているため、必要に応じて専門家が提供するサービスを強く勧める所存です。
クリエイトアコードとしては「セキュリティ対策はしないよりした方が良い! セキュリティ対策をするなら、なるべく正しい知識で!」と思うので、できる範囲でセキュリティ対策のお手伝いをしています。
大事なこと1「WordPressを選ぶ上で大切な考え」
WordPressを利用してホームページを制作する方も多いと思います。
もちろん、クリエイトアコードもWordPressを利用してホームページを制作する人ではあります。ですが、「WordPressは攻撃されやすいシステムであり、セキュリティ対策を行う必要がある」「利用システムとしてWordPressを選ぶ以上、セキュリティ対策について【パスワードを強固にすること】も含めた最低限のセキュリティ対策についてクライアントに説明する義務を負う」システムである以上、制作して納品したら終わりにしてはいけないと思うのです。
もし、できないのであれば、WordPressを選ばない方が自身にとってもクライアントにとっても良いと個人的には考えます。
また、WordPressを選ばなくても、最低限、【パスワードを強固にすること】はクライアント(利用者)に伝える必要があること、何卒ご留意いただけましたら幸いです。
大事なこと2「ホームページ自体が、作ったらスタートである。完成がゴールではない」
ホームページ自体が「作ったらスタート」である以上、作ったら終わりにする考え自体を改めた方が良いのではと、余計なお世話ながら思う次第。
今回はWordPressについての話をしているけど、「WordPressは危ない」というような端的な情報だけが広まってしまい、サービスが終了してしまった場合、我々の仕事もなくなることに繋がりかねません。このことを認識し、クライアントに対しても正しい利用方法と正しい管理方法を伝えるようにサポートすることを強く推奨します。「費用が割に合わない」と思うかもしれませんが、費用が割に合わない料金設定をしないことが大前提であり、それができなくても、「正しい利用と正しい管理方法が必要だから、保守管理を依頼してほしい」と伝えて依頼先を紹介するなど、何らかの形でできることはあるのではないでしょうか。
作って納品して終わりにしてしまうことが一番良くないと考えているので、今回はこのように言わせていただきました。参考になりましたら幸いです。
WordPress公式のセキュリティ対策の取り組みについて
詳しくは、バージョンとしては少々古いものの、WordPress公式サイト(日本語版)のページを見ていただくのが良いかと思いますが、なるべく本ページ内で完結させるようにしたいので、こちらでもまとめていきます。なるべく分かりやすく試みましたが、専門的な用語も多いので、各取り組みの説明の最後に「簡潔なまとめ」をつけました。よく分からない方はそれだけでも見ていただけたら嬉しいです!
取り組み1「WordPress セキュリティチームがある」
専門家の集団で構成されているチームの約半数はWordPress.comの運営企業(Automattic)の従業員で、メンバーの多くはWebセキュリティの分野で働いており、著名で信頼できるセキュリティ研究者やホスティング(サーバーをネットワーク経由で顧客に貸し出す)会社への相談も行っているそうです。
具体的な取り組み「WordPress 同梱の XML-RPC API(とてもざっくり言うとAPIはアプリとプログラムを繋ぐ機能のようなもの) で使用されている PHP XML パーサー(機能)の脆弱性を解決する」および、具体的な取り組みはWordPressと同様のシステム「Drupal」と連携して対応したことも明記されていました。
簡潔なまとめ
専門家の集団(チーム)としてWordPress本体のセキュリティ対策に取り組んでいるよ!
取り組み2「セキュリティの問題のパッチ(後からくっつけるプログラム)をリリース」
即時のセキュリティリリースとするか次回のWordPressソフトウェアリリースに含めるかは問題の深刻度によりますが、WordPressのニュースサイトにリリースを発表・変更を詳細に説明するように努めており、WordPressソフトウェアの利用者(管理者)のサイトダッシュボードにアップグレードの通知を表示させています。
それだけではなく、自動バッググラウンドアップデートとして自動的にインストール(見えないところで更新)するようにもなっています。
アップグレードした後に変更点の詳細を記載した画面が表示されるのも、情報発信に努めているからのようですね!
簡潔なまとめ
WordPress本体を常に最新の状態に保つことで最低限のセキュリティ対策ができるようにしています!
取り組み3「この他、技術的な取り組みや利用者へのフォローなど、色々取り組んでいる!」
WordPressでは不正なコードが注入されないようにするための機能やAPIが用意されています。
WordPressは自由なシステムであるため、テーマやプラグインの配布も数多くあるため、不正なコードが注入されないよう、取り組みを行っています。
技術的な取り組みでは、ユーザーアカウントの管理や認証のほか、ユーザーID・名前・パスワードなどの詳細はサーバー側で管理されるようになっていて、標準的な Salt 化(ランダムな文字列をパスワードに付与する仕組み)やストレッチ技術(十分な時間をかけても元のデータを推測できなくするための手段の技術のこと)を用いてデータベースで保護されるようになっています。
また、ログイン状態を維持する場合に必要なセッション(接続開始から切断までの一連の通信のこと)はログアウトまたは一定時間経過後で破棄されるようになっています。
以降、ざっくりと説明すると「Webサイトの脆弱性を利用し、記述言語であるHTMLに悪質なスクリプト(簡易プログラム)を埋め込む攻撃と言われるクロスサイトスクリプティング (XSS)への対応として入力したデータが安全であることを保証する機能の提供」や「許可されていないリクエスト(データの送信や処理の要求)を防ぐ」などの取り組みをしています。
利用者へのフォローとしては、「サイトヘルス」ツールを提供することで、WordPress利用者がなるべく安心に使っていただけるように取り組んでいます。(サイトヘルスは、バージョン5.2から導入された機能のようです)
簡潔なまとめ
WordPress本体を安心して利用者に使ってもらえるよう、技術的にも利用者へのフォローにも取り組んでいるよ!
WordPress利用者は「サイトヘルス」を使ってみよう!
WordPress利用者が行うセキュリティ対策の取り組みについて
詳しくは、WordPress公式サポートフォーラムの説明ページを見ていただくのが良いかと思いますが、なるべく本ページ内で完結させるようにしたいので、こちらでもまとめていきます。なるべく分かりやすくなるように努めつつも、必要に応じて「簡潔なまとめ」をつけましたので、よろしければご活用ください。
【★これを読んでほしいです!★】取り組み1「セキュリティの考え方を学び、対応する」
セキュリティの考え方ですが、一般的には「セキュリティ対策とは何?」から入りますよね。とてもざっくりと言うと、セキュリティ対策はサイバー攻撃(ネットワークを通じてデータ改ざんや情報を盗んだり、システムの破壊を狙う攻撃)をされないように対策することです。
そのために必要なことを簡潔にまとめると、「常に最新の状態を維持すること」「悪意のある人物がアクセスしないように制限すること」「システムの損害を最小化するようにシステムを設定すること」「バックアップを取り、定期的に状況を知ること、バックアップからすぐに復旧できるようにすること」「信頼できないところから入手せず、信頼できるところから入手するように努めること」となります。
簡潔なまとめ
セキュリティ対策をする具体的な対応(赤字は絶対にやってほしいこと)
- アクセス制限を行う(プラグインで対応できる)
- バックアップと復旧できるようにする(プラグインで対応できる)
- 定期的な確認の実施(自分で頻繁に管理画面にログインして異常がないかを確認する、サイトヘルス機能を利用する、監視ソフトウェアを導入するなど)
- パスワードは強固なものにする
- WordPress本体、プラグイン、テーマは常に最新の状態を維持する
- WordPressの公式サイトからテーマやプラグインをダウンロードして使うか、制作者が常に対応しているような信頼があるものを使うようにする
- 最終更新日が数年前のプラグインやテーマは使わない
- 最新のWordPressのバージョンに対応していないものはなるべく使わない(こまめにメンテナンス・アップデートしているところなら、対応バージョンを更新していないだけの可能性もあるので、使いたい場合は制作者に問い合わせてみるといいかも)
【★これを読んでほしいです!★】取り組み2「使っているパソコンやスマートフォンを保護する」
WordPress(ブラウザ、アプリケーション)を使うパソコンやスマートフォンがスパイウェア・マルウェア・ウイルスに感染していたら意味がありません。「好きにしてくれ」と言っているものです。
なので、OSやソフトウェアは最新版にしておき、ブラウザも最新版に更新しておくようにしましょう。
何も入れずとも最低限対策されているようになっているのですが、必要に応じてセキュリティ対策ソフトの導入で保護するようにしましょう。
クリエイトアコード自身、セキュリティ対策ソフトを使用しています。基本的には、電気屋で販売されていて知名度が高いものを選んでおけば大丈夫だと思います。
導入の際は、口コミ等もチェックし、誤検知が少ないかも含めて総合的に判断して選ぶことをオススメします。
【★これを読んでほしいです!★】取り組み3「レンタルサーバー側でもセキュリティ対策をする」
WordPressの簡易インストールに対応しているレンタルサーバーは、レンタルサーバー側でもセキュリティ対策または機能を提供しています。
例としてはWAF(ウェブアプリケーションファイアウォール)や国外IPアクセス制限でしょうか。
デフォルトで有効になっていない場合もあるので、レンタルサーバーの管理画面のセキュリティからご確認いただくことをオススメします。不安な場合はGoogle検索で調べると情報が出てきますが、専門家にご相談いただくと安心いただけると思います。
実のところ、クリエイトアコード自身はWordPress簡易インストール非推奨派です。
理由については別件の記事内で触れているのですが、ここでもざっくりと言うと「パスワードはともかく、ユーザー名やログインURL、データベースの設定で気になる点がある。それらはセキュリティ対策プラグインでもフォローしにくいことがある」と感じているためです。そのため、手動でインストールを行うことを推奨したいのですが、手動だと簡単にインストールできる仕組みになっていないので……。やり方については別件の記事で記載していますが、ご予算があってWordPress手動インストールが気になる方は、導入サポートやインストール代行もしますので、クリエイトアコードまで遠慮なくご相談ください。
まずは「自身でもセキュリティ対策について関心を持つこと」が何よりも大切だと考えています。
レンタルサーバーを選ぶとき、「有名だから」「安いから」だけでは選ばずに「セキュリティ対策はしっかりしているか?」も含めて検討していただけたら嬉しく思います。
使っているセキュリティ対策プラグインと干渉してしまうこともあるので、レンタルサーバーの機能を使うとき(特にデフォルトでOFFになっている機能を使うとき)は気をつけてください。
とはいえ、レンタルサーバーの機能をOFFにすることもオススメしにくく、セキュリティ対策プラグインの機能を無効化にするデメリットもなくはないので、ご自身で対応する自信がない方や不安な方は専門家にご相談いただくと安心いただけると思います。
取り組み4「制作する上で取り組んだほうがいいこと」
ここからは技術的な話も多分に含まれるのですが、以下の取り組みは必要だと考えます。サポートフォーラムのセキュリティ対策の取り組みに関する説明でも記載されています。
- 利用サーバーにFTPクライアントソフトで接続するときは暗号化された接続を利用する(FTPで暗号化の方法を「明示的なFTP over TLSで接続」にするか、またはSFTPで接続する)
- ファイルパーミッションを正しく設定する。基本的にはWordPressインストール標準で問題のないことがほとんど。可能ならwp-config.phpは400(難しい場合は600)で設定する。
- 同一サーバー内に複数のWordPressをインストールするときは別々のデータベースにする。基本的にはレンタルサーバーの設定に従っていれば問題のないことがほとんど。
- 管理者画面へのアクセスを制限して安全に利用できるようにする(プラグインを使う他、様々な方法があるので検討して対応する)
- 管理画面からテーマやプラグインの編集を無効にする(wp-config.phpで設定ができる)
最後に、クリエイトアコードのWordPressに関するサービスを宣伝させてください
ご一読いただき、ありがとうございました。少しでも参考になりましたら嬉しく思います。
最後になりますが、クリエイトアコードの宣伝をさせてください。
クリエイトアコードでは、WordPressに関するサービスをココナラまたは当サイト経由で提供しています。
ココナラ利用者の方はココナラまたは本サイトのお問い合わせから。SNSのDMからでも遠慮なくご相談ください。
WordPressの制作・カスタマイズ等に関するお悩み相談サービス(セキュリティ対策に関するお悩みにも対応)
ご相談・お問い合わせ
ホームページ制作・リニューアル・運用・SEO・Web集客、Webマーケティング・Webサイト制作技術・タスク・スケジュール・プロジェクト管理や業務改善のお悩みなどを遠慮なくご相談ください。
資料ダウンロード
サービスのご利用を社内で検討したい方のために、実績やサービス概要、料金表などのクリエイトアコードの案内資料をPDFでダウンロードすることができます。ご自由にダウンロードください。