あなたのWordPressは大丈夫？セキュリティ対策の基本

ワードプレス（WordPress）はシェア世界一のCMSであり、様々な高機能プラグインが開発されていて便利ですが、それは同時に標的になりやすいことを意味します。
セキュリティ対策が不十分な場合、サイトが攻撃されて情報漏洩や改ざんなどにつながります。
一度でも被害にあってしまうと、後処理も含めて色々と厄介なことになってしまうので、きちんと予防することが大切です。
今回はセキュリティを高めるために必要な対策をご紹介します。

ログイン対策

ログイン画面に何度もいろいろなユーザー名とパスワードの組み合わせで、攻撃されることをブルートフォースアタックといいます。
これを対策するためには、ログイン画面や管理画面へのIPアドレス制限やログイン試行回数制限が有効となります。
また、ユーザー名とパスワードを複雑にしておくことも有効な対策です。

• ユーザー名：8文字以上・数字と文字と記号の組み合わせなど

• パスワード：記号を含む20文字以上の複雑な文字

ログイン試行回数制限を設定するためには、SiteGuard WP Pluginの導入が有効です。

SiteGuard WP Plugin

日本の企業（イー・ガーディアン株式会社）が開発しているセキュリティ対策プラグインです。
ログイン試行回数制限に加えて、ログインURLの変更、ログイン画面への画像キャプチャの導入を設定することができます。
https://ja.wordpress.org/plugins/siteguard/

ワードプレス本体およびプラグインの自動・定期更新

ワードプレスの本体やプラグインは頻繁に更新することがセキュリティ面で重要です。
その理由としては、ワードプレスとプラグインはインストール数が多く、色々な組織がセキュリティを調査しており、頻繁に脆弱性が見つかっているためです。
本体とプラグインを頻繁にアップデートすることで、脆弱性が解消されるため、セキュリティ上かなり有効です。

ワードプレス本体の更新

ワードプレス本体のアップデートには、メジャーとマイナーアップデートがありますが、マイナーアップデートはセキュリティアップデートのため、自動でアップデートされるように設定することを強くお勧めします。
一方で、メジャーアップデートを自動更新で有効にすると、プラグインが追い付いていない場合や、仕様・機能変更による影響を受けるケースがあるため、十分に気を付ける必要があります。

プラグインの更新

プラグインについては、更新することで機能が追加されたり、仕様が変更されるケースがあるため、自動更新を有効にする場合は、突然見た目や機能が変わってしまう可能性について十分留意する必要があります。
安全に更新したい場合は、事前にテスト環境でアップデートのリハーサルを行った上で、定期的に（年1・2回）手動アップデートすることで、管理しやすくなります。
※定期的にアップデートしておくことで、深刻な脆弱性が見つかった場合に直ぐにアップデートしやすくなります。

複雑な攻撃への対策

SQLインジェクションやクロスサイトスクリプティング（XSS）などの複雑な攻撃への対策が重要となります。
対策として有効なのが、ファイアウォール（WAF）の導入です。

高度なWAFプロテクションが備わっているサーバーであれば、その機能を利用することが有効となりますが、備わっていない場合は以下のようなプラグインを導入することが可能です。

Wordfence

500万サイト以上の導入実績がある高機能セキュリティプラグインです。
ファイアウォールのルールも常に見直されているなど、セキュリティ全般をカバーしてくれる総合プラグインです。
無料版では最新のブロックルールの適用が30日間遅れるという点がマイナスポイントですが、それでもファイアウォールとしては、かなり優れています。
https://ja.wordpress.org/plugins/wordfence/

All-In-One Security (AIOS) – Security and Firewall

100万サイト以上の導入実績があるセキュリティプラグインです。
Wordfenceのようなリアルタイムでのルールの更新はありませんが、複雑なパターンでのブロックにも対応しています。
若干インターフェースが古い点は気になります。
https://wordpress.org/plugins/all-in-one-wp-security-and-firewall/

Sucuri

マルウェアスキャンやブロックリストによる保護を導入することができます。
ただ、ファイアウォールについては、有料版の限定機能となっているため、無料で導入したい場合は、Wordfenceのほうがメリットが高いものと思われます。
https://ja.wordpress.org/plugins/sucuri-scanner/

スパム対策

スパムはボット（自動プログラム）が何度もメールフォームを繰り返し送信しようとする攻撃です。
攻撃を受けると外部のメールアドレスに大量にメールが送信されるてしまい、これによって送信元ドメインやサーバのIPアドレスの評価が下がり、メールが届きにくくなります。

スパムに有効な対策としては以下があげられます。
どちらか1つを実施するよりも組み合わせたほうが対策としては有効になります。

Google reCAPTCHA

reCAPTCHAはGoogleが提供しているスパムボット検知用の仕組みです。
Google独自のボット判定機能により、スパムボットによるアクセスをはじくことが可能です。
Formidable FormsやContact Form 7などのメールフォームプラグインではGoogleで取得したreCAPTCHAキーを入力するだけで、簡単に導入することができます。

参考：https://www.synergy-marketing.co.jp/blog/using_recaptcha_on_form

Honeypot

ハニーポット（Honeypot）は人間には表示されないフィールドをフォーム内に組み込むことで、スパムが通常の入力欄と誤って自動入力するように誘導して、そのフィールドに入力されている場合はスパムとして判定するといった仕組みになります。
単純な仕組みですが、多くのスパムをはじいた実績があることから重宝されている対策です。

参考：https://sendgrid.kke.co.jp/blog/?p=12747

Cloudflare Turnstile

CAPTCHAの代替としてCDNで有名なCloudflareが開発した仕組みです。
JavaScriptを実行させ様々な情報を入手し、ユーザーがブラウザかどうかを判別します。
Google reCAPTCHA v3と似ているかもしれませんが、ページ表示前に処理される点が違いとしてあります。
https://zenn.dev/kameoncloud/articles/cdf8f67bd8ce6f

ワードプレス保守を外部に委託する

ワードプレスのセキュリティに不安を感じている方は、ワードプレスの保守を扱っている業者に相談するのがおすすめです。
構築済みサイトの保守を依頼できる業者をいくつかピックアップしてみました。

キオミルWP保守

キオミル株式会社というウェブ制作会社が運営しているサービスです。
改ざん検査などのサービスも提供しており、セキュリティ全般をそのままお任せできる内容のようです。

https://kiomiru.co.jp/wordpress-support/

CODIA

コーディア株式会社というウェブ制作会社ではワードプレスの保守を提供しているようです。
サイト保守以外にも広報的な提案もしてくれるようです。

https://codia.co.jp/service/wpsupport/

wp.support

サーバー保守からセキュリティ対策まで一括で依頼できるサービスのようです。
WordPress初期調査費用が無料という点も、相談しやすいですね。

https://wpmake.jp/service/support/wp-support/

まとめ

ワードプレスは便利ですが、同時に狙われやすいので、きちんとしたセキュリティ対策によりサイトを防御することが重要です。
また、セキュリティを高めるためには対策プラグインをインストールして攻撃に備えることが大切です。
セキュリティに関する知識を十分に持ち合わせていない場合は、業者にそのまま保守を依頼するほうが安全といえます。