WordPressの脆弱性とは？診断方法や解決のポイントなどを解説

WordPressは広く扱われる便利なCMSですが、さまざまな理由により脆弱性を抱えており、外部からの攻撃を受けてしまうことがあります。そのため、脆弱性診断を定期的に行い、セキュリティ対策を講じることが重要です。この記事では、WordPressの脆弱性、診断の方法やポイントなどについて解説していきます。

WordPressが抱える脆弱性

近年、WordPressが外部から攻撃を受ける事例が増えています。サービス＆セキュリティ株式会社の調査によると、2021年2月から5月にかけてWordPressを狙った攻撃回数が2倍以上に増えました。

WordPressのセキュリティプラグインを提供しているDefiant株式会社も攻撃通信が増加したことを公表しています。2021年の12月7日から9日にかけて、160万以上のWordPressサイトが攻撃されました。

なお、WordPressの脆弱性とは、セキュリティ上の欠陥を表します。プログラムのエラーやバグが弱点となり、外部から不正アクセスやデータ改ざんなどの攻撃を受けやすくなるのです。本体だけではなく、テーマやプラグインからも攻撃を受けることもあります。

プログラム開発者は、設計や実装の段階で不具合が起きないよう注意を払っていますが、まったく穴がないプログラムを作成するのは難しいです。そのため、外部からの攻撃を防ぐためにさまざまなセキュリティ対策を講じる必要があります。

WordPressが脆弱性を抱えている3つの理由

WordPressが脆弱性を抱えている主な理由は、以下の3つです。

1. 世界的にユーザー数が多いから
2. 誰でも容易に使用できるから
3. オープンソースだから

それぞれについて解説します。

1.世界的にユーザー数が多いから

WordPressは、世界で非常に広く利用されています。実際にWordPressサービスを提供するkinstaのデータでは、WordPressのシェア率は全Webサイト中43％、全CMS（Webの専門的な知識を持たない人でもWebサイトやコンテンツの構築ができるシステム）のうち65％を占めているとされています。（※2022年11月時点）

つまり、あなたが普段目にするWebサイトのうち多くがWordPressで作られているということです。

しかし、このようにユーザー数が多いことが原因で、外部からすると大きなダメージを与えやすく、攻撃対象にもなりやすくなっています。

2.誰でも容易に使用できるから

WordPressは、特別なIT知識がないサイト運営の初心者でも使用しやすいことが魅力の1つです。ただし、サイト運営初心者の場合はセキュリティ対策も甘くなりがちで、サイトが外部から狙われやすいという欠点があります。

このように、初心者を含め誰でも容易に使用できるという点も、脆弱性につながっているといえます。

3.オープンソースだから

WordPressはオープンソースであり、ソースコードが世間に公開されています。したがって、プログラミングの知識があれば誰でも自由に編集することができます。しかしこのことが原因で、ハッカーにとっても脆弱性を見つけやすくなっています。

オープンソースであることはWordPressが高い人気を誇る理由の1つですが、それゆえ外部から狙われやすくなってしまうのは難しい問題です。

WordPressのセキュリティ対策の重要性

WordPressでは、サイト運営に必要な個人情報や顧客情報など、重要な情報を管理していることも珍しくありません。しかし、ここまでお話してきたWordPressの脆弱性により、これらの情報が外部に漏れてしまう恐れがあります。もしそうしたことが起きた場合、損害賠償や企業の社会的信用喪失などのリスクがあるため、WordPressのセキュリティ対策は非常に重要です。

WordPressの脆弱性への対策方法としては、定期的なアップデートやメンテナンスなどが挙げられます。具体的な方法と内容につきましては後述します。現時点で何の対策も講じていない場合は、必ず実践しましょう。

WordPressの脆弱性により想定されるリスク

WordPressはユーザー数が非常に多いこと、オープンソースのソフトウェアであること、セキュリティに詳しくなくてもWebサイトが作れることから、攻撃者の標的となりやすい特徴があります。ここでは、WordPressの脆弱性の対策を行わない場合に想定されるリスクを2つ紹介します。

個人情報の漏えい

WordPressの脆弱性を突き、サーバーやWebサイトに不正侵入されると、侵入されたコンピュータに保存していたデータの流出リスクが生じます。

法人の場合には、機密情報の他に、取引先情報、顧客情報、従業員情報など重要なデータを多く取り扱っているため、情報が流出した際の被害は甚大な規模となる傾向があります。事例として、2022年に国内の国立大学のサーバーに不正アクセスがあり、公開講座の申込者などの個人情報が流出した可能性が報告されています。

Webサイトの改ざん

WordPressの脆弱性を悪用し、攻撃者が管理画面に不正にアクセスして、Webサイトの情報を勝手に改ざんしたり、全ての情報を削除してしまうことがあります。

特に、オンラインショップや情報の提供を行うWebサイトでは、事業の中断にまで追い込まれるリスクもあります。2023年には、国内の学校法人がサイバー攻撃を受け、公式サイトのファイルが書き換えられたことで、外部サイトに勝手に誘導される被害が発生しています。この場合、意図せずフィッシング詐欺に加担してしまうことにもつながりかねないため、日頃から対策が必要です。

WordPressの脆弱性で危険なポイント

WordPressの脆弱性で危険なポイントは以下の3つです。少しでも欠陥があれば攻撃を受ける可能性が高まります。

• WordPress本体
• WordPressテーマ
• WordPressプラグイン

脆弱性はプログラムが存在する場所に生じるものです。

それぞれの開発者は設計や実装ミスがないよう注意を払っています。しかし、バグを完全になくすことはできません。

脆弱性は狙われやすいことを前提に、しっかりセキュリティ対策を施しておくのが大切です。

WordPressの脆弱性を狙う攻撃手法

WordPressの脆弱性を狙う主な攻撃手法を以下で5つ紹介します。

• SQLインジェクション
• コンテンツインジェクション
• クロスサイトスクリプティング
• DDoS攻撃
• ブルートフォースアタック

SQLインジェクション

SQLインジェクションとはデータベースに侵入されることです。データベースには重要な情報が詰まっています。個人情報を格納したデータベースに侵入された場合、流出は避けられません。

コンテンツインジェクション

コンテンツインジェクションとはコンテンツを改ざんされることです。以下のようなコンテンツの書き換えや不正挿入が該当します。

• 文章
• 画像
• リンク

知らないうちに自サイトから有害サイトへリンクを貼られているケースも。サイトに訪れたユーザーへ不利益を与える可能性があります。

クロスサイトスクリプティング

クロスサイトスクリプティングとは不正なプログラムを組み込まれることです。サイトに訪れたユーザーがリンクを踏み、悪意のあるサイトへ誘導されます。

誘導先のサイトでマルウェアに感染したり個人情報を盗み取られたりします。

DDoS攻撃

DDos攻撃は、攻撃者が狙いを定めたサーバーやWebサイトに対して、乗っ取った複数のコンピュータを利用して短時間で大量のアクセスを行う、あるいは膨大なデータを送りつける攻撃です。

攻撃を受けたサーバーやWebサイトには非常に大きな負荷がかかるため、その結果、サイトの表示が急激に重くなり、最悪の場合にはサーバーがダウンしサービスの提供が行えなくなります。

1台のコンピュータを用いたDos攻撃であれば、検出したIPアドレスを遮断することで対応可能ですが、DDos攻撃の場合、複数のコンピュータが利用されるため、攻撃者のIPアドレスを特定するのが難しく、DDoS攻撃対策ツールを活用して、被害が拡大する前に対処する必要があります。

ブルートフォースアタック

ブルートフォースアタックは、パスワードを不正に取得するために用いられる攻撃で、「総当たり攻撃」とも呼ばれます。

近年、コンピュータの性能進化が著しく、アルファベットのみの4桁のパスワードであれば、全ての組み合わせの総当たりによりほんの数秒で、パスワードが解読されてしまいます。攻撃者によってパスワードが取得された場合には、Webサイトの改ざんやSNSアカウントの乗っ取りなどのリスクがあります。

対策としてアルファベットの大文字・小文字、数字、記号など利用できる文字を複雑に組み合わせて、最低でも10桁以上のパスワードを設定しましょう。これにより、解読の時間が大幅に長時間化するため、パスワードの流出リスクを低減することが可能です。

WordPressの脆弱性診断とは

WordPressの脆弱性診断とは、WordPressが正常に作動することや、充分なセキュリティ対策ができているかどうかを確認するものです。WordPressの脆弱性診断を定期的に行うことによって、外部から攻撃を受けるリスクを抑えられます。具体的には主に以下のチェックを行います。

• バージョンが最新のものにアップデートされているか
• ウィルスが侵入していないか
• 悪意のあるコードが書きこまれていないか
• SSL（Webサイトとそのサイトを閲覧しているユーザーとのやり取り（通信）を暗号化するための仕組み）の期限は切れていないか
• データの不正アクセスや改ざんがされていないか

上記のようなチェックを行い、問題を抱えている項目があれば対策を行うことで、脆弱性を減らしてセキュリティを高めることができます。

WordPressの脆弱性を診断する方法

WordPressの脆弱性を診断する方法として「サイトヘルス機能」と「脆弱性診断サービス」の2つが挙げられます。それぞれ解説していきます。

サイトヘルス機能

サイトヘルスとは、WordPressの管理画面から脆弱性をチェックできる機能です。WordPress管理画面の「ツール」から「サイトヘルス」を選択することで利用できます。

サイトヘルスは、現在のWebサイトの状態を表示し、問題があればその改善方法を提案してくれます。Webサイトの状態が良好であっても、さらにセキュリティを強化する方法を提案してくれるため安心です。サイトヘルスは無料ですぐに使える機能のため、簡易的なチェックとして使用する際におすすめです。

脆弱性診断サービス

脆弱性診断サービスは、さまざまな企業がWordPressのセキュリティ対策のために提供しているものです。大きく「ブラウザ型サービス」「WordPressプラグイン」「代行サービス」の3種類に分けられます。

・ブラウザ型サービス
サービスサイトにアクセスし、自社サイトのURLを入力して診断できるサービスです。ほとんどが無料かつすぐに使えますが、診断内容が簡易的、また対象がWordPress本体のみでテーマやプラグインまでは診断できないという場合も多いです。

・WordPressプラグイン
プラグインをインストールし診断を行う方法で、こちらは無料・有料ともに存在し、ものによって診断内容も異なってきます。まずはすぐに使用できる無料のものをお試しに使用してみるのもよいでしょう。

・代行サービス
業者がWordPressの脆弱性診断を代行してくれるサービスです。有料のものがほとんどのためコストはかかりますが、プロに任せることで充実した診断が行え、また業務負荷の削減もできます。

運営しているサイトの規模や、セキュリティ対策の知識にあわせてを選びましょう。サイト規模が大きかったり、セキュリティ対策に自信がないという場合は有料サービスを検討するのもおすすめです。

WordPressの脆弱性を解消する8つのポイント

WordPressもの脆弱性を解消するためのポイントは、以下の8つです。

1. WordPress本体・テーマ・プラグインを頻繁にアップデートする
2. ログインパスワードを複雑にする
3. ニックネームを設定する
4. セキュリティ系のプラグインを導入する
5. 使わないプラグインを削除する
6. ログインページのURLを変更する
7. バックアップを取る
8. レンタルサーバーのセキュリティ機能を活用する

では、それぞれについて解説します。

1.WordPress本体・テーマ・プラグインを頻繁にアップデートする

WordPress本体・テーマ・プラグインは、なるべく頻繁にアップデートし、最新の状態を保ちましょう。なぜなら古いバージョンのものは、最新のセキュリティ対策が施されていないため、外部からの攻撃を受けやすいためです。WordPress本体は自動でも更新されますが、テーマやプラグインは手動で更新する必要があります。そのため、テーマやプラグインの更新情報はこまめに確認するようにしましょう。

2.ログインパスワードを複雑にする

WordPressのログインパスワードは、面倒くさがらずに複雑なものにしましょう。単純なパスワードはかんたんに解析されてしまう恐れがあり、例えば「企業名＋設立年」などのパスワードだと容易に突破されるでしょう。

パスワードは、以下の要素を盛り込むのがおすすめです。

• 英数字、小文字、大文字、記号すべてを織り交ぜる
• できるだけ桁数を増やす

3.ニックネームを設定する

ニックネーム設定を忘れてはいけません。ユーザー名が筒抜けになってしまいます。

WordPressでは記事末尾の投稿者名などに、ニックネームが表示されます。しかし初期設定では、ログイン時に使われる「ユーザー名」が表示される仕組みです。

ユーザー名とは別にニックネームを設定しなければ、ログイン情報が筒抜けになるということ。機密情報を守るため、WordPressインストール後は以下の手順でニックネームを設定しましょう。

• 画面左側メニューの「ユーザー」をクリック
• 「プロフィール」をクリック
• ニックネームを設定
• 「ブログ上の表示名」をニックネームに変更
• プロフィールを更新

4.セキュリティ系のプラグインを導入する

セキュリティ系のプラグインを導入するのもおすすめです。導入するだけで基本的なセキュリティ対策を行えます。

おすすめのプラグインは「SiteGuard WP Plugin」。ログインページのURL変更やログイン時の画像認証追加など、不正アクセスを徹底的にブロックしてくれます。

更新すべきプログラムがあればメールで通知されるため、アップデートを忘れることはありません。

5.使わないプラグインを削除する

WordPressのプラグインは、無料かつ容易にインストールできるため、ついつい色々なものをインストールしてしまいがちです。しかし、プラグインの数が増えるにつれて、それだけセキュリティリスクも高まります。使用しないプラグインは削除し、必要最低限のものだけ残すようにしましょう。不要なプラグインを削除することで、管理が楽になるというメリットもあります。

6.ログインページのURLを変更する

WordPressのログインページを変更するのも効果的なセキュリティ対策です。初期のログインページは以下の通り法則があるので、ドメイン名がわかれば誰でもアクセスできます。

“https://ドメイン名//wp-login.php”WordPress本体にはログインページのURLを変更する機能がありません。「SiteGuard WP Plugin」を導入すれば、自動で新しいログインページのURLを生成してくれます。

7.バックアップを取る

WordPressのバックアップはこまめに取りましょう。なぜなら、万が一攻撃を受けた際に、改ざんされたデータをリセットできるためです。WordPressの編集や更新を行ったら、その都度バックアップを取るのがおすすめです。

8.レンタルサーバーのセキュリティ機能を活用する

レンタルサーバーのセキュリティ機能も活用しましょう。WordPress側のセキュリティ対策だけでは不十分なケースがあるからです。

具体的には以下の対策ができます。

セキュリティ対策	内容
ログイン回数制限	一定回数ログインに失敗するとロックがかかる
SSL化	通信を暗号化する WordPressのWebサイトのSSL化をすることで、ハッカーが侵入しにくくなります。SSL化されたWebサイトのURLは、「http」ではなく「https」から始まるため、ユーザーから見てもわかります。したがって、SSL化をすることでユーザーも安心して利用できるようになり、結果としてSEOでも有利になることがあります。
WAF・IPS	攻撃検知、通信遮断

レンタルサーバーによって無料・有料が異なるものです。まずはレンタルサーバーにどのような機能が搭載されているか確認してみてください。

関連記事:WordPressのセキュリティ強化と事例について解説

手放しで安心安全にサイト運用・管理するなら、SPIRALマネージドクラウド

当社のご提供する 「SPIRALマネージドクラウド」は、最高水準のセキュリティを誇るCMSホスティングサービスと、セキュリティのプロフェッショナルによる脆弱性診断・アップデート対応などの保守運用サービスの両方を提供し、手放し運用を実現するフルマネージドサービスです。

Webサイトの運用に必要な対策をオールインワンでご提供。サーバーの各種設定や、パッチインストール作業、不正アクセス調査など、脆弱性対応から万が一のトラブル解決まで、豊富な経験を持つ専任のエンジニアが運用業務を全て代行します。

ローコード開発プラットフォーム スパイラル®と連携するプラグインを用意。官公庁、金融機関も採用する信頼のデータベースで、機密性の高い情報も安心して管理いただけます。個人情報などデータの登録、変更フォームはスパイラル®でセキュアにかんたん導入可能。ログイン認証関連の機能も標準装備しており、サイト構築の工期を大幅に短縮できます。

セキュリティ設定チェックシートの用意や安全なWordPressプラグインの管理表など、豊富な運用実績によるノウハウでハイレベルなセキュリティ要求にも対応します。

また、メガバンクを始め100以上の金融機関に導入されている個人情報運用に最適なセキュリティを備えています。総務省のセキュリティ対策にも準拠。また、第三者機関のセキュリティ診断でも高いセキュリティを評価されています。様々な業界・用途・シーンで延べ12,000以上のご利用実績がございます。

サービスの詳細については「SPIRALマネージドクラウド」のページをご覧いただくか、サービス導入をご検討中の方はこちらからぜひお問い合わせください。

まとめ

WordPressは世界中で広く使われており、多くの魅力を持つシステムです。しかし、WordPressならではの脆弱性によって、外部からの攻撃を受けてしまうことがあります。攻撃の防ぐためにも、脆弱性診断などを行い、セキュリティ対策は入念に行いましょう。最後にご紹介したSPIRALマネージドクラウドは、脆弱性診断を含めた高度なセキュリティ対策が可能ですので、より厳格なセキュリティ体制を保ちたい、情報漏えいに不安がある、といった場合は是非検討してみることをおすすめします。