会員管理WordPressプラグインの記事
ARTICLEWordPressのセキュリティは安全?仕組みや対策方法を解説
WordPressはプログラミングの知識がない人でもWebサイトを作成・更新できるツールです。WordPressは利用者が多い分、脆弱性も指摘されています。WordPressのセキュリティ性を高める4つの対策方法を解説します。
目次
WordPressとは?仕組みは?
WordPressとは2003年にリリースされた、Webサイトを構築するためのオープンソースのCMS(コンテンツ管理システム)です。
CMSにはさまざまな種類がありますが、WordPressは最もシェア率の高いCMSであり、世界中の多くのWebサイトがWordPressを使って作られています。
ここではWordPressとは何か、特徴や仕組みについて見ていきましょう。
利用者が多くネット上に情報が多いCMS
WordPressは最も利用者の多いCMSです。実際に全世界にあるWebサイトの3分の1がWordPressで構築されていて、日本国内では500万人以上の利用者がいます。(参考:https://webst8.com/blog/wordpress-cms-share/)
利用者が多いだけあって、WordPressについてインターネットで検索すると大量の情報がヒットします。
そのためWordPressを使っていてわからないことや困ったことがあっても、ネットで検索すればかんたんに解決策を探せるようになっています。
知識がない人でもWebサイトを作成・更新できる
Webサイトを構築するために高度なプログラミング知識が必要なのでは、と不安に思う人もいるでしょう。しかしWordPressはプログラミングの知識がない人でも問題なく操作でき、比較的容易にWebサイトを構築できます。
ページを作る際もブログを更新するようなイメージで行えるので、初心者の人からも高い支持を得ています。
プラグインで容易に機能を追加できる
WordPressには、Webサイトを構築するために必要な機能がある程度標準装備されています。しかしより多機能・高機能なWebサイトを構築しようと思うと、標準機能だけでは物足りなくなってくるでしょう。
そこでWordPressでは「プラグイン」と呼ばれる拡張機能を55,000以上も提供しています。
プラグインを使うことで機能性がグッと高まり、よりユーザーが使いやすいサイトを構築できるようになります。
WordPressのセキュリティは安全なのか?
WordPressは、知識の少ない初心者でも比較的容易にWebサイトを構築できるとても便利なCMSですが、セキュリティ面ではやや不安が残ります。
実際にWordPressにはさまざまな脆弱性が確認されています。
ここではなぜWordPressのセキュリティ面が不安視されるのか、その理由について詳しく解説していきます。
WordPressが狙われやすい理由
WordPressで作られているサイトは、悪意のあるハッカーから標的になりやすいです。
その理由としては、WordPressは世界の全ウェブサイトの43%のシェア率を獲得しており、攻撃者からすれば、シェア率が低いCMS(コンテンツマネジメントシステム)を利用するよりも、シェア率が高いCMSを狙う方が効率的だからです。
以下に人気のあるCMSの比較表がありますが、WordPressが圧倒的な人気があることが一目瞭然となっています。
| シェア率(%) | |
| WordPress | 43% |
| Joomla | 2.6% |
| Drupal | 1.7% |
| Squarespace | 1.5% |
| Wix | 1.3% |
WordPressのセキュリティ面が不安視される理由
WordPressのセキュリティ面が不安視される理由は、まず「オープンソース」のソフトウェアであることが考えられます。
オープンソースソフトウェアとは、プログラムの内容が記述された「ソースコード」を公開しているソフトウェアのことです。
オープンソースであることが原因で脆弱性を見つけやすい状態になっています。
またWordPressの利用者が多いこともセキュリティ面が不安視される理由のひとつです。利用者が多く情報量も多いことはとても便利ですが、一方で攻撃者は攻撃手段や脆弱性を見つけやすいです。
さらにWordPressは初心者ユーザーも多いので、攻撃者から狙われやすくなっています。
実際にどんな被害があるのか?
以下にWordPressサイトの被害について解説します。
Webサイトの改ざん
Webサイトの改ざんとは、Webサイトに不正にアクセスされ、そのWebサイトのページが書き換えられてしまうことを言います。特に大企業などアクセスが集まるサイトや信頼性の高いサイトなどがその対象になる場合が多く、一度被害にあえばユーザーからの信頼を大きく損なってしまうことになります。
個人情報の流出
この個人情報の流出も不正アクセスに基づいた被害の1つで、個人情報を扱うサイトでは特に注意が必要です。
個人情報が流出する仕組みとしては、偽サイトなどに遷移させ、そこでユーザーに個人情報を入力させる方法などがあります。
検索結果に表示されなくなる
Webサイトが悪意のある第三者からの被害にあい、危険なサイトとしてGoogleに認識されてしまうと、検索結果に表示されなくなる場合があります。
サイトからの流入が主な集客手段であった場合、かなり大きな損害になりますし、一度損なってしまった信頼を取り戻すのは非常に困難です。
また、ハッキングからWebサイトを復旧させたとしても、SEOに影響がでることは避けられないでしょう。
WordPressのセキュリティ対策方法
WordPressのセキュリティ面に不安が残ると聞くと、利用するのが怖くなってしまう人もいるでしょう。
確かに脆弱性の多いWordPressですが、しっかりセキュリティ対策をすれば安全に使えます。
ここではWordPressのセキュリティ対策について詳しく解説していきます。
セキュリティ対策プラグインの導入
WordPressのセキュリティ性を高めるためには、以下のようなセキュリティ対策用のプラグインを導入しましょう。
・総合的なセキュリティ対策ができる「All In One WP Security & Firewall」
・管理画面をしっかり守る「SiteGuard WP Plugin」
・WordPressで構築したサイトのバックアップを取得できる「Backup Guard」
・管理画面に対する海外からのアクセスをブロックする「IP Geo Block」
・悪意あるスパムコメントをフィルタリングする「Akismet」
プラグインに対する知識がない人は、ひとまず上記のプラグインを導入検討することをおすすめいたします。
ユーザー名・パスワードの強化
WordPressの管理画面にログインするためには、ユーザーIDとパスワードを入力します。WordPressに対する攻撃は、このログイン画面で多く実行されます。
ユーザーIDやパスワードが流出すると管理画面に不正ログインされてしまい、Webサイトを乗っ取られる・改ざんされるなどの危険性があります。
そのためWordPressの管理画面にログインするためのユーザーIDとパスワードは、単純なものではなく英数字を組み合わせた意味を持たないものにするなど複雑なものにしてください。
定期的なバックアップ、セキュリティチェック
WordPressのセキュリティ性を高めるために、定期的にバックアップをとりセキュリティチェックも行いましょう。
セキュリティチェックをするためには、無料のセキュリティ診断ツールを利用しましょう。
有名なセキュリティ診断ツールに「WPdoctor」があります。WPdoctorではセキュリティチェックしたいWebサイトのURLを入力すれば、詳しく診断してくれるのでおすすめです。
プログラム、プラグインの最新化
WordPressのプログラムやプラグインはバグや不具合が見つかることがあり、バグや不具合が見つかるとアップデートされます。
アップデートするかどうかは自由ですが、アップデートせずそのままにしておくと攻撃者に狙われやすくなります。
そのためプログラムやプラグインのアップデートに関する通知があったら、できるだけ早めにアップデートを行いましょう。
合わせて読みたい記事「WordPressで会員サイトを構築する時のセキュリティ対策を解説」
WordPressのセキュリティプラグインの導入手順
ここでは、WordPressサイトのセキュリティ対策をする上でおすすめのプラグインとその導入手順を解説していきます。
管理画面をしっかり守る「SiteGuard WP Plugin」
「Siteguard wp plugin」とはWordPressの無料プラグインで、インストールするだけでWebサイトのセキュリティを向上させてくれます。
その具体的な内容は、WordPressのログインページのURLを毎回自動的に変更することで不正ログインや不正アクセスを防止を自動的に行ってくれます。
「Siteguard wp plugin」の導入手順
■まずはWordPressの管理画面の【プラグイン】から【新規追加】をクリックします。
■キーワードに「Siteguard wp plugin」と入力し(①)、【今すぐインストール】をクリックします。(②)
■【有効化】をクリックしてインストール完了となります。
これだけで、毎回自動的にログインページのURLを変更し、不正アクセスを防止してくれます。
悪意あるスパムコメントをフィルタリングする「Akismet」
「Akismet」は、ブログ記事になどにくるスパムコメントを自動的にスパムフォルダに移動し、自動で削除してくれる無料のプラグインです。
「Akismet」をインストールしないと、botから自動的に送られてくるスパムコメントを手動でごみ箱に入れなければならなくなってしまうため無駄な作業に時間を奪われてしまいます。
「Akismet」の導入手順
■まずはWordPressの管理画面の【プラグイン】から【新規追加】をクリックします。
■キーワードに「Akismet」と入力し(①)、【今すぐインストール】をクリックします。(②)
■【有効化】をクリックします。
■【有効化】をクリックすると、以下のが画像が表示されるので、
【Akismetアカウントを設定】をクリックします。
■一番左の【personal】の【Get Personal】をクリックします。
■まずは画面右の価格を一番左に設定します。(①)
次に上から順にメールアドレス(②)、氏名(③)、WebサイトのURL(④)、チェック欄にチェックを入れ(➄)【CONTINUE WITH PERSONAL SUBSCRIPTION】をクリックします。(⑦)
■すると、入力したメールアドレスにパスワードコードが届くのでコピーします。
■コピーしたパスワードコードを入力し(①)、【Continue】をクリックします。(②)
■すると、メールでAPIキーが送られてきますのでコピーしておきます。
■次にWordPressの管理画面【設定】から【Akismet Anti-Spam】をクリックします。
■【手動でAPIキーを入力】をクリックします。
■APIキーを入力し(①)、【APIキーを使って接続する】をクリックします。
■これで設定は完了になります。
定期的にバックアップを取得できる「BackWPup」
「BackWPup」とは、あらかじめ指定したスケジュールでWordPressのデータのバックアップをとってくれる無料のプラグインです。
このプラグインを導入しておけば、万が一Webサイトが改ざんされてしまったとしても、自動でバックアップをとってくれているので、改ざんされる前の状態に戻すことができます。
「BackWPup」の導入手順
■まずはWordPressの管理画面の【プラグイン】から【新規追加】をクリックします。
■キーワードに「BackWPup」と入力し(①)、【今すぐインストール】をクリックします。(②)
■【有効化】をクリックします。
■WordPress管理画面に【BackWPup】が追加されているので、その中の【新規ジョブを追加】をクリックします。
■【このジョブの名前】に任意のバックアップ名を入力します(①)
■【このジョブは..】にサイトの何のデータのバックアップをとるのかを選択します。(②デフォルトのままで大丈夫です)
■【アーカイブ名】にバックアップファイルのアーカイブ名を決めます。(③デフォルトのままで大丈夫です)
■【アーカイブ形式】にバックアップの保存形式を選択します。(④)
■【バックアップファイルの保存方法】にバックアップを保存先を選択します。(➄)
■【ログの送信先メールアドレス】に自分のメールアドレスを入力することで、バックアップが保存された時にログを送信してくれます。
■【変更を保存】をクリックします。(⑦)
■次に【スケジュール】のタブをクリックします。(①)
■【ジョブの開始方法】で【WordPressのcron】を選択します。(②)
■【スケジューラ―の種類】で【基本】を選択します。(③【高度】を選択することでより細かい設定を行うことができます。)
■【スケジューラ―】でバックアップのスケジュールをカスタマイズすることができます。(④)
■【変更を保存】をクリックします。(➄)
■【宛先:フォルダー】のタブをクリックします。(①)
■【バックアップを格納するフォルダー】にバックアップを保存するWordPressのフォルダを指定します。(②デフォルトのままで大丈夫です)
■【ファイルを削除】にバックアップを何件残すかを設定します。(③設定した数以上になると古いバックアップから削除されます。)
■【変更を保存】をクリックします(④)
■【DBバックアップ】はWordPressのどのテーブルをバックアップの対象にするかの設定になります。
(デフォルト設定のままで問題ありません。)
■【ファイル】はWordPressのバックアップする各フォルダーを選択することができます。
(デフォルト設定のままで問題ありません。)
■【プラグイン】はバックアップをとるプラグインの一覧のファイル名とファイルの圧縮について設定できます。(デフォルト設定のままで問題ありません。)
これで設定は完了になりますので、次の実際にバックアップをとっていきたいと思います。
■自動バックアップの設定は完了していますが、ここでは、手動でバックアップを取っていきたいと思います。
まずWordPress管理画面の【BackWPup】から【ジョブ】を選択します。
■【今すぐ実行】をクリックします。
■すると、バックアップが開始されて、このように【ジョブ完了】と表示されます。
■バックアップの確認をするためには、【BackWPup】から【バックアップ】を選択します。
■すると、これまでバックアップされたデータ一覧をみることができます。
【ダウンロード】をクリックすることで、バックアップをダウンロードすることができます。
WordPressを導入する際の手順
WordPressを導入するには、ただWordPressをインストールすればよいわけではありません。
WordPressは事前にレンタルサーバーの契約やドメインの取得を行う必要があります。
ここではWordPressの導入方法について詳しく解説していきます。
レンタルサーバーを契約する
WordPressを導入するには、まずレンタルサーバーを契約しましょう。
レンタルサーバーにはさまざまな種類があり、それぞれのレンタル会社によってプランや価格が異なります。
自分のWebサイトの規模や予算、口コミなどを参考にして最適なものを選んでください。
ドメインを取得する
次にドメインを取得しましょう。ドメインとはWebサイトの住所のようなものです。
ドメインには「.com」「.jp」「.net」「.info」などさまざまな種類があります。
そのドメインを選んでもよいですが、それぞれのドメインには特徴があります。たとえば「.com」は最も利用者が多く個人や法人の商用サイトにおすすめです。
自分のサイトの内容や目的にあったドメインを選ぶとよいでしょう。
WordPressで初期登録を行う
ドメインを取得しWordPressをインストールしたら、初期設定を行います。済ませておきたい初期設定としては
・一般設定
・投稿設定
・表示設定
・ディスカッション設定
・メディア設定
・パーマリンク設定
の6つがあります。
合わせて読みたい記事「WordPressで会員サイトを作る方法|導入メリットや作り方も」
WordPressサイトで高セキュリティな会員管理を行うならSPIRAL®
当社のご提供する 「WordPressプラグイン 会員管理」は、WordPressで作られたWebサイトと会員管理システムSPIRAL®を連携するためのWordPressプラグインです。
多くの金融機関も採用するSPIRAL®で会員情報を安全に管理。プログラミング不要で会員認証やメール配信可能なサイトを構築できます。
会員登録・ログインフォーム作成、会員データ管理などの基本機能から、会員限定ページの作成、ウィジェット表示、メール配信、問い合わせ管理、決済システムや外部システムとの連携まで、会員管理・運営に必要な機能が充実。また、金融機関・官公庁でも採用されている高いセキュリティで会員の大切なデータを管理します。
SPIRAL®はファンクラブやユーザーサポートサイト、学会・協会サイト、申請受付サイト、キャンペーン受付サイト、イベント受付管理、入居者サイトなど様々な業界・用途・シーンで延べ11,000社以上のご利用実績がございます。
サービスの詳細については「WordPressプラグイン 会員管理」のページをご覧いただくか、サービス導入をご検討中の方はこちらからぜひお問い合わせください。
まとめ
WordPressは操作がしやすく拡張性も高いため、初心者から上級者にまで利用者が多いCMSです。
メリットの多いWordPressですが、人気がある故に脆弱性が多いのも事実です。
WordPressを利用する際は、自分にできるセキュリティ対策は徹底して行うことが大切です。
