WordPressの脆弱性によるリスクとは？セキュリティを高める方法を紹介

WordPressの脆弱性の3つの特徴

WordPressの脆弱性とは、プログラム不具合や構造の穴による「セキュリティの欠陥」のことです。WordPressはアップデートによりセキュリティ対策の精度を上げていますが、以下の脆弱性の特徴を持ちます。

世界中のユーザー数と脆弱性のレポートを踏まえると、WordPressのセキュリティ対策は高精度といえます。

Webサイト運営においてセキュリティ対策は重要なため、特徴を把握しておきましょう。

1. WordPressは誰でも利用できるオープンソース

WordPressは、世界中にユーザーを持つオープンソースです。オープンソースとは、WordPressを構成するプログラムを無償で一般公開しているソフトウェアのことです。

プログラムを公表することで、誰でもプログラムを調査したり拡張したりできる半面、ハッカーも同様にプログラムを見られます。ハッカーもWordPressのシステム情報を知れるため、セキュリティ対策は必要です。

2. ユーザー数が多い

W3Techsの調査（2022年12月1日時点）によるCMS市場のシェア率は、第1位がWordPressで63.6%でした。第2位のShopifyのシェア率5.6%と比較すると、世界中の人がWordPressを利用していることがわかります。

ハッカーは支持者が多いプログラムを攻撃するため、世界中にユーザーを持つWordPressは標的にされやすいです。

3. WordPressのプラグインに脆弱性がある

WordPressのプラグインは誰でも開発できる一方で、脆弱によりハッキングやウイルス感染などのリスクが高まっています。

さまざまなシステムの脆弱性の情報を公開しているJVN iPedIaでは、WordPressのプラグインに関する情報がたくさんあります。プラグインは便利ですが、セキュリティ対策が脆弱な場合もあるため注意が必要です。

セキュリティの脆弱性による3つのリスク

セキュリティ性能が高いとはいえ、WordPressの脆弱性のリスクを把握することは重要です。セキュリティの脆弱性によるリスクは主に以下の3つが挙げられます。

健全なWebサイト運営に欠かせない内容のため、必ず確認しておきましょう。

1. マルウェア感染

マルウェアとは、スマホやパソコンなどの機器に悪影響を及ぼすソフトウェアやプログラムのことです。マルウェア感染の代表例は、次のとおりです。

マルウェア感染は、他にもさまざまな手口があるため特に注意が必要です。

マルウェア感染を防ぐためには、ソフトウェアの定期的なアップデートや不審なリンクや添付ファイルを不用意に開かないようにしましょう。

2. 個人情報の漏洩

セキュリティが脆弱である場合、個人情報が漏洩するリスクがあります。ハッカーはWebサイトへの訪問者に加えて、Webサイト運営者の個人情報も標的の1つです。

ハッカーは、WordPress内に保管されている情報やパソコン内の情報を盗もうとします。実際に、ハッカーがWebサイトからクレジットカード情報を抜き取った事例があります。ECサイトを運営の方は、個人情報の流出を防ぐよう対策を練りましょう。

3. 発信情報の改ざん

セキュリティ対策が弱いと、ハッカーがWebサイトの情報を改ざんするリスクもあります。ユーザーを別サイトに飛ばしたり、不正なコードを埋め込み個人情報を盗んだり、改ざん手口は多種多様です。

Webサイトへのアクセス数が下がり気味で離脱者が多くなってきた場合は、情報が改ざんされていないかチェックしてもよいでしょう。

WordPressの脆弱性の確認方法

WordPressに脆弱性があると、不正アクセスされたり、個人情報の漏洩が起きたりします。個人や企業の情報を守るためにも、必ず脆弱性を確認しなければなりません。

WordPressの脆弱性を確認できる無料・有料のサービスを3つずつ紹介します。

無料のサービスは以下の3つです。

有料のサービスは以下の3つです。

WordPressの脆弱性は無料と有料のどちらでも確認できますが、有料の方ができることが多いです。無料の場合、WordPressの診断のみですが、有料では既知のマルウェアやウイルスなどの診断も可能です。

確認できる精度を上げたい場合、有料のサービスを利用しましょう。

WordPressのセキュリティを高める方法7選

Web運用初心者の方でも試せる、セキュリティ精度を高める方法を7つ解説します。具体的な方法は、次のとおりです。

ユーザーに安全なコンテンツを届けるために欠かせないポイントのため、ひとつずつ詳しく解説します。

1. WordPressを最新バージョンに更新する

WordPressを最新バージョンにアップデートすることで、セキュリティ対策を高められます。WordPressのアップデート内容は、主に以下の5つです。

高速化を図るものもあるため、更新通知を受け取ったら必ずアップデートしましょう。

2. テーマ・プラグインを最新バージョンに更新する

WordPressのテーマやプラグインを更新することでも、セキュリティ対策を向上できます。WordPressのテーマ・プラグインを最新にすることで、古いバージョンのセキュリティの脆弱性を修正できるため、セキュリティを向上できます。

WordPress同様、更新内容はさまざまですが、セキュリティ強化を図るアップデートもあるため、必ず更新しておきましょう。ハッカーは、テーマやプラグインの弱点を見つけて攻撃してくるため、常に最新状態に保つことが大切です。

3. 不要なテーマ・プラグインを削除する

使っていないテーマやプラグインを残しておくと、セキュリティのリスクを高めます。特にプラグインは脆弱なものもあるため、最小限のプラグインだけ残すことが理想的です。

プラグインには「無効化」機能がありますが、無効化にしてもセキュリティ対策につながりません。WordPress内にデータが残っている状態なため、適切な方法で削除しましょう。

4. パスワードを複雑にする

ログインパスワードを複雑にすることは、効果的なセキュリティ対策につながります。WordPressは、Goolgeのように段階的な認証ではありません。IDとパスワードを解読されると、ハッカーに侵入されます。

独立行政法人 情報処理推進機構はパスワードの使い回しをやめるよう忠告しています。推奨されているパスワードの条件は以下のとおりです。

パスワードを設定する際の参考にしてください。

5. プラグインでセキュリティを強化する

脆弱なプラグインがある一方で、セキュリティを強化できるものもあります。代表的なプラグインは『All In One WP Security＆Firewall』です。

『All In One WP Security＆Firewall』をインストールすると、次のことができます。

WordPressを活用する際は、All In One WP Security＆Firewallを必ずインストールしましょう。

6. ログインページのURLを変更する

ログインページのURLを変更することで、ハッカーがログインページにアクセスできなくなり、セキュリティ対策ができます。通常のURLはデフォルトで「/wp-login.php」になっており、他のWordPressユーザーと同じです。

ハッカーはWordPressサイトのURL（ドメイン名）がわかればログインページにアクセスできる可能性が高いでしょう。「SiteGuard WP Plugin」で簡単にログインページURLを変更できるため、セキュリティ対策を強化するのにおすすめです。

7. パソコンを最新バージョンに更新する

WordPress本体やプラグイン、テーマの更新だけではなく、パソコンのOSも最新プログラムに更新しましょう。WordPressでのセキュリティ対策は万全でも、パソコンのセキュリティが脆弱では意味がありません。

ハッカーの攻撃による情報漏洩や情報改ざんのリスクを少しでも下げるためには、パソコンの更新も欠かせません。OSの不具合やシステムの欠陥を減らし、セキュリティ対策を強化することが重要です。

WordPressの脆弱性を狙った攻撃事例

WordPressの脆弱性を狙った攻撃事例を3件紹介します。ハッカーがWordPressのどのような脆弱性を狙って攻撃するのかを理解し、セキュリティ対策を進めましょう。

それぞれ解説します。

1. REST APIの脆弱性を狙ったゼロデイ攻撃

2017年、ハッカーがWordPressに組み込まれた「REST API（元はプラグイン）」の脆弱性を攻撃した事例です。ハッカーは脆弱性への対策が講じられる前を狙い（ゼロデイ攻撃）、世界で150万以上のWebサイトを攻撃しました。

当初「REST API」はプラグインで提供され、特定のURLへアクセスしWordPressに登録された情報を参照・更新できるツールでした。WordPress 4.7に組み込まれ脆弱性が表面化し、攻撃される事態となりました。

2. OneToneの脆弱性を狙ったデータベースハック

2020年、WordPressテーマ「OneTone」において、認証なしでデータベースに侵入できる脆弱性が発覚しました。ハッカーがWebサイトのプログラムに、検索ユーザーを別サイトへ飛ばす（リダイレクトハック）コードを埋め込む被害が相継ぎました。

テーマ開発者によるプログラム修正は行われず、テーマ変更を余儀なくされたWebサイトもありました。ユーザーが多いテーマを使う時は、セキュリティ対策の確認も必要です。

3. Fancyboxの脆弱性を狙ったクロスサイトスクリプティング（XSS）

プラグイン「Fancybox」が、ハッカーによる攻撃を受けた事例です。ハッカーは「Fancybox」の脆弱な部分からWebサイトに侵入し、悪質サイトへ誘導（クロスサイトスクリプティング）していました。

プラグインは便利なツールではありますが、脆弱性を予め調べることが大切です。インストール数が多いほど安心しがちなため、セキュリティ対策の部分もあわせて確認すべきです。

まとめ

WordPressの脆弱性によるリスクや特徴、セキュリティを高める方法などを解説しました。WordPressに脆弱性があると、個人情報や企業情報の漏洩が発生します。

企業情報には、顧客情報も含まれているため、必ずセキュリティを高めなければなりません。セキュリティの高いWebサイトを構築する必要があります。

比較ビズは、多数のWebサイト構築の外注先から自社にぴったりのホームページ制作会社を探せる無料の比較サイトです。2分ほどの簡単な情報入力で、多数の外注先を比較できます。Webサイト構築をしたいと考えている方は、ぜひ1度比較ビズを利用してください。

監修者のコメント

SeekNext合同会社

代表 兼 CEO　佐藤 潤嗣

福岡県のホームページ制作会社代表。福岡県出身。趣味はフットサル。システム会社、ホームページ制作会社に勤務した後、SeekNext合同会社を立ち上げる。福岡を中心に全国のサイト制作・運用に携わっている。中小企業はもちろん大手企業との制作実績あり。制作したホームページは100件以上。SEO対策やSNS運用でも実績あり。動画制作や名刺・チラシ・パンフレット・パッケージデザインなども手がける。

詳しく見る

WordPressは世界中でも多くの方に利用されているCMSであり、とても便利なツールとなっています。メリットが多数のツールになりますが、最大のデメリットはセキュリティ対策といっても過言ではありません。

セキュリティ対策自体は上限がない施策になるため、上を見るとキリがない施策になりまねかねません。「自社のサイトでどれほどのセキュリティ対策が必要なのか？」「どれほどの予算を用意しているのか？」などを総合的に判断して対策していくことを推奨をしています。

ただし、サイト運営者として最低限しておかなければならない施策もあるので、以下の対策は最低でも行っておきましょう。

１：パスワードの強固
２：SSLの導入
３：デフォルトのユーザー名の使用をしない
４：WordPress、テーマ、プラグインのアップデート
５：セキュリティのプラグインやWAFの導入


上記の施策を行っておくことだけでも、被害を受ける可能性を大幅に軽減することが可能ですので、是非対策しておきましょう。もし、もっとセキュリティが強固なシステムやサイトにしたい場合は、初心者では構築不可能ですので、専門家に相談しましょう。

執筆者

比較ビズ編集部では、BtoB向けに様々な業種の発注に役立つ情報を発信。「発注先の選び方を知りたい」「外注する際の費用相場を知りたい」といった疑問を編集部のメンバーが分かりやすく解説しています。