WordPressのセキュリティは弱い？脆弱性や対策をプロが解説【2024年最新版】

様々な機能を持ち、世界中で使われているCMSの代表格としてのWordPressですが、便利な反面、常に危険にさらされていることをご存知ですか？

• 「WordPressでサイトを運営しているがセキュリティ面で不安だ」
• 「そのセキュリティをどうにかしたいが何から手をつけていいかわからない」
• 「セキュリティ問題を解決する方法やプラグインを知りたい」

このような悩みを解決するため、本記事ではWordPressを安心して運用するためにWordPressのセキュリティを強化する方法やプラグインをご紹介します。

ぜひ最後まで読んでいただき、外部からの攻撃に立ち向かうことのできる「強い」WordPressにしておきましょう。

※WordPressに強い制作会社をお探しの方は、こちらをご覧ください。
関連記事：【プロが厳選】WordPressに強い優良ホームページ制作会社を総まとめ！

もしくは、すぐにおすすめの制作会社を知りたい方はWeb幹事にお問い合わせください。

【無料】Wordpressに強い会社を紹介してもらう

【2024年11月最新版】

WordPressがセキュリティに弱いってホント！？

なぜWordPressはセキュリティ弱いと言われるのか？

WordPressがセキュリティに弱いと言われる理由は次の３つと言われています。

• 多くのユーザーが利用しているメジャーなCMSのため。
• 使いやすいCMSなので初心者のユーザーが多いため。
• 無償で使えるオープンソースなのでセキュリティホールが発見されやすいため。

WordPressは個人のブログから、アメリカ・ホワイトハウスの公式サイトまで幅広く使われているCMSです。

そのため他のCMSと比べてもユーザー数が圧倒的に多く、攻撃をされやすい一面を持っています。
またサイトのソースコードを見ると、そのサイトがWordPressで運用されていることがすぐに分かってしまいます。そして無償で使えるオープンソースは、WordPressを動かすプログラム構造も分かってしまうため、脆弱な箇所が発見されやすく、そこを突いてくるためです。

WordPressの脆弱性

WordPressはオープンソースという「誰でも自由にその仕組みを見ることができ、みんなで作っていく」という考え方に基づいて作られています。

そのため他の有料CMS（Movable Typeなど）と異なり、すべてオープンなため脆弱な部分もはっきり見えてしまいます。
WordPressは多くの良識あるエンジニアであればその部分を的確に指摘し、改善するように求めています。しかし中には一部の悪意のあるエンジニアが脆弱な部分を攻撃して世界に影響を及ぼすこともしたりします。

WordPressは高機能なCMS機能を無料で使えるという、とても魅力的なCMSではありますが、すべてのプログラムコードが見えること、常に脆弱な部分があることをしっかり頭に入れておいてください。WordPressを安心して使うためにも、この記事で紹介する対策方法を行ってください。

【無料】Wordpressに強い会社を紹介してもらう

WordPressのセキュリティで起こるリスク

WordPressでセキュリティ対策が必要なことは理解できたと思います。ではワードプレスにはどんなリスクがあるのか？主に下記に2つが考えられます。

• 情報の改ざん
• 情報の漏えい

情報の改ざん

WordPressで作ったホームページに侵入され、勝手に情報が書き換えられてしまうリスクがあります。知らないうちに内容が変わってしまうこと、訪問者が訪れてもホームページが正しく表示されないなどの危険性があるので注意が必要です。

情報の漏えい

情報の改ざんも困りますが、もっと怖いのはWordPressのホームページにある個人情報などが漏洩してしまうこと。情報漏洩の責任はサイトの運営社が取ることになり、大問題に発展しかねません。会員サイトなど個人情報を取り扱っている場合は特に注意が必要です。

【無料】Wordpressに強い会社を紹介してもらう

Wordpressを利用するなら診断を定期的に行う

WordPressのセキュリティリスクについて、無料で簡単に診断するツールがありますので、代表的なものをご紹介します。

WPScans.com

WPScans.com公式サイト

WPScans.comは、診断したいWordPressサイトのURLを入力してボタンをクリックするだけで簡易的な診断をしてくれます。より詳細なレポートを受け取るためには毎月19ユーロ（約2,400円・2020.01.17現在）の支払いが必要です。
使い方はいたって簡単。「Your WordPress URL」にURLを入力し、下のチェックボックスにチェックを入れたら「START SCAN」ボタンをクリックします。

しばらくすると診断結果が表示されます。

「Your WordPress website is safe !」と表示されたら問題ありません。
ここまでは無料で利用できます。より詳細なレポートは有償サービスで提供されますので、簡易的な診断でしたらここまでで問題ありません。

WPdoctor

WPdoctor公式サイト

WPdoctorもWordPressセキュリティ診断サービスとして有名です。
WPScan.comと異なり、無料でもかなり詳しく診断してくれます。
使い方は上記リンクのページを開き、少し下にスクロールするとフォームがありますので、診断したいURLを入力して「サイトを検索」をクリックしてください。

しばらくすると結果が表示されます。

レポートには緊急対応を要する項目と、注意が必要な項目が表示されます。
これを一つ一つ対応していくことで、より高度なセキュリティ対策を行うことができます。
他にも使っているWordPressのバージョンやテーマ、導入されているプラグインなどのバージョン情報も表示されます。

【無料】Wordpressにおすすめの会社を紹介してもらう

WordPressのセキュリティを高めるおすすめプラグイン

SiteGuard WP Plugin

SiteGuard WP Plugin 公式サイトへ

SiteGuard WP Pluginは日本語対応されているセキュリティプラグインで、管理画面とログインページ保護に特化しています。

このプラグインには、

• WordPress管理画面のログインページURLを変更
• ログイン情報の入力に画像認証を追加
• WordPress本体やプラグインのアップデート情報をメールに配信

などの機能が装備されています。
このプラグインを使って常にWordPressを最新の状態にしつつ、ログインページを保護することができますので、初めてセキュリティ対策をする方でも簡単に運用することができます。

これを導入したら、「SiteGuard」メニューをクリックしてダッシュボードを表示させます。
すると設定状況が表示され、どのような対策をしているかが一目でわかるようになっています。

上図のようにチェックマークが緑になっている項目を使う設定にしておけば十分です。
セキュリティレベルを上げすぎてログインできなくなったというケースもありますのでご注意を。

画像認証を使えるようにすると、ログイン画面が下のようになります。

All In One WP Security & Firewall

All In One WP Security & Firewall WordPressページ

All In One WP Security & Firewallプラグインは管理画面のURLを変更し、ブログ記事のコメントに簡単な計算をさせるフォームを追加して、スパムメールを防止したりするプラグインです。
すべて英語で表記されているので、一見難しく感じますが、２点に絞って設定することでセキュリティ対策をすることができます。

プラグインをインストールしたら管理画面左側メニューから「WP Secutiry」をクリックします。
その中にある「User Login」をクリックします。

上２つのチェックボックスにチェックを入れて画面下にある「Save Settings」ボタンをクリックします。User Loginではパスワードを数回間違ったときに一定時間ログインページにアクセスできなくなるようにする、という設定です。

チェックボックスの数字は上から順に「ログイン試行回数」「ログインできる時間（分）」「ロックがかかる制限時間（分）」です。上図では、ログイン回数は３回までで５分以内、失敗したときは60分後に再アクセスできるという設定です。

もう一つの設定は「Brute Force」です。これは海外からWordPressの管理画面URLにアクセスするのを遮断する設定です。
多くのWordPressへのサイバー攻撃は海外からのアクセスのため、この設定をしておきましょう。

設定方法は、WP Securityメニューから「Brute Force」クリックしたら、「Enable Rename Login Page Feature:」にチェックを入れ、「Enable Rename Login Page Feature:」の入力欄に任意の文字列を半角英数字で入力し「Save Settings」ボタンをクリックします。

【無料】Wordpressに強い会社を紹介してもらう

WordPressのセキュリティ強化の方法9選！

WordPressのセキュリティを強化する方法を9つ紹介します。

1. ユーザー名、パスワードの強化
2. 最新バージョンへのアップデート
3. 不要なプラグインの削除
4. セキュリティ用のプラグイン設置
5. FTPソフトの設定を変える
6. WAFを導入する
7. WordPressのバージョン情報を非表示にする
8. 定期的にバックアップを取得しておく
9. プロにコンサル、運用保守を依頼する

強固にするためには9つ全部やることをおすすめします。

管理画面のユーザー名、パスワードの強化

ユーザー名とニックネームを一緒にしない

まず管理画面のユーザー名ですが、よくあるものとして「ユーザー名とニックネームが同じ」というケースがあります。
これを意識しないことが大変多いので、ユーザー管理でユーザー名とニックネームを分けて管理してください。
ニックネームとはブログを見たときに出てくる「この記事を書いた人」のようなものです。

設定には、WordPressの管理画面で「ユーザー」メニューから「ユーザー一覧をクリックします。

ニックネームを変えたいユーザー名にマウスを当てて「編集」をクリックします。

「ニックネーム（必須）」にユーザー名とは異なるものを入力して（日本語OK）、いったん画面下部にあるプロフィールを更新ボタンをクリックします。

次にそのままの画面で「ブログ上の表示名」からプルダウンで設定したニックネームを選び、プロフィール更新ボタンをクリックします。これで設定完了です。

きちんとニックネームが変わったかどうかを確認するため、投稿メニューをクリックして投稿一覧を表示させます。

作成者がニックネームになっていたら設定完了です。
投稿を見てみても変わったことが分かりました。

パスワードは9文字以上

安易なパスワード設定は、ハッキングのリスクを増やします。
パスワードを誕生日にする、ユーザー名とパスワードを同じするなどは絶対NG。

パスワードは少なくとも9文字以上にして、上の画像の「強力」になるように設定しましょう。
自分のパスワードを忘れたら本末転倒なので、どこかにメモすることも大事です。

ログインパスワードについては定期的に変更することが理想ですが、なかなか難しいかと思います。その代わりに解読されにくいパスワートを設定しておくことをオススメします。

とはいえ、なかなか解読されにくいパスワードを考えるのは結構大変です。
そのようなときには文字列を自動生成してくれるWebサービスを使ってパスワードを作成する方法をご紹介します。

パスワード生成サービスもおすすめ

LUFTTOOLさんのサイトにあるパスワード生成サービスを使ってパスワードに使う文字列を生成しましょう。
強度や文字、文字数などを設定して「生成」ボタンをクリックすると、指定された数のパスワード用文字列が出来上がります。

なお「パスワードデータをダウンロード」ボタンをクリックすると、テキストファイルとしてダウンロードすることもできます。

最新バージョンにアップデートする

WordPressを最新バージョンにアップデートすることもセキュリティ対策になります。
バージョンアップでは機能だけでなく、ハッカー攻撃に対する脆弱性の改善も行われるので必須。

WordPress本体のバージョンアップは、上のように管理画面の「概要」から更新できます。

WordPress本体をはじめ、インストールしたプラグインやテーマはセキュリティホールなど脆弱性が発見されるとバージョンアップをします。
常日頃管理画面にある更新に関する表示をチェックして、バージョンアップを行ってください。

バージョンアップする際は注意しなければいけないポイントがありますので、『【初心者向け】WordPressのバージョン確認方法&最新バージョンにする方法を解説！』を必ずお読みください。

不活用プラグインの削除

不要なプラグインを削除することはセキュリティ対策の一つ。
プラグインを停止にしてもWordPressの中にはデータを抱えているのでハッキングの可能性があります。安全面を考えると不要なプラグインは「停止」よりも「削除」がベターです。

プラグインもアップデートしないと、脆弱性を残したままの状態になってしまい、仮に使っていなかったとしても攻撃の対象になってしまいますので、使っていないプラグインがありましたら削除しておきましょう。

※例えばWebフォントを使わなければこのプラグインは不要です。

セキュリティ用プラグインの設置

WordPressのプラグインにはセキュリティ対策ができるものも数多く用意されています。WordPressの管理画面からインストールできるセキュリティ用プラグインはすべて無料で利用でき、使い勝手のいいものもあります。

WordPressを導入したら、始めにセキュリティプラグインをインストールしておきましょう。
筆者オススメのプラグインについては、この後の「WordPressのセキュリティを高めるおすすめプラグイン」にてご紹介します。

FTPソフトで設定できる「ファイルの属性（パーミッション）」を400に【中級者向け】

WordPressには「wp-config.php」という重要なPHPファイルがあります。
この中にはデータベース接続の情報（ID、パスワード）や動作に関わる情報が記載されています。

このファイルを外部からアクセスできるようになってしまうと、勝手に設定内容を変更されたり、乗っ取られたりする危険性があります。

これを防ぐために、FTPソフトを使ってファイルの属性（パーミッション）を変更します。

まずFTPソフト（*）を使ってWordPressがインストールされているサーバーにアクセスします。
* FTPソフトには「FFFTP」や「FileZilla」などのフリーソフトが便利です。

wp-config.phpはWordPressがインストールされているフォルダ直下にあります。
wp-config.phpをクリックして選択し、サブメニューを表示させます（Windowsなら右クリック、Macならcontrolキーを押しながらクリックします）。

サブメニューの中にFFFTPなら「属性の変更」、FileZillaなら「パーミッションの変更」というメニューがあるので、クリックします。

※画面キャプチャはFileZillaです。

すると属性を設定できる画面が表示されるので、FFFTPなら「現在の属性」、FileZillaのときは「属性値」に『400』を入力して、OKボタンをクリックします。
これでパーミッションの変更が完了です。

どうしてパーミッションを400にするかは、上の画面キャプチャを見てください。
属性値の上に３つのパーミッションがあり、それぞれ「読み取り」「書き込み」「実行」とあり、所有者のパーミッションのみ読み取りにチェックが入っています。

これは所有者つまりWordPressを管理しているユーザーのみが読み取りが可能になり、他のユーザーはアクセスすらできない、という意味合いになります。

なおパーミッションを400に変更する際、利用しているレンタルサーバーによっては変更できないことがあります。そのときはwp-config.phpと同じ場所にある「.htaccess」という設定ファイルに以下の内容を改行の位置もそのままにして追記して保存します。

<files wp-config.php>
order allow,deny
deny from all
</files>

もしくは所有者のみ読み取りと書き取りができる「600」というパーミッションを設定することもできます。なおWordPress.comでは「600」を推奨しています。

WAFを導入する

画像引用：Canon

5つ目はWAF（ワフ）を導入すること。「Web Application Firewall」の略で、ホームページを保護するセキュリティ対策の製品です。不審な情報を拒否し、許可された情報のみWordPressに通過します。設置方法は数種類で、サーバーにソフトをインストールしたり、ネットワーク機器として独立して設置したりする方式。有料になりますが、セキュリティ対策として有効です。詳しくは下記のサイトをご覧ください。

参考：Webアプリケーションファイアーウォール（WAF） SiteGuard

WordPressのバージョン情報を非表示にする

WordPressはバージョン情報が表示されますが、古いままだと管理が甘いと判断され、ハッカーなどから狙われやすくなる可能性があります。

何も指定な状態の場合、下記のようにバージョンが表示されます。

<meta name="generator" content="WordPress 〇〇（バージョン）" />

そこで、下記のコードを追加してみましょう。

remove_action('wp_head','wp_generator');

これでWordPressのバージョンが表示されなくなります。

定期的にバックアップを取得しておく

Wordpressのセキュリティを強化する8つ目の方法は、定期的にバックアップを取得することです。

バックアップを取得しておけば、下記のような不測の事態に対処できます。

・不正アクセスによる改ざん
・アップデートで起こる不具合
・カスタマイズによる不具合

不正アクセスによりWebサイトが改ざんされても、バックアップが残っていれば、その情報をもとにサイトを復元できます。アップデート・カスタマイズ時に不具合が発生した場合も同様です。

ただしバックアップの間隔が長すぎると、以前の状態に復元できたとしても、サイトの情報が古くなる恐れがあります。

最新の状態を保ってサイト運営するためにも、バックアップは定期的に取得する必要があるのです。

プロにコンサル、運用保守を依頼する

最後は、プロのホームページ制作会社にWordPressサイトのアドバイスをもらう、運用保守だけ依頼することです。自分でできる対策を紹介しましたが、やはりプロに依頼するのが最も強固だと言えます。絶対に安心というわけではありませんが、多くのサイトのセキュリティ対策を手がけるプロは知見やノウハウも豊富です。万が一、不正アクセスを受けたあとの処理などのアドバイスももらえるでしょう。おすすめの会社を紹介して欲しい方はWeb幹事にご相談ください。相談料も、紹介料も一切かからない完全無料のサービスです。

【無料】Wordpressにおすすめの会社を紹介してもらう

実際にあったWordPressへの攻撃事例

プラグインを狙った詐欺サイト自動転送

2019年春頃から、特定のプラグインに対するサイバー攻撃が発生しました。
サイバー攻撃を受けたプラグインには詐欺サイトへの自動転送プログラムが組み込まれます。
攻撃されたWordPressサイトを表示すると勝手に詐欺サイトに転送されるという動作が発生して多大なる影響を与えました。

狙われたプラグインは「Yuzo Related Posts」で、ブログページの下に関連記事を表示させる機能を持つものです。プラグインの脆弱性を狙ったもので、話題になりました。

WordPressを狙った大量メール送信プログラム埋め込み

これは私のクライアントさんで起きたことなのですが、WordPressの脆弱性を狙い、メール送信プログラムが埋め込まれるというサイバー攻撃がありました。
幸いにも不正なプログラムを検知する仕組みをサーバー側で実施していたので、メールの大量送信はされませんでした。

しかし不正なプログラムをもつファイルは広範囲に渡って埋め込まれており、すべて削除するのに半月を要しました。

問い合わせフォームなどのプラグインを狙ったものではなく、WordPressのコメントフォームを狙ったものと判明しました。

【無料】Wordpressに強い会社を紹介してもらう

WordPressのセキュリティで問題が発生した場合

どれだけセキュリティ対策を厳重にしても不正アクセスを受けることはあります。セキュリティで問題が発生した場合は、以下の2つを考えてみましょう。

PCやサーバーの確認をする
WordPress以外のホームページを検討する

PCやサーバーの確認をする

セキュリティに問題が発生した場合、WordPressで作ったホームページだけでなく、PC全体に問題ないか、サーバーの他のデータに問題がないかもチェックしましょう。場合によってはサーバー内部のデータを全部リセットする必要もあります。

WordPress以外のホームページを検討する

不正アクセスを受けてしまった場合、対処や復旧が終わればWordPress以外のホームページを検討するのも一つです。

それぞれの作成方法の特徴は下記の記事も参考にしてみてください。

関連記事：ホームページを自分で制作（作成）する方法、おすすめツール、費用を解説！

WordPressから引っ越しする場合

画像引用：wix

WordPressから他のツールなどに引っ越しする場合、データの移行方法は各ツールによって異なります。上の画像はWixに変換する場合の方法。「ワードプレス 〇〇（移行するツール名） 移行」などで検索するといいでしょう。

【リスクがあるなら】Wordpressを使わない選択もあり

Wordpressがセキュリティ的に自社と合わない、リスクが伴う場合には、以下の方法もおすすめです。

• 自社独自のCMSを開発する
• SaaS系作成ツールを活用する
• 名詞型静的Webサイトを活用する
• 企業ブログならブログサービス活用

自社独自のCMSを開発する

CMSとは、初心者でもサイト構築・運用ができるシステムのことです。

自社独自のCMSを導入すれば、サイトの統一感が出せる上にSEO対策も強化できるため、Webマーケティングの現場で幅広く利用されています。

その他、自社独自のCMS導入で得られるメリットは下記の通りです。

• 保守管理のコストが減らせる
• コーディングの知識が不要
• セキュリティが強化できる

Wordpressでの運用に不安があれば、自社独自のCMSの運用もおすすめです。

SaaS系作成ツールの活用

SaaS（サービスとしてのソフトウェア）とは、企業や組織の中で活用されるクラウドサービスのことです。

各種テンプレートを適用させてWebサイトを作ることができるので、コードの知識がなくても簡単にハイクオリティなWebサイトの作成ができる点が特徴的。

SaaS系Webサイト作成ツールは下記の通りです。

• Webflow
• Wix
• Jimdo
• ペライチ
• Goope
• Ameba Ownd
• Weebly

プログラミングの必要がなく、サーバー環境を選ぶこともなくすぐにコンテンツの編集ができるため、簡単にWebサイトを作成したい場合にはおすすめです。

静的Webサイトを活用する

静的Webサイトとは、HTMLとCSSのみで生成されているWebページのことで、サイト運営者が更新しなければ表示内容が変わりません。

静的Webサイトの代表例は下記の通りです。

• クリエイターのポートフォリオサイト
• 閲覧のみ可能なWebサイト

一方で動的なWebサイトの例は下記の通りです。

• YouTube
• Instagram
• 動的な動きをするWebサイト

また、静的なWebサイトは以下のツールで作成ができます。

• Hugo(ヒューゴ)
• Metalsmith(メタルスミス)

静的Webサイトの詳細は下記の記事で解説していますので、ぜひご覧ください。

関連記事：ホームページ制作で使われるプログラミング言語｜静的サイト・動的サイトごとに紹介

ブログサービスを活用する

企業ブログを作成するなら、ブログサービスの活用がおすすめです。

ブログサービスでは、HTMLやCSSなどのプログラミング言語を使わずに、希望するブログの作成が可能です。

一般的に企業ブログとして活用されているサービスは下記の通りです。

• はてなブログ
• Amebaブログ
• ライブドアブログ
• note
  
• Lekumo
• 楽天ブログ
• Google Blogger

上記の各サービスはテンプレートが利用できる上に、セキュリティ対策も整っているため、パソコン操作に慣れていない初心者にもおすすめです。

ただ、サービスによっては独自ドメインが取れない可能性もあるため、その点は要注意です。

【無料】Wordpressに強い会社を紹介してもらう

【まとめ】WordPressのセキュリティを高めて脆弱性の少ない運用を

いかがでしたか？WordPressのセキュリティについて理解が深まったかなと思います。
WordPressは常にアップデートしていることを頭に入れながら運用してください。
最低限行って欲しいセキュリティ対策をまとめました。

1. 必ずユーザー名とニックネームを別にする
2. 定期的にパスワードを変更する
3. WordPress本体、プラグイン、テーマのバージョン管理を徹底する
4. 定期的にセキュリティ検査を行う

これらを行った上で先にご紹介したプラグインを活用したりして、サイバー攻撃に強いWordPressサイトを目指してください。

その他、WordPressに関するデメリットは以下の記事を参考にしてください。

関連記事：WordPressのデメリット。拡張性と自由度が高いCMS「WordPress」の弱点とその対処法

Wordpressのサイト制作をプロに任せたい方へ

制作会社をなかなか探す時間がない・制作会社の違いが分からないという方は、ぜひWeb幹事にご相談ください。
Web幹事は、あなたに最適な会社を「人力で」マッチングするサービス。
実際にWeb制作・運用を経験したプロのコンサルタントが対応するため、業者選びの手間なく、質の高いマッチングを受けることが可能です！

コンサルタントのご紹介 代表取締役
岩田 真 2015年にWeb制作会社を設立し、
3年間で上場企業を含む50社以上制作に携わらせていただきました。

ホームページ制作のオンライン相談窓口「Web幹事」は、35,000件を超える豊富な相談実績と幅広い知識で、お客様のあらゆるニーズにお応えします。

Web制作業界のプロが丁寧にヒアリングしますので、
初心者の方でも安心してご相談ください！

あなたの目的や予算に合わせて最適な会社をご紹介させていただきます。
ご相談はもちろん無料。また紹介された会社に必ず発注する必要はありません。

【無料】Wordpressに強い会社を紹介してもらう