「ワードプレスはセキュリティの脆弱性がある」という人がいますが、当社では否定しません。
しかしその一方で、セキュリティの脆弱性がないシステムはないとも考えています。
インターネット上にサイトを公開した時点で、多くの人にさらされている訳ですから、悪意のある人がいれば当然に危険にさらされていると言えます。つまり、ワードプレスに限らず、どのようなシステムを利用する場合においても対策をしっかり取ることが重要なのではないでしょうか。

ワードプレスのセキュリティ対策とは？

まずはおすすめのプラグインからご紹介いたします。

セキュリティ対策プラグイン

Login rebuilder（https://ja.wordpress.org/plugins/login-rebuilder/）

※この記事の執筆当初は有効でしたが現在（2023年）にはあまり有効ではありません※

ワードプレスのURLに「/wp-login.php」をつけると一般的にはログインURLになります。
インストールする場所（ディレクトリ）を変えた場合は、たとえば「/wp/wp-login.php」のようになります。
この「/wp/」をランダムな英字にしてセキュリティを強化するといったことは実は対策にはなりません。
サイトで使われている画像のURLを見ると「/wp/wp-content/uploads/○○○.jpg」といった形式になるので、すぐにログインURLはバレてしまいます。
そこでこのプラグインでログインURLを隠してしまおうという訳です。
ちなみに、ログインURLを失念したときの対策もありますので安心してください。

Wordfence Security（https://ja.wordpress.org/plugins/wordfence/）

これは絶対いれた方がよいプラグインです。
有料版もありますが、無料版でも充分威力を発揮してくれます。
このプラグインが、どこを狙われているのか教えてくれます。
当社のサイトも狙われていますが、このプラグインのおかげで今のところ対策はできています。

主な機能として以下が挙げられます。

・適当なIDPWで管理画面にログインしようとする攻撃を防ぎます
・プラグインやテーマにアップデートが来るとアラートを出してくれます
・週次で攻撃を受けた結果をレポートしてくれます

プラグイン以外の対策

もちろん、プラグインに頼った対策だけでは充分とは言えません。
プラグイン以外の対策も紹介いたします。

テーマの対策

使っていないテーマは削除します。
ワードプレスのインストールと当時にインストールされているテーマは通常３つですが、そのうち１つ残すことが推奨されています。残したテーマと使っているテーマは自動更新設定にすることをおすすめします。

⇒テーマをハッカーから守る設定

プラグインの対策

使っていないプラグインは削除します。
更新されていない最終更新日付の古いプラグインは使用を避けます。
プラグインを最新版に更新。できれば自動更新がおススメです。

SVGファイルの取り扱い

SVGとは、Scalable Vector Graphicsの略で、XMLというプログラミング言語を用いた画像形式です。
つまり、プログラムを使っているということは、ウィルスが入っていてもおかしくはないものです。
SVGファイルを使う場合、自作の場合は問題がないのですが、ネット上からダウンロードする場合はソフトウェアやアプリ同様に慎重に扱う必要があります。

当社の場合はごく限られた信頼できるサイトからダウンロードし、ウィルスチェック後に使用しています。

Googleのサービスによる対策

Googleのサービスを使ったセキュリティ対策について説明いたします。

reCaptchaによる保護

お問い合わせフォームで「わたしはロボットではありません」というチェックボックスを見かけたことはありませんか？これは、reCaptcha（https://www.google.com/recaptcha/about/）と呼ばれるグーグルが提供しているセキュリティ対策の1つで、最近はチェックボックスにチェックを入れることなく、監視してくれています。
お問い合わせフォームのスパム対策に最適ですが、ログインURLにも設置することでロボットによるアカウント乗っ取りを避けることができます。

二段階認証ログイン

Google Authenticator（https://ja.wordpress.org/plugins/google-authenticator/）というプラグインをワードプレスに入れ、同じ名前のアプリをAndroidまたはiOS端末にも入れます。
この２つを同期させることで、Googleの二段階認証システムをログイン画面に採用することができます。
つまり、ログインIDPWの他にワンタイムキーが必要になり、それはワードプレスと連動したスマホ画面に表示されることになり、通常では破られないことになります。
この場合、スマホを紛失したり、電源が落ちていたり、スマホが近くにない場合にはログインできなくなりますので注意が必要です。

その他

ワードプレスのログインにはログインIDとPWの組み合わせの他に、メールアドレスとPWという組み合わせでもログインすることが可能です。このことはご存じない方が多くいらっしゃるようです。
一般的に、IDを「admin」にするのは推測されやすいのでやめましょう、と言われますが、通常使っているメールアドレスをアカウントに登録している場合には、ログインIDを世の中に公表しているのと同じことになります。こちらも注意したほうが良いでしょう。

まとめ

冒頭と重複しますが、インターネット上にサイトを公開している以上、ワードプレスだろうとそうでなかろうと、いつでもハッキングされる危険性があると言えます。
しかし、ワードプレスに限っていうと、セキュリティ対策は様々な角度から用意されているとも言えるので、しっかり対策をとれば、必ずしも危険という訳ではありません。

エクスペクト合同会社では、WordPressでのホームページ制作時やサイト運用時のセキュリティ対策についてのご相談も承っております。セキュリティ対策全般についてお悩みの場合、お気軽にご相談ください。