中小企業のWeb活用
Webマーケティングブログ
Website Utilization Blog
中小企業の皆さまがWebを活用いただけるよう
基本知識から応用まで発信していきます。
Website Utilization Blog
中小企業の皆さまがWebを活用いただけるよう
基本知識から応用まで発信していきます。
Webサイトは対策を施さなければ様々なセキュリティリスクを孕んでいます。特に「WordPress」を用いてWebサイトを運営している場合、WordPress固有のセキュリティリスクへの対策が必要となります。
WordPressは無償で利用できる一方で、セキュリティについては大部分がユーザーの責任となっている為、初期設定のまま放置すると不正ログインや情報の窃取といった被害に遭う可能性があるのです。
今回はWordPressでWebサイトを運用している方々のために、様々なサイバー攻撃を学んでいきながらWordPressにおけるセキュリティ対策方法を解説していきます。
もくじ
まずWebサイトへのサイバー攻撃とは、どういったものがあるのかご説明します。
DDoS攻撃は短期間に大量のデータやアクセスを送信し、サーバーに負荷をかける攻撃手法です。攻撃用のコンピュータから対象のサーバーに処理不能なほどのアクセスを行うことで、Webサイトやサーバーの停止などを意図的に引き起こします。DDoS攻撃は単純ですが悪質なサイバー攻撃の1つであり、他の攻撃手法が登場する以前から存在しています。
DDoS攻撃は古くから存在する手法なので、対策もある程度進んでいます。しかし完全に無くなった訳ではなく、未だに脅威として存在しています。
攻撃を受けるリスクだけではなくマルウェアに感染したPCやIoT機器が、意図せずDDoS攻撃に加担してしまうリスクも存在します。これもまた、DDoS攻撃の恐ろしい点です。
オリジナルのWebサイトに酷似した偽Webサイトを作成し、ユーザーの情報を窃取するケースが存在します。これらの偽Webサイトは、そのデザインや機能が本物と見分けがつかないほど精巧に作られているのが特徴です。
大手企業や自治体名を騙る偽Webサイトが流通し、関連者が注意喚起を行ったというニュースを聞いた方も多いかと思います。このような偽Webサイトに情報を入力し送信してしまうと、個人情報を窃取されるこちはもちろん、入力した情報がIDやパスワードの場合には、入力した情報を元に他のWebサイトへ不正ログインされる可能性も出てきます。
偽WebサイトのURLがメールやSMSで送信される事例は増えており、企業としては自社のWebサイトが偽サイトとして利用されないよう対策を講じる必要があります。
Webサイトはインターネットで常時公開されているため、不正アクセスは避けられない問題となります。ランダムなパスワードを試行し、無理矢理ログインを試みる「ブルートフォース攻撃」や、ランダムなIDを試す「リバースブルートフォース攻撃」などの事例が報告されています。
特にECサイトでは、不正アクセスによる被害事例が多く報告されています。具体的には、
といったトラブルが発生しています。
不正アクセスが一度起きてしまうと、企業のセキュリティ面での信頼性が失われるだけでなく、金銭的な被害が発生する可能性もあります。それにより、ユーザーとの間にトラブルが生じる恐れもありますので注意が必要です。
近年、正規のWebサイトが改ざんされ悪用される動きが広がっています。URL自体は正規のものであるため、専門知識があっても識別が困難な場合が多いです。
具体的には不正アクセスによりWebサイトの内容が編集され、悪意のあるリンクが埋め込まれるなどの改ざん被害が報告されています。
また、直接Webサイトを改ざんする以外のケースも存在します。
「SEOポイズニング」という手法は、特定の検索ワードで偽造サイトを検索結果の上位に表示させ、クリックしたユーザーを偽造サイトに誘導しマルウェアを仕掛ける、という悪質な攻撃です。
SEOポイズニングの特に危険な点は、自社のWebサイトが直接攻撃されるわけではないため、被害に遭っていることに気づきにくいという点です。その為、自社に関連する特定の検索キーワードにおいて、不審なWebサイトが上位表示になっていないか常に確認するなど、運用面での対策が不可欠です。
Webサイトへの攻撃から「Webサイトの改ざん」→「マルウェア感染」→「顧客情報流出」というように、企業Webサイトの攻撃が一連のサイバー攻撃の入り口になっているケースは決して少なくはありません。
しかも前項でご説明したWebサイトへのサイバー攻撃は、昨今では大規模な企業だけでなく様々な企業に幅広く拡大しています。ハッカーたちは、企業規模に関わらずセキュリティが手薄な場所を狙う傾向があります。
中小企業も決して例外ではなく、むしろセキュリティ対策が未熟な場合が多い為、攻撃の対象となりやすい状況にあります。
対応策としては常日頃からセキュリティの対策を怠らないようにしなければなりません。一度でも情報漏洩などが起きてしまえば、企業の評判は一瞬にして地に落ちてしまいます。それを防ぐためにWordPressでサイト運用をする際にはログインURLの変更、IDやパスワードの管理、最新セキュリティプラグインの導入などの初歩的な対策から始め、専門家による監査や、社員一人ひとりのセキュリティ意識の向上に努めることが求められます。
もし仮に実際にサイバー攻撃の被害にあった場合は、速やかかつ適切に対処しなければなりません。その為には攻撃が発生した時の対応計画を立て、危機管理体制を整えておくことが重要です。
既に攻撃が行われたいた場合は、それがさらなる攻撃の道筋を作りかねません。そうした状況を避けるためには、被攻撃後の迅速な対応と、セキュリティホールの修正が必要です。二次災害が起きないよう速やかな対処が不可欠です。
そして必要であれば情報が流出してしまった顧客へ連絡をすることも重要な義務となります。この通知は、関連する情報が不正に使用される可能性を早期に知らせるためのものであり、それが詐欺や他の犯罪から守る役割を果たします。
Webサイトへのサイバー攻撃は避けることができない現実がありますが、しっかりとしたセキュリティ対策と危機管理によって、その被害は最小限に抑えることが可能です。これは大企業だけでなく、中小企業にも等しく求められる責任といえるでしょう。
これまでサイバー攻撃の脅威をご説明してきました。
実はWordPressはセキュリティ面ではあまり強いCMSとは言えません。主な理由は以下の通りです。
WordPressはその利便性と拡張性から世界最大のシェアを誇るCMS(コンテンツ管理システム)となり、多くのWebサイトがこのプラットフォームを活用しています。調査企業「Q-Success」による2023年1月の報告によれば、Webサイト全体の43.1%がWordPressを使用しているとのことです。その普及率は一定数に達し、成長率自体は落ちつきを見せていますが、それだけ広く一般的に使われていることが、このプラットフォームの特徴と言えるでしょう。
しかし、その一方で、WordPressの広範なシェアはサイバーセキュリティ上のリスクをもたらしています。シェアが大きいシステムほど、その攻撃対象となる可能性は高まります。なぜなら、攻撃者にとって多数のサイトを対象とすることで、成功の確率が増え、より大きな影響を及ぼすことが可能になるからです。
WordPressがセキュリティ面で問題を抱えていると言われる理由の一つに、その高いシェアが直接関係しています。この広範な利用状況が、多数のサイバー攻撃に見舞われる原因となっているのです。ただし、これはWordPressのシステム自体に大きな欠陥があるわけではなく、その使用頻度と人気度が攻撃の対象になる確率を高めているに過ぎません。
WordPressはその透明性と自由度の高さから多くの利用者を引きつけています。このCMS(コンテンツ管理システム)は、「オープンソース」という形式で提供されており、そのソースコードは誰でも無料で閲覧・カスタマイズすることが可能です。必要な知識やスキルを持っていれば、WordPressの機能や構造を細かく調べて理解することができ、これがこのプラットフォームの大きな魅力の一つとなっています。
しかし、一方でこのオープンソースの性質は、セキュリティ上のリスクをもたらすこともあります。ソースコードが自由に閲覧できるため、悪意を持つ者がその中身を研究し、攻撃手法を確立することが容易になります。このため、WordPressを使う場合は、ソースコードが公開されている状態であることを理解し、その上で独自のセキュリティ対策を計画・実行することが重要となります。
WordPressはその利便性と自由度から幅広いユーザーに支持されていますが、そのカスタマイズ性の高さがゆえに、初期設定時には基本的な機能しか提供されません。これはセキュリティ機能についても同様で、初期状態のWordPressには特筆すべきセキュリティ機能が搭載されていません。最新バージョンへのアップデートや自動更新を行うことは可能ですが、これらだけでは十分な保護は得られないため、利用者自身でより強固なセキュリティ対策を講じる必要があります。
人的リソースが限られている場合には、最低限の対策としてセキュリティ対策の自動化が推奨されます。これにより、少ない人員でも効果的にセキュリティ体制を維持することが可能になりますが、自動化に慢心するのではなく定期的なセキュリティチェックを行い、自社のWebサイトをセキュアに保ち安全に運用すべきです。
WordPressの初期設定のログインURLが固定されていることはセキュリティ上の大きな懸念となります。
具体的には、WordPressで作成されたWebサイトのURLに「/wp-login.php」を追加すると、ログインページが開くことがあります。これは、Webサイトの初期設定のログインURLが変更されていないためで、これが攻撃者に利用されると、不正なアクセスや情報漏洩のリスクが増大します。
なぜなら、攻撃者がユーザーIDやパスワードを推測または取得した場合、この固定URLから直接サイトに不正アクセスすることが可能となるからです。そのため、WordPressのセキュリティを強化するためには、ログインURLを独自のものに変更し、更に二要素認証などの追加的なセキュリティ対策を行うことが重要です。これらの対策により、WordPressサイトのセキュリティ性は大幅に向上します。
WordPressのプラグインは非常に充実しており、SEOの改善やサイトの読み込み速度の最適化など、多岐にわたる目的に合わせたプラグインの導入が可能です。これらのプラグインは有料・無料含め多種多様で、ユーザーは自身のサイトに合った機能を複数導入することができます。
しかしながら、このプラグインのセキュリティには注意が必要です。提供元によっては、プラグイン自体がセキュリティ面で脆弱であるものや、提供元が個人や小規模企業の場合には突如としてアップデートが停止する可能性があります。更には、企業によるサービス提供終了によりプラグインの更新が途絶えるリスクも存在します。
これらの状況が生じた場合、プラグインはサイバー攻撃の的となりやすくなり、サイト全体のセキュリティが低下する可能性があります。そのため、プラグインの選定には十分な注意を払い、定期的なアップデートの確認と必要に応じての対策が重要です。
WordPressの高度なカスタマイズ性は、自社のニーズに合わせたWebサイトを簡単に構築できる大きなメリットです。テーマやプラグインの利用、さらには独自のコードの導入によって、自社らしさを反映したウェブサイトを作ることが可能です。しかし、これらのカスタマイズが進む一方で、セキュリティ面での問題も同時に増大していきます。
例えば、導入されたテーマやプラグイン、カスタムコードの管理が適切に行われず、その内容や機能が不明瞭になることがあります。また、システムの変更が行われた際に、その内容がチーム内で適切に共有されない場合も問題となります。さらには、これらのシステムを管理していた担当者が退職することで、システムの内部構造が不明確になるリスクも存在します。
これらの問題は、WordPressシステムが”ブラックボックス化”し、理解や管理が困難になる原因となります。この状態では、セキュリティの欠陥が放置されやすく、もしサイバー攻撃が起きた場合、迅速な対応が困難になる可能性があります。
これらのリスクを回避するためには、システムの変更履歴を詳細に記録し、チーム内での情報共有を徹底することが必要です。また、システムを理解し管理できるスキルを持つメンバーの育成や、適切なバックアップ体制の構築も重要となります。
これまでサイバー攻撃の脅威や、WordPressがセキュリティ的に強いCMSではない事をご説明してきました。続いては、初心者へおすすめしたいWordPressのセキュリティ対策プラグインをご紹介していきます。技術面でのセキュリティ対策を強化する際の、参考にしてみてください。
国産のWordPress向けセキュリティプラグインです。
基本的なセキュリティ対策を行う上で欠かせないプラグインになっています。何よりも日本語対応している点はメリットです。
SiteGuard WP Pluginでは、次のような機能が提供されています。
このSiteGuard WP Pluginというプラグインだけで指定URLのアクセスを制御できたり、ログインページから不正アクセスされる被害を防ぐことが出来ます。日本語画像認証で英語圏からの不正ログインを防げるのも大きなメリットです。
まずはこのプラグインをインストールし、自社Webサイトのセキュリティを高めるのがおすすめです。
※こちらのプラグインは過去のバージョンで脆弱性が報告されています。ご使用の際は最新バージョンへのアップデートをお願いいたします。
総合的にいろいろなセキュリティ対策を行いたい方へ、おすすめしたいプラグインです。
不正ログインなどの有害アクセスをシャットダウンするファイアウォールも導入する事ができます。
All In One WP Security & Firewallでは、次の機能が利用できます。
迷惑なスパムコメントをブロックしたり、セキュリティ強度を数値やグラフで確認し十分に対策できているか把握する事ができます。またデータベースのテーブル接頭語などを変更して不正利用を防止するなど様々なセキュリティ設定が可能です。
テキストコピーの禁止などは情報検索性を落とすリスクにつながることもあるので、有効にするかどうかは自社の状況に応じて判断してみてください。
※こちらのプラグインは過去のバージョンで脆弱性が報告されています。ご使用の際は最新バージョンへのアップデートをお願いいたします。
国産のプラグインではありませんが複数の言語に翻訳され、日本語にも対応しているので完全英語のプラグインよりは使いやすいです。管理画面から複数の機能を有効・無効にできるのが特徴となっています。
iThemes Securityでは、主に次のような機能が提供されています。
セキュリティチェックをいつでも表示できるため、数値やグラフで確認しながら効率よくセキュリティ強化が行えるのがポイントです。またダッシュボードへのアクセスを退席中といったステータスを使いながら無効にすることで、不正ログインを防止する事が可能です。
さらにIPアドレスなどを基にアクセスをブロックできるため、DDoS攻撃にも有効です。データベースのバックアップを行う事でサーバートラブルにも対応ができ、かゆい所に手が届くセキュリティプラグインとなっています。
今回は、WordPressのセキュリティに関連する課題、サイバー攻撃への対策、および対策強化のためのおすすめプラグインについて詳しく説明しました。
WordPressはその低コストと使いやすさから多くのユーザーに選ばれていますが、その反面、セキュリティ面での配慮と対策が重要です。システムのバージョンを最新に保つ、ログインIDとパスワードを強固に設定するなどの基本的な対策に加え、セキュリティプラグインによる強化対策も重要です。
本記事で紹介したセキュリティプラグインを活用し、安全かつ効果的なWordPressの運用を実現してください。
自社のWebマーケティングを強化したい
Web中心のビジネス戦略を策定できるパートナーを探している
Webサイトをリニューアルして成果を上げたい
Webサイト制作会社の業者選定のポイント
中小企業に必要なWebマーケティングとは 必要な理由や注意すべきポイントを解説!
Googleマイビジネスのクチコミ投稿をQRコードで簡単に!
集客に効果的なホームページ作成のポイントとは
【担当者必見】ホームページ制作の依頼前に準備しておきたいこと
Webサイトの制作前に決める重要な事 目的とゴール設定について理解しよう!
「MAツール」って何?マーケティングオートメーションの解説からツールの活用法まで
Googleマイビジネスの登録項目を解説!最悪の場合ガイドライン違反になることも