私は3年間で90以上のWordPressサイト制作に携わってきました。
その中で、クライアントサイトがハッキングされる現場にも何度か立ち会いました。
「朝起きたらサイトが真っ白になっていた」
「知らないうちにスパムメールの送信元にされていた」
「管理画面にログインできなくなった」
こんなトラブルは、実は基本的な対策をしていれば防げるものばかりです。
この記事では、90サイト以上の制作・運用で学んだ「本当に必要なセキュリティ対策」を厳選して紹介します。
WordPressは本当にセキュリティが弱いのか?
世界シェア43%の代償
WordPressは世界中のWebサイトの約43%で使われています。
つまり、攻撃者からすると「1つの攻撃手法を見つければ、世界中の大量のサイトを狙える」ということです。
加えて、WordPressはオープンソース。誰でもプログラムの構造を見ることができます。
この2つの理由から、WordPressは攻撃者にとって格好のターゲットになっています。
実際に見た被害事例
3年間で私が実際に見た被害は以下のようなものです。
古いプラグインから侵入
更新を1年以上放置していたプラグインの脆弱性を突かれ、サイトが改ざんされました。
被害内容
- サイト全体のデザインが崩れる
- 知らないページが勝手に追加される
- 不正なリンクが埋め込まれる
復旧費用 10万円以上
簡単なパスワードで不正ログイン
パスワードが「password123」という単純なもので、ブルートフォース攻撃(総当たり攻撃)で突破されました。
被害内容
- 管理画面を乗っ取られる
- 勝手に管理者アカウントを追加される
- サイト内容を自由に改ざんされる
復旧期間 数日〜1週間
知らない間にスパムメール送信
ハッキングされたサイトがスパムメールの送信元として使われ、サーバー会社から警告を受けました。
被害内容
- 大量の迷惑メールの送信元にされる
- サーバー会社から警告を受ける
- 最悪の場合、サーバーごと停止される
でも対策すれば9割は防げる
恐ろしい話ばかりしましたが、安心してください。
WordPress本体は頻繁にセキュリティアップデートが行われており、基本的な対策をしっかりやれば、9割以上の攻撃は防げます。
完璧を目指す必要はありません。これから紹介する7つの対策を実践すれば十分です。
これだけは絶対やるべき7つのセキュリティ対策
パスワードを本気で強化する(最重要)
パスワードの強度で、ハッキングされるまでの時間が劇的に変わります。
パスワード強度と解読時間の目安
| パスワードの種類 | 文字数 | 解読時間 |
|---|---|---|
| 数字のみ | 8桁 | 即座 |
| 小文字のみ | 8桁 | 約25秒 |
| 大文字+小文字 | 8桁 | 約22分 |
| 大文字+小文字+数字 | 8桁 | 約1時間 |
| 大文字+小文字+数字+記号 | 8桁 | 約8時間 |
| 大文字+小文字+数字+記号 | 12桁 | 約34,000年 |
(参考:Hive Systems社の調査データをもとに作成)
推奨するパスワード
- 英大文字・小文字・数字・記号を混ぜる
- 12文字以上
- 辞書にある単語を使わない
絶対にやめるべきパスワード
- 「admin」「password」「123456」
- 誕生日や名前
- 同じパスワードを使い回す
実際、私が見たハッキング事例の約半分は、パスワードが弱かったことが原因でした。私が制作したサイトは大文字+小文字+数字+記号で20桁以上の複雑化したパスワードにしています。
プラグインとテーマは必ず最新版に更新する
更新通知が来たらすぐに対応しましょう。
古いプラグインは脆弱性の宝庫です。攻撃者は「このバージョンのこのプラグインには脆弱性がある」という情報を知っているので、狙い撃ちしてきます。
更新の手順
- WordPress管理画面の「ダッシュボード」→「更新」
- 更新可能なプラグイン・テーマを確認
- 1つずつ更新(一気に全部更新しない)
- 更新後、サイトが正常に動いているか確認
注意点
自分で管理するのが不安な方は、制作会社に管理・保守を依頼しましょう。月額5,000円〜で対応してくれるところが多いです。
使っていないプラグインは削除する
「無効化」ではなく「削除」してください。
無効化しただけだとファイルは残っているので、そこから侵入される可能性があります。
制作会社に「使っていないプラグインがあったら削除してください」と依頼しましょう。
セキュリティプラグインを導入する
おすすめは「SiteGuard WP Plugin」(日本製)です。
SiteGuard WP Pluginの特徴
- 日本語対応で初心者でも使いやすい
- インストールして有効化するだけで基本対策が完了
- 無料で使える
主な機能
- ログインページのURL変更
- ログイン失敗回数の制限
- 画像認証の追加
- ログイン履歴の記録
制作会社に「SiteGuard WP Pluginを入れてください」と依頼すれば、すぐに対応してくれます。
これだけで、不正ログインの9割は防げます。
SSL化は必須(httpからhttpsへ)
SSL化していないサイトは、通信内容が盗み見られる可能性があります。
もはや最低限のマナーです。Googleも「SSL化していないサイトは警告を出す」と公言しています。
SSL化の確認方法
自分のサイトURLが「https://」で始まっていればOK。「http://」ならすぐにSSL化しましょう。
多くのレンタルサーバーでは、無料でSSL化できます。制作会社に依頼すれば設定してくれます。
定期的にバックアップを取る
万が一ハッキングされたときの保険です。
バックアップの頻度
- 更新頻度が高いサイト 週1回
- 更新頻度が低いサイト 月1回
バックアップ方法
- サーバーの自動バックアップ機能を使う(おすすめ)
- 制作会社の管理・保守サービスに含まれているか確認
重要
バックアップがあれば、万が一の時もすぐに復旧できます。これがあるとないとでは、被害の大きさが全く違います。
実際、私が担当したサイトでハッキング被害があったときも、前日のバックアップがあったおかげで30分で復旧できました。
制作会社に確認すべきこと
- バックアップは取ってくれていますか?
- 復旧作業の料金はいくらですか?
これを聞いておくだけで、万が一の時も安心です。
WordPress本体も最新版に更新する
プラグインだけでなく、WordPress本体も定期的に更新しましょう。
セキュリティの脆弱性が見つかるたびに、WordPressチームが修正版をリリースしています。
制作会社に依頼している場合
「WordPress本体の更新もお願いします」と伝えましょう。管理・保守契約に含まれているはずです。
自分で管理している場合
更新前に必ずバックアップを取ってから、「ダッシュボード」→「更新」→「今すぐ更新」
依頼先に確認すべき3つのポイント
制作会社や管理を依頼している会社に、以下を確認しましょう。
定期的にアップデートしてくれていますか?
プラグイン、テーマ、WordPress本体のアップデートは、管理・保守契約に含まれているか確認しましょう。
含まれていない場合、別途費用がかかる可能性があります。
バックアップは取ってくれていますか?
バックアップの頻度と、復旧にかかる費用を確認しましょう。
「バックアップは取っているけど、復旧は別料金」というケースもあります。
セキュリティ対策はどこまでやってくれますか?
- セキュリティプラグインの導入
- SSL化
- 不正アクセスの監視
- 万が一の時の対応
これらが含まれているか、必ず確認しましょう。
定期的にチェックすべきこと
自分でもできる簡単なチェック方法です。
月1回 サイトが正常に動いているか確認
自分のサイトにアクセスして、以下を確認しましょう。
- ページが正常に表示されるか
- リンクが切れていないか
- お問い合わせフォームが動くか
異変に気づいたら、すぐに制作会社に連絡しましょう。
3ヶ月に1回 制作会社に報告を求める
「最近のアップデート状況を教えてください」と聞きましょう。
しっかりした会社なら、すぐに報告してくれます。
報告が曖昧な場合は、管理が行き届いていない可能性があります。
もしハッキングされたら?
万が一ハッキングされた場合の対処法です。
すぐに制作会社に連絡
被害を最小限に抑えるため、気づいた時点ですぐに連絡しましょう。
サーバー会社にも連絡
制作会社と並行して、サーバー会社にも報告しましょう。
サーバーごと停止する必要がある場合もあります。
復旧費用を確認
バックアップからの復旧費用が、管理・保守契約に含まれているか確認しましょう。
含まれていない場合、数万円〜数十万円かかることもあります。
WordPressのセキュリティ対策は制作会社との連携が重要
3年間で90以上のサイト制作に携わってわかったのは、「依頼側がセキュリティ対策の重要性を理解しているかどうか」で、被害のリスクが大きく変わるということです。
依頼側がやるべき7つの対策
- パスワードを12文字以上の複雑なものに設定
- 制作会社にプラグイン・テーマの定期更新を依頼
- 使っていないプラグインの削除を依頼
- セキュリティプラグイン(SiteGuard WP Plugin)の導入を依頼
- SSL化の確認
- バックアップ体制の確認
- WordPress本体の定期更新を依頼
制作会社に確認すべき3つのこと
- 定期的にアップデートしてくれていますか?
- バックアップは取ってくれていますか?
- セキュリティ対策はどこまでやってくれますか?
これらを意識するだけで、WordPressサイトのセキュリティは大きく向上します。
「管理・保守をしっかりやってくれる制作会社を探している」「今の管理体制に不安がある」という方は、お気軽にご相談ください。
MRSでは、WordPressサイトの管理・保守サービスも提供しています。セキュリティ対策からバックアップ、アップデート対応まで、まとめてお任せいただけます。
まずは無料相談でお話ししませんか?
