WordPressの脆弱性と対策

「HTMLがわからなくても、簡単にWebサイトが作れる」「更新が簡単」と人気のCMS(コンテンツマネジメントシステム)、WordPress。Webサイトを作る時。知っておきたいWordPressの基礎知識と脆弱性、その対策をまとめました。

WordPressのセキュリティリスク

WordPressのセキュリティリスクは5つあります

Web上に管理画面があるので攻撃されやすい

WordPressは、コードが公開されている「オープンソース」と呼ばれるタイプのCMSです。コードが公開されていることで、不正なプログラムが作られやすい環境にあるといえるでしょう。管理画面がWebうえにあるため、攻撃されやすいので注意が必要です。

PHP言語でできているプログラム

Wordpressを構成しているのは「PHP言語」と呼ばれる、攻撃を受けやすいプログラミング言語。そのためWordPressのバージョンアップは頻繁に行われています。バージョン更新通知があれば、すぐに更新しましょう。

プラグインにサポートはない

世界中のプログラマーが開発しているWordPress向けのプラグイン。プラグインそのものはWordPressがテストしてリリースしたものではないので、バージョンが古いと不具合が発生。プラグインへの攻撃を受けるリスクもありますが、WordPressのサポートはありません。

管理画面がネット上に存在している

WordPressの管理画面はインターネット上に存在します。そのため、不正な手段でログインされてしまうと、内側からサイトの内容を改ざんしたり、サイトの内部にある個人情報を盗み出されてしまいます。

プログラムがブラックボックス化している

WordPressは簡単に扱えるため、構造をあまり理解せずに使っているユーザーが多いです。相手の個人情報を盗み、身代金を奪う「ランサムウェア」を仕掛けられても気づかずにいて、身代金を支払う被害に遭うこともあります。

Wordpressのセキュリティ対策

Wordpressのセキュリティ対策を9種類ご紹介します。

  1. WordPressのバージョンアップを頻繁に行う
  2. データをバックアップしておく
  3. プラグインを頻繁にバージョンアップして、常に最新のものにしておく
  4. アクセス・エラー・負荷などのログを常時チェック
  5. BASIC認証を管理画面に追加して、不正アクセスを防ぐ
  6. パスワードと強化と定期的な変更
  7. 管理者のIPアドレスと国を限定し、権限を制限 
  8. FTPからSFTPへ変更してリモート操作を制限
  9. セキュリティ用プラグインの導入 など

特にデータのバックアップ、WordPressとプラグインを頻繁にバージョンアップすることは重要です。

【まとめ】 

WordPressは、HTMLの知識を持っていなくてもWebサイトが作れる便利なCMS。

しかし、「WordPress本体がオープンソースであるため、改変プログラムが作りやすい」「プラグインが改変しやすい」「管理画面がWeb上にあるので攻撃を受けやすい」などの脆弱性を持っています。
「管理画面への不正アクセスを防ぐ」「セキュリティ用のプラグインを導入」「WordPressとプラグインを、常に最新のバージョンにアップデートしておく」「データのバックアップを取る」などの、基本的なセキュリティ対策を怠らないことが大切です。

このサイトでは、企業のWebサイトに向いているCMSを厳選し、その特徴をまとめています。CMS導入を検討されている方は、ぜひ参考にしてください。

セキュリティが高いおすすめパッケージ型CMS比較

セキュリティが高いおすすめパッケージ型CMS比較

WAF、脆弱性対応、データ暗号化、操作ログの取得とDL、鍵管理(暗号化の鍵管理を行えるかどうか)、
プログラムソースのバージョン管理対応のパッケージ型CMS(2022年3月調査時点)の中から、目的ごとのオススメCMSをご紹介します。

基幹システムと連携できサイト内検索をデフォルト搭載

HeartCore CMS

引用元:HeartCore Webコンテンツ管理システム設定ガイド[PDF]
https://www.heartcore.co.jp/file.jsp?id=49551&version=ja

こんなサイトにおすすめ

導入コストが安く、
DBから情報を自動更新したい
ECサイト・中規模サイト

  • ECサイト
  • 基幹システム
    連携
  • 顧客・SEO解析したい
  • 数千~数万
    ページ
分類 動的CMS
サイト
規模
数千~数万ページ程度
主な
機能
基幹システムとの連携、サイト内検索機能、マルチドメイン、多言語対応(170ヶ国)、SNS連携、ヘッドレス配信機能
導入先企業 日本航空、三菱UFJモルガン・スタンレー証券など

公式サイトから
操作感がわかるデモを
依頼してみる

HeartCore CMSの詳しい機能や
導入事例を見てみる

Adobe Creative Cloudとのネイティブ連携できる唯一のCMS

Adobe Experience
Manager Sites

引用元:Adobe Experience Manager Sites公式HP
https://business.adobe.com/jp/products/experience-manager/sites/aem-sites.html

こんなサイトにおすすめ

豊富なマーケティング機能を駆使して成果改善したい大規模サイト

  • Adobe製品
    と連携
  • 動画や音声を
    利用
  • 大規模な企業
    サイト
  • 数万ページ以上
分類 動的CMS
サイト
規模
数万ページ以上
主な
機能
コンテンツのパーソナライズ化、Adobe製品と連携、ヘッドレス配信機能、マルチサイト管理、翻訳
導入先企業 mastercard、kaoなど

公式サイトから
導入の相談をしてみる

詳しい機能や
導入事例を見てみる

変更したパスワードを本人だけに通知できる

NOREN

引用元:WDONLINE
https://book.mynavi.jp/wdonline/detail_summary/id=102645

こんなサイトにおすすめ

更新頻度は少なめで、より強度なセキュリティを重視とする中規模サイト

  • イントラサイト
  • 多段階承認
    したい
  • 中規模サイト
  • 数千~数万
    ページ
分類 静的CMS
サイト
規模
数千~数万ページ程度
主な
機能
多段階承認フロー、多言語対応(日・英・中・韓)、タイマー自動公開、デザインテンプレート、共通部品
導入先企業 伊藤忠商事、神戸製鋼所など

公式サイトから
操作感がわかる
デモを依頼してみる

詳しい機能や
導入事例を見てみる

※1 動的CMSとは…閲覧者がアクセスするたびにHTMLを生成しユーザーごとに内容を出し分けたり変化させられるCMS
※2 静的CMSとは…閲覧者がアクセスするHTMLページを事前に準備しておくタイプのCMS

【選定条件】
HeartCore CMS…基幹システムとの連携ができ、サイト内検索がデフォルトで組み込まれているパッケージ型CMS
Adobe Experience Manager Sites…Adobe Creative Cloudとのネイティブ連携できる唯一のCMS
NOREN…パスワード変更の際、本人だけにパスワードを通知する機能があり、静的処理を行っているパッケージ型CMS