WordPressサイト管理で
よくあるお悩み
WordPressのセキュリティ対策に不安を感じている。
WordPressのバージョンアップやプラグインのアップデートだけでセキュリティ対策は充分なのか?
気が付かないうちにWebサイトが落ちていて、そのまま数日も経った…
サーバー管理で専門用語が多くてわからない…
セキュリティ管理・サーバー管理・コンテンツ管理が面倒で、まるっとプロにお任せしたい。
WordPressのセキュリティ対策は
なぜ必要
WordPressは世界で
もっとも利用されるCMS
(コンテンツマネジメントシステム)
WordPressは全CMSの約65%のシェアを占めているので、その分利用者が多いため、狙われやすくなります。
仮にセキュリティ対策が甘ければ、Webサイトが被害を受けたり、またはWebサイトに訪問したユーザーにも被害を与える可能性があります。
WordPressのバージョンアップや
プラグインのアップデートだけで
セキュリティ対策としては不十分
WordPressの本体やプラグインを常に最新にアップデートすることで、ある程度で脆弱性のリスクを回避できたり、最小化できたりしますが、管理者のユーザー名も漏れや管理画面への不正ログインを完全に防ぐことはできません。
よくある攻撃手段としては、
下記のようなやり方があります。
・暗号化レベルの低いSSL接続で転送する情報が盗み見られてしまう
・Webサーバーにおいてあるファイルへのアクセス制限の設定ミスで、本来は見せてはいけないファイルが見られてしまう
・Webサーバーの特定ディレクトリ配下に任意のファイルを置く
・プラグインのSQLインジェクションの脆弱性を利用した攻撃
・phpの設定ミスを使用し、システムの情報を参照し放題
WordPressの脆弱性とは
WordPressの脆弱性とは、プログラムやシステムのセキュリティに欠陥が存在し、
それがエラーやバグが弱点となり、外部から攻撃されやすいことを指します。
WordPressの利用者が多いため、
WordPressサイトを狙う攻撃者も多い
WordPressは個人ブログから、企業コーポレートサイトや政府機関の公式サイトまで幅広く使われています。また、他のCMSと比べて利用者数が圧倒的に多く、攻撃されやすい一面も持っています。
WordPressで作られたWebサイトのソースコードを見ると、コードの記述からWordPressで運用されていることがすぐに分かってしまいます。そして無償で使用できるオープンソースである以上、システムを動かすプログラムの構造もバレてしまい、脆弱な箇所が発見されやすく、突かれやすいからです。
WordPressは無償で使用できる
オープンソースとして公開されている
オープンソースとは、プログラムの設計図にあたるソースコードを無償で公開し、誰でも自由にその仕組みを使用、複製、改良、再配布できるようにすることです。
WordPressはその考え方に基づいて作られていいるため、ほかの有料CMS(Movable Typeなど)と異なり、脆弱な箇所がはっきり見えてしまいます。
ほとんどのエンジニアはWordPressの脆弱な箇所を指摘し、改善するように活発的に動いていますが、一部のハッカーは脆弱な箇所を攻撃し、いろんなWebサイトに悪影響を及ぼしたりします。
簡単に使えるため、WordPressユーザー
のセキュリティ意識が低い
WordPressユーザーのセキュリティ意識が低いことが多くあるため、下記の3つの攻撃手段が最も使われています。
・管理者権限を持っていない人が管理画面にログインしようとする「不正アクセス」
・古いバージョンのWordPressやプラグイン、テーマを狙った「脆弱性を利用した攻撃」
・フィッシング詐欺、売名、架空請求などを目的とする「スパムコメント」
WordPressの脆弱性を
放置した場合に起こるリスク
管理画面への不正アクセス
WordPressの管理画面やデータベースへ不正アクセスされると、Webサイトを改ざんして不正なスクリプトを仕込まれたり、アクセスしたユーザーへスパムサイトへリダイレクトさせることがよくあります。こうした攻撃は「個人情報・機密情報の窃取」や「Webサイトの改ざん」などを目的としているので、かなり大きな被害を与えてしまいます。
また、ネット上で拾った誰でも入手できるソフトウェアを使って、わずか数分でログイン用のIDとパスワードを不正に取得できる可能性もあるので、ログインURLの変更やログインユーザー名・パスワードの強化は必要になって来ます。
Webサイトの不正改ざん
Webサイトの不正改ざんだけでなく、ハッカーがハッキングを行う主な目的は「個人情報の収集」と「コンテンツ・データベースの改ざん」です。
主に以下の6つの被害が挙げられます。
・Googleなどの検索エンジンの検索結果から除外される
・個人情報やクレジットカード情報などの収集
・機密情報の窃取
・ウイルスの拡散
・フィッシングサイトへの誘導
・不正コンテンツの改ざん
WordPressをより
安全・安心に運用したい方、
お気軽にお問い合わせください。
受付時間平日9:30~18:30
被害事例
Webサイトが改ざんされてしまった
こちらは実際に2017年に発生した事件です。
日本郵便株式会社が運営している「国際郵便マイページサービス」にWebサイト改ざんが発生し、個人情報が流出した可能性があることを発表しました。
当時はアプリケーションフレームワークである Apache Struts2の脆弱性を利用した不正アクセスが発生し、「国際郵便マイページサービス」サイトに悪意のあるプログラムが仕込まれことで、2017年3月12日〜3月13日までの間、「国際郵便マイページサービス」サイト上で作成された送り状 1,104件、また同サイト上に登録されているEメールアドレス29,116件が流出した可能性があることが判明しました。
お問い合わせフォームへスパムメールが大量に送られてきた
弊社のお客様で、海外から大量のスパムメールがお問い合わせフォームへ送られてきて困ったという相談がありました。
本当に問い合わせてきたメールが埋もれてしまうため、新規顧客・既存顧客のメールを見落としやすくなり、せっかくの受注を逃したりお客様からの信頼を落としてしまう可能性があります。また、スパムメール送信でメールサーバーの容量が圧迫されるため、容量の上限に達したら新規受信ができなくなってしまいます。
正規Webサイトを偽装したフィッシングサイトに誘導された
自社サイトにアクセスしたはずなのに、数秒で別のサイトに飛ばされてしまう例も増えています。これをリダイレクトといいます。利用者をフィッシングサイトに誘導する本当に悪質なものもあれば、広告収入目当てでいくつものサイトに次々飛ばされるというケースもあります。
2018年、国内官公庁が運営に関与するWebサイトが改ざんされ、Webサイトには正規Webサイトを偽装したページやコンテンツが複数掲載されたことがあります。原因は放置されたWordPressの古いプラグインの脆弱性にあったと推測されています。ハッカーの攻撃手段によってフィッシングサイトに誘導し、個人情報を不正に取得したりします。
Webサイトが改ざんされてしまった
こちらは実際に2017年に発生した事件です。
日本郵便株式会社が運営している「国際郵便マイページサービス」にWebサイト改ざんが発生し、個人情報が流出した可能性があることを発表しました。
当時はアプリケーションフレームワークである Apache Struts2の脆弱性を利用した不正アクセスが発生し、「国際郵便マイページサービス」サイトに悪意のあるプログラムが仕込まれことで、2017年3月12日〜3月13日までの間、「国際郵便マイページサービス」サイト上で作成された送り状 1,104件、また同サイト上に登録されているEメールアドレス29,116件が流出した可能性があることが判明しました。
お問い合わせフォームへスパムメールが大量に送られてきた
弊社のお客様で、海外から大量のスパムメールがお問い合わせフォームへ送られてきて困ったという相談がありました。
本当に問い合わせてきたメールが埋もれてしまうため、新規顧客・既存顧客のメールを見落としやすくなり、せっかくの受注を逃したりお客様からの信頼を落としてしまう可能性があります。また、スパムメール送信でメールサーバーの容量が圧迫されるため、容量の上限に達したら新規受信ができなくなってしまいます。
正規Webサイトを偽装したフィッシングサイトに誘導された
自社サイトにアクセスしたはずなのに、数秒で別のサイトに飛ばされてしまう例も増えています。これをリダイレクトといいます。利用者をフィッシングサイトに誘導する本当に悪質なものもあれば、広告収入目当てでいくつものサイトに次々飛ばされるというケースもあります。
2018年、国内官公庁が運営に関与するWebサイトが改ざんされ、Webサイトには正規Webサイトを偽装したページやコンテンツが複数掲載されたことがあります。原因は放置されたWordPressの古いプラグインの脆弱性にあったと推測されています。ハッカーの攻撃手段によってフィッシングサイトに誘導し、個人情報を不正に取得したりします。
WordPressのログイン画面を強化する
ログイン画面へのアクセスをIPで制限する
ログイン画面にアクセスできるIPを制限することで、多数で不特定のところからログイン画面へアクセスさせないことが可能です。
ログイン画面にBasic認証をかける
ログイン画面のURLを変更するだけでなく、さらにBasic認証もかければ、「二重ログイン」することができるのでセキュリティを高めることができます。
ログイン画面のURLを変更
ログイン画面のURLを変更することで、WordPressのデフォルトのログイン画面への攻撃を回避できます。
ログインに画像認証や2段階認証を追加する
攻撃者は、ソフトウェアによるなりすましを行うことがあります。
ログイン時に人の目による画像認証を取り入れることで、機械によるなりすましを防ぐことができます。
また、日本語を生成できる画像認識機能もあるので、特に海外からも攻撃に有効です。
ログインの失敗回数を制限する
攻撃者はソフトウェアによるパスワードを自動生成して、何度も管理画面のログインを試行します。
試される回数が増えれば増えるほど、ログインを突破されることがありますが、仮に突破されなくて、アクセスが増えることでWebサーバーに負荷がかかるため、Webサイトのパフォーマンスが落ちてページの表示速度が落ちることがあります。それを防ぐためには、ログイン時に決まった回数を失敗したら、一定の時間内でログインできないようにすることが効果的です。
PHPバージョンアップ
WordPress.org日本語によると、2022年8月の時点でWordPressのPHP推奨バージョンは、PHP7.4です。このように常に最新バージョンのWordPressのPHP推奨バージョンを公表しています。
WordPressはPHPで作られたシステムではありますが、WordPressの正常稼働にはサーバーに適切なバージョンのPHPをインストールする必要があります。また、最新のWordPressであればあるほど、必要なPHPのバージョンも新しくなるため、WordPressバージョンアップの更新を行うとともに、PHPのバージョンアップも必要になります。
ユーザーのログイン情報を強化する
ユーザーのログイン情報を、基本的にWebサイトや企業などの情報から推測しやすいものを避けて、WordPressでよく使用されるパスワードなどにすると、攻撃者による不正なログインの原因となる可能性があります。
以下のようなパスワードは避けるべきです。
企業名/ドメイン/電話番号/名前/生年月日/地域名/WordPressでよく使用されるパスワード(admin、passwordなど)
WordPressで制作されたことを隠す
ログイン画面のURLを変更する以外にも、WordPressがWebページに自動で出力するソースコードを確認すれば、WordPressで制作されたことが発覚できます。
WordPressの本体バージョンやAPIのURLなどの情報を隠すことで、攻撃対象になるリスクを軽減できます。
定期的にバックアップを取る
WordPressを利用してWebサイトを運営する上で、サイトデータのバックアップは必須です。
サーバー障害が発生したり、外部からの攻撃を受けてサイトが機能しなかったり、もしくは人為的な操作ミスでデータを削除してもサイトデータを元に戻せるようにしておくことが大事です。
プラグインやテーマを常に最新の状態にする
WordPressはオープンソースで自由にカスタマイズできる一方、バージョンアップやセキュリティ対策も自力で行わなければなりません。
プラグインやテーマを最新版にすることで機能の追加だけではなく脆弱性の修正も含まれています。古いバージョンをアップデートせずにそのまま放置すると、セキュリティ的なリスクが高まるので、常に最新版にすることが必要です。
不要なテーマやプラグインを削除する
WordPressにテーマやプラグインが古い状態のまま放置していると、脆弱性やバグを利用されサイトを乗っ取られる可能性があるので、なるべく不要なものは残さずに削除します。
サーバーのセキュリティ対策機能を使う
WAF(Web Application Firewall:ウェブアプリケーションファイアウォール) とは、簡単に言うとWebサイトの脆弱性をついた攻撃を防ぐためのセキュリティ対策です。
WordPressもWebアプリケーションのため、レンタルサーバーで標準搭載されているWAFを導入できれば、有効化に設定します。
ファイルのパーミッションを適切に設定
パーミッションを適切に設定することで、サイトのセキュリティを強化することができます。
特にwp-config.phpなどのファイルを400もしくは600に変更することで、不正ログインを防ぐためのセキュリティ対策です。
SSL化の設定
常時SSL化することによって、もし第三者によって通信途中のデータをかすめ取るパケット盗聴があってもSSL化されている場合、通信が暗号化されているため簡単に内容を解読されることはないので、この手口によるトラブルのリスクは大きく低減されます。
※WebサイトをSSL化するためには、まずサーバー側で証明書を取得する必要があります。(お客様側が行う)
※サーバー側で証明書を取得しましたら、WordPress側でも設定が必要です。(KIOMIRU側が行う)
海外からの管理画面へのアクセス制限
不正アクセスや改ざん行為などは、海外からの攻撃が目立つため、ログイン画面へのアクセスを日本国内に制限することで、Webサイトが乗っ取らるリクスを大きく軽減できます。
Googleリキャプチャ実装(オプション)
Google reCAPTCHAはGoogleが提供するサービスで、主にボット・スパム対策として、Webサイトに導入されることが多いです。
Google reCAPTCHAの機能は、ユーザーの行動が不審な動きがある場合、botだけを弾くことで、安全性を保ったまま利便性を向上させることができます。
キオミルWPセキュリティーが
選ばれた理由
- 初回セキュリティベーシック診断が無料(レポート付き)
- 検証環境で動作確認後に本番環境で作業実施
- 有人メールサポート付き(セキュリティ以外のことも相談可能)
- 新規制作やリニューアルも対応している法人Web制作会社
- 他社さんが構築したテーマも対応可能
- 単発のセキュリティ強化の他にも、WP保守の委託ができるので長期的に安心
こんな方におすすめ
- WordPressに関しては技術的なことはがプロに任せ、自社のスタッフをサイトのコンテンツ作成に集中してもらいたい
- 他社より料金体系はとてもシンプルなので、いざ契約した後に妙な追加料金は発生しない
- セキュリティ対策以外にも、他のプラスアルファの提案ができるWeb制作会社を探している
料金プラン
a セキュリティ対応と継続的な保守
下記のサービスを毎月実施いたします。
- WordPressの初回セキュリティ対応
- 操作サポート(メール)
- WordPressのセキュリティ強化
- 検証用環境構築
- WordPress本体のアップデート
- 改ざん検査の実施
- プラグインのアップデート
- 月次報告レポートの提出
- 定期バックアップと緊急時の復元
b セキュリティ対応のみ実施
要見積もり
セキュリティ対応のみをご検討の場合、現在ご利用中のサーバ情報やWordPressサイトの運用状況などを確認させていただき、WordPressの管理画面とサーバのセキュリティ状況を調査した上、お客様のご要望に合わせて提案及び見積もりを提示します。
WordPressをより
安全・安心に運用したい方、
お気軽にお問い合わせください。
受付時間平日9:30~18:30
ご利用の流れ
お問い合わせ
まずはお問い合わせフォームからご連絡ください。漠然とした内容でも構いません。
原則1営業日以内に担当より折り返しご連絡をさせていただきます。
ヒヤリング
お問い合わせをいただきましたら、私たちから現在ご利用中のサーバ情報やWordPressサイト、お客様の運用状況などをお尋ねさせていただきます。
セキュリティ診断
概ね、ご契約内容に問題がないようでしたら、WordPressの管理画面とサーバのセキュリティ状況の調査を行わせていただきます。管理画面の開示が不安な場合は別途秘密保持契約を締結することも可能です。
お見積りの提示
先の調査で標準サービスの範疇を超える問題があった場合は別途お見積りを提示いたします。
標準サービスの中で対応可能な場合は、本ページで記載の費用で対応可能です。
ご契約
お見積り内容、サービス内容に問題が無い場合は、契約を締結します。
また、あわせてお支払い用の口座振替用紙を送付いたします。
作業開始
契約締結後、検証環境の準備を行い、セキュリティー強化作業を開始します。
よくあるご質問
他社が制作したWordPressサイトでも契約可能ですか?
もちろん可能です。
まずはお問い合わせください。まずは簡単にWordPressサイト、管理画面とサーバを調査させていただきます。
内容に大きな問題が無いことを確認させていただき、契約となります。
セキュリティ強化だけでなくWordPressを用いてWebサイトを構築することは可能ですか?
もちろん可能です。Webサイト立ち上げ、リニューアルは私たちの得意分野です。
WordPressのセキュリティだけでなく、WordPressを用いてWebサイトを立ち上げたり、リニューアルや保守業務も可能です。
私たちは企業のビジネスに貢献できるWeb制作を得意としており、問い合わせの獲得や採用の強化などを支援しております。
技術サポートも可能でしょうか?
はい。可能です。メールはもちろん、場合によってはお電話でサポートいたします。
たとえば、回数制限が設けられていたり、AIによるサポート体制だったりなどです。キオミルWPセキュリティではサポートに回数制限などは設けておりません。また状況に応じてお電話でサポートすることも可能です。安心してご契約ください。
バックアップ確保もサービスに含まれていますか?
はい。含まれております。
WordPressのセキュリティ強化にはバックアップが欠かせません。WordPressやプラグインのアップデート前やカスタマイズの前にバックアップを確保することで問題に対処できるようになります。バックアップの確保も安心してお任せください。
支払い方法はどのようになりますか?
原則は口座振替となります。
お支払い方法は原則は口座振替になります。
どうしても請求書払いが良いなどの場合には別途ご相談ください。
更新代行や運用の代行も可能でしょうか?
はい。可能です。別途更新代行サービスのご用意もございます。
WordPressサイトのセキュリティ強化だけでなく、更新や運用の代行も可能です。
更新代行をご検討の方は姉妹サービスキオマネをご覧ください。
個人でも契約可能でしょうか?
申し訳ございません。
原則法人様のみを対象とさせていただいております。
キオミルWP保守のサービスは現時点では法人様のみを対象とさせていただいております。