WordPress セキュリティ対策方法 | 乗っ取りハッキング防止へ

2024.06.13

Contents

WordPress セキュリティ対策方法
乗っ取りハッキング防止へ

ワードプレス改ざん対策で
リスク削減安心の web運用を目指す

このページでは WordPress セキュリティ対策についてご提案していきます。Wordpress セキュリティ対策とは wordpress を乗っ取られたり、ハッキングされたりすることを、極力防いで、ホームページの改ざんや、各種情報（個人情報、機密情報）の漏洩、ウィルスのまん延、詐欺サイトへの誘導サイトにされないようにするための施策です。1度でも、体験されたことがある方は、wordpressへの不正アクセス、乗っ取りによる影響の大きさはわかると思います。リスクの大きな、Wordpress セキュリティを破っての、不正アクセス対策。クロトでは、こういったWordpress セキュリティ対策も、ご支援しております。

wordpressは、魅力的なCMSです。世界でも最大のシェアを誇り、日本でも、多くの企業、団体が活用しています。webサイトを簡単に作れて、更新しやすくできるCMS（コンテンツマネジメントシステム）ですからね。拡張性も高いし、集客効果も高い。それでいて、ライセンス料金は無料。Googleとの相性も良い。もう、至れり尽くせりのwordpress。ですが、それゆえに、サイバー犯罪をしている人から、狙われやすいのも事実です。

なにせ、汎用性が高いCMSなので、だいたいは、同じ設定になっています。それゆえに、不正アクセス、乗っ取りなどが、しやすいのです。これは、事実なので、脅しではありません。かくいう筆者も、企業の担当者から、自社サイトの管理画面のURLを教えて欲しい！と頼まれて、さくっと調べられたことは何回かあります。

wordpressのセキュリティは、このように狙われやすいのですが、しっかりやっておくことで、不正アクセスや、乗っ取りなどのハッキングを防げる可能性は高くなります。防犯意識を高く持つことが、大切！とホームセキュリティでも言われますが、これは、ホームページでも同じです。

ゼロトラスト、なんて言葉をTVやインターネットのニュースで聴いたことがあるかもしれません。これは、基本、外部アクセスは信用しない、ということなのですが、Wordpress セキュリティ対策でも、考え方は、同じです。外部からのアクセスを遮断できるようにしていくことが重要です。そのために、Wordpress セキュリティ対策では wordpress 設定の共通点を、なくしていきますし、基本的に、ワードプレスが提供を始めたセキュリティ対策は、すぐに取り込むようにしていきます。そのための体制づくりや、環境構築を行っていくことが、Wordpress セキュリティ対策です。それゆえ、クロトでは、インハウスでできる施策なども推奨しておりますし、コンサルティングしていっています。

ここで、１つ、Wordpress セキュリティ対策しなかったときのリスクについて、ご紹介します。一般的に、企業は、複数のwebサイトを持っていることが多いです。コーポレートサイト、サービスサイト、採用サイト。これだけでも、すでに3つのサイトになります。これに、オウンドメディアなどを増やすと、すぐに、５～１０くらいのホームページの数になっていきます。ですが、これらのサイトで、Wordpress セキュリティを破られて、不正アクセスが起きた場合、そのホームページを直すのに、いくらかかるでしょうか？仮に、1サイト30万円で直せたとしても、10個だと、それだけで300万円です。大きいと思いませんか？そのコスト。生産性ないですからね。

WordPress セキュリティ対策としてやっていくべきことは、大きく分けると、

管理画面へのアクセス制御
サーバへのアクセス制御
wordpress、プラグインバージョンアップ
バックアップ・復元の環境づくり

です。もちろん、これら以外にも調査、確認、実施できることはありますが、基本的なWordpress セキュリティ対策です。

管理画面へのアクセス制御は、設定、設計で行います。ちょこちょこっとしたかんじでやることがいくつかあるようなイメージですが、IPアドレスでの制御などを入れると、わりと、強固なアクセス制御ができるようになると言えるでしょう。半面、外部からの更新ができなくなるので、効率性も落ちますが。

サーバへのアクセス制御も大事です。定期的なパスワードの変更なども大切です。退職者がいたとき、きちんと、パスワードを変えるようにしていますか？こういった、セキュリティ対策の規範、工程をまとめて、研修することも行っております。とはいえ、面倒なので、反復的なチェックが必要です。なので、それをチェックするwebツールなども、クロトでは、提供可能です。ある意味で、eラーニングですね。

また、要になるのが、wordpressのバージョンアップ、プラグインのバージョンアップですね。適切なタイミングで実施をしていかないと、ここは、セキュリティホール、セキュリティを破る突破口になりかねません。大事です。ここをどのように運用するか、オペレーションをするか、ここらへんも、お話ししながら、進めていくことができます。日々の運用のものですので、インハウス（社内）が望ましいところです。コストもそうですが、リスキリングを考える時代ですから、そういった進め方も視野にいれておいた方がコストメリットがでます。もちろん、クロトに作業の丸投げも可能です！

そして、同じくらい大切なのは、バックアップ、そして、すぐに復元できる環境づくりです。自社でいますか？すぐに、ホームページを復元できるスキルを持っている方。いないのであれば、確実にこのへんはできるようにしておいた方がいいですし、そういった環境にすべきです。クロトでは、そういった環境づくりもご支援しております。

WordPress セキュリティ対策をしておらず、webサイトが乗っ取られた事例について、解説しますね。まず、ホームページが見えなくなりました。そして、そこにあった、まだ出していない新商品の情報が漏えいしました。このケースが結構問題になりましたね。ライバル企業にも情報が渡ってしまったようですし。

もう1つ事例をご紹介します。コーポレートサイトが乗っ取られて、その企業のサイトにいくと、マルウェアに感染するサイトへ誘導するような作りになっていたそうです。その結果、多くのユーザーに被害が発生したそうです。当然謝罪も大変だったそうです。その企業は、BtoBビジネスだったので、数社は、セキュリティ問題から、契約をやめたそうです。それも、大手企業が。結構な売上のインパクトになったそうです。

このように、リスク、大きいのです。Wordpress セキュリティ対策をしていないことで、起きる、セキュリティリスク。今までは、コーポレートサイトなどの事例で話していましたが、ECサイトでも、あります。ECサイトになると、個人情報流出などにつながってきますので、とっても大きな損害になりますよね。そもそも、信用はプライスレスです。

このWordpress セキュリティ対策を進めるうえで、必要なことは、wordpress、おいているサーバへのアクセス権をいただくこと、そして、進め方のMTGをすることです。wordpressにしても、おいているサーバにしても、各種ファイルを修正することになりますので、編集権限は必要です。FTP、SFTP、SCP、SSHなどの情報をいただければ、幸いです。また、DNSの設定も必要なケースもありますので、お名前.comなどのドメイン管理の管理画面のログイン情報も必要なときがあります。

上記のような情報は機密情報ですので、当然ながら、NDA（秘密保持契約）を締結して、進められればと思っております。事前にしっかりと契約を結び、進めていきましょう。クロトは、ドキュメントを軽視しません。ドキュメントもしっかりして、コミュニケーション・対話の認識齟齬などをなくしていきたいと思っています。NDAはその入り口となる大切な契約です。

wordpress 制作において、クロトは、多くのホームページの実装してきました。2008年ごろ、創業当初から、ワードプレスで企業のコーポレートサイトや、ブログ、採用サイトなどを制作してきました。ECサイトも、wordpressで実装してきました。サブスク型のECサイトや、データコンテンツのようなもののないサービスの販売もwordpressのECサイトで作った実績もございます。ポータルサイト、コンテンツマーケティングサイト、オウンドメディアとしてのランキングサイト、比較サイト、一括資料請求のwebサイトもwordpressで作成してきました。その結果、コーポレートサイト、ポータルサイト、メディアサイトを中心に、すでに100以上のホームページをwordpressで実装してきています。すでに15年以上のノウハウが貯まっておりますので、さまざまな課題解決をしてきています。ユーザーごとの権限設定、各種画像の圧縮・軽量化、内部SEO対策、SNS自動投稿、バックアップ、ファイル管理、MySQLや PHP バージョンアップなど、実施してきています。

ホームページは、企業の顔です。取引はもちろん、採用や、利用など、サービスや商品を提供する企業のホームページは見られることはとても多いです。それゆえ、ちゃんとホームページが見れなくなる事態は、避けられるようにしておくべきですよね。デジタルマーケティングは、今や、集客の要のマーケティングですが、それは、足元の「当然」があってこそです。だから、しっかりと、セキュリティ対策、内部へのセキュリティ研修などは進めておくべきなのです。クロトは、15年以上もの間、システム開発、CMS開発、運用などで、上場企業や自治体、官公庁、さまざまな企業、団体の支援をしてきました。wordpress セキュリティ対策は直接的な集客にはなりませんが、保険ではありません。やっておくべき、装備です。装備をしっかりとして、立ち向かう環境を作ってこそ、省人化省力化につながる業務オペレーションが行えるのではないでしょうか？本来すべき接客やカスタマー対応に注力できるよう、ホームページの運用効率化をして、サービスを拡大させていきましょう。そのフローなどの構築なども、クロトでは、webシステムのコンサルティングなどで、支援しておりますのでご相談ください。

wordpress セキュリティ対策をちょっとでもいいから進めたい！比較的、コストをかけず、できるところまででも、wordpress セキュリティ対策を進めたい！！こんな課題や意識、wordpress セキュリティ対策を商品として提案したい！場合は、ぜひ株式会社クロトにご相談ください。クロトなら、ほかのweb制作会社と異なり、企画、設計、編集、集客分析など、総合的にご支援、ご提案可能です。wordpressなら、制作費用が安い会社は、いっぱいあります。ですが、フィジビリティ（実現可能性）調査できますか？いえ、していますか？クロトは、そういった部分も含めて、運用、開発をしていくことが強みです。

お問い合わせフォームより、相談したい内容、商品・サービスのURL、実施したいこと、サーバ環境、課題、希望納期、ご予算、オンラインでのMTG希望など、具体的な情報をいただければ幸いです。課題解決を進められるよう、より具体化した内容でお問い合わせいただけると、クロト側の回答の精度はあがります。お問い合わせフォームにて、お問い合わせいただきましたら、担当者よりご連絡いたします。まずはオンラインなどでMTGなどで、御社を「したい」を見える化していきましょう。それこそ wordpress セキュリティ対策を始める第一歩です！

WordPress セキュリティ対策サービス詳細

Wordpress セキュリティ対策に関わる事柄で、クロトにて対応可能なサービス詳細を記載します。ここでは、Wordpress セキュリティ対策のために、実施できることや、実施してきたこと、タスクなどをまとめています。

ヒアリング
サーバ環境確認
企画・設計
お打ち合わせ
RFP 策定
wordpress 調査確認
サーバインフラ確認
DNS 確認
ディレクトリ設計
動画設定
wordpress インストール
仕様設計
プログラミング
webデザイン
コーディング
wordpress バージョンアップ
プラグインバージョンアップ
テスト
Googleアナリティクス設定
タグマネージャー設定
バックアップ設定
リストア確認
運用マニュアル制作
SEO対策
運用設計
CMS投稿
連携情報確認
コンサルティング

など

実際の業務内容は、契約、担当範囲、内容などによって、都度変動します。お打ち合わせなどですり合わせさせてください。

WordPress セキュリティ対策では、wordpressの仕組みの仕様変更や、プラグイン、インフラ、ミドルウェアなどで、さまざまなアップデートが考えられます。常に新しく変わっていきますので、その点ご認識ください。そのため、都度、その方法や進め方は変わっていきますので、ご了承ください。また実際の環境により、対応が難しいケースなども発生しますので、その場合は、都度ご相談をさせていただきます。

※ワードプレスバージョンアップ対応もご支援
※キャンペーンサイト制作で安心できる方法、運用効率化も。
※ポッドキャスト制作で、音マーケティング！
※イベント管理をDX化するなら、クロトのイベント管理システム

wordpress とは

ホームページの更新・管理のできるwebのツールである「wordpress」について、ご説明します。

wordpressとは、ホームページを更新できるシステム、CMS（コンテンツマネジメントシステム）の１つで、多くの企業サイトなどで活用されています。

世界で、シェアがもっとも多いCMSです。日本でも、多くの企業、人が、wordpressでホームページを作っています。大手企業でも、使われているケースが多いCMSとなっております。

人気の秘訣の1つが、ライセンス費用、ソフト費用が無料なことです。０円は強いですね。

また、情報が多いので、Googleで調べれば、ある程度のことはわかります。

wordpressでホームページを作ると、SEO対策にもなります。Googleの検索エンジンとも親和性が高いです。

Xサーバや、さくらインターネット、AWSなど、多くのインフラでも提供されているCMSなので、インストール、導入もしやすいです。

スマートフォン、タブレットで見たときに、ホームページが最適化されるようにもなっている、レスポンシブデザインが採用されています。

半面で、セキュリティ対策などにおいてはテクニックが要求されるケースも大きいです。

ちゃんと設定しているだけではなく、都度の運用も要求されるのが、ワードプレスです。

ただ、有料のパッケージシステム、CMSでも、セキュリティの不安はありますので、wordpressだから、セキュリティが悪い！というわけではありません。

wordpress セキュリティ対策とは方法は？

wordpress のセキュリティ対策、何をすればいいか、どんなものなのか、を解説します。

正直、いろいろありますし、環境や情報によっても、変わっても来ます。

そこで、共通項として、wordpress セキュリティ対策について、まとめていくと、

基本は、

管理画面へのアクセスがされないようにすること

wordpressをいじられないようにすること

この2つが、セキュリティ対策です。

そのために、サーバに入られないようにする、これがやっていくべき共通項です。

そこで、wordpress セキュリティ対策として、実施していくことは、

管理画面のセキュリティを高めるプラグインの導入
管理画面のディレクトリ変更
IPアドレス制限
DB情報の外部公開をブロック
wordpressのバージョン非開示
最新版のwordpressにアップデートする
プラグインを最新版にアップデートする
インターネットWAFの配備

が基本的なアクションになります。

このほかにも、FTPのパスワードを難しくしたり、サーバのコントロールパネルのパスワードを難しくしたり、いろいろとありますが、wordpress セキュリティ対策としては、基本、さわられないようにする！を徹底しておきましょう。

そのうえで、事後施策として、何か起きても、バックアップから、すぐに復元できる環境を作っておくことです。

これらをもって、wordpress セキュリティ対策として、進めていくことが大事です。

wordpress セキュリティ対策メリット利用シーン

wordpress セキュリティ対策メリット利用シーンについて記載していきます。

wordpress セキュリティ対策メリット利用シーンとしては、大きく分けて、2つです。

１つは、リスクの削減
２つは、事後の対応

です。

言うまでもないですが、wordpress セキュリティがやぶられると、ホームページの改ざんがされる可能性があります。

結果、webサイトが見えなくなったりします。

これを復旧できる知識、スキル、素材、環境があるなら、いいですが、そうでない場合は、お金がかかります。

たとえば、１０サイト、自社で、ホームページがある場合、復旧に、１サイト３０万円かかった場合、単純で、300万円です。

このほかにも、そのwebサイトに個人情報があれば、個人情報漏洩になります。大きいですよね。そうなると。

そして、忘れてはならないのがウィルスです。御社のwebサイトからウィルスをまかれたら・・・もう、大きい損害ですね。

これを回避するために、できる、wordpress セキュリティ対策はやっておこう！ということです。

2つ目の事後対策は、ことが起きたときに、すぐに直せるようにするためです。

当然ですが、被害を抑えることは、かかるお金を削減できる！ということです。

実際にあった事例ですが、イベントサイトで、新聞告知の前日に、キャンペーンのwebサイトが乗っ取られたケースがあります。

広告止めるのにかかる費用、時間、それまでにかかった人件費など、コストは莫大です。

しかし、すぐに戻せれば、この話は、だいぶ損害を少なくできます。だから、wordpress セキュリティ対策やっておくといいんですよね。

これがwordpress セキュリティ対策の利用シーンであり、wordpress セキュリティ対策メリットだといえましょう！

wordpress セキュリティ対策チェックポイント

wordpress セキュリティ対策のチェックポイントについて、解説していきます。wordpress セキュリティ対策の際に、参考にしていただければ幸いです。

wordpress セキュリティ対策のチェックポイントは

パスワードは難しいものになっているか？
バージョンアップデートはしているか？
プラグインアップデートはしているか？
管理画面へのアクセス対策をしているか？
バックアップを取っていて、リストアのテストをしているか？
FTPやサーバへのアクセスは難しくなっているか？
使っていないプラグインは無効になっているか？
常時SSL化されているか？
「wp-config.php」の権限設定がされているか？
管理画面のURLは、簡単になっていないか？
サーバは適切な設定になっているか？
権限は適切か？

というように、チェックポイントをまとめてみました。

wordpress セキュリティ対策は、このようにまとめると、少なそうに見えますが、これは1つの例です。

もちろん、効率との兼ね合いもありますが、wordpress セキュリティ対策やっておかないと、不測の事態のときに、ハマりますよ！

wordpress セキュリティ対策していないリスク

wordpress セキュリティ対策していないときのリスクについてもまとめておきます。稟議書などで使えると思いますので、wordpress セキュリティ対策していないときのリスクは参考にしておいてください。

WordPressは世界で最も多く利用されているCMSのため、汎用性が高いため、狙われやすいのも事実です。サイバー犯罪者が狙っているCMSとも言えますが、それだけ、便利で低コストに使えるのも魅力です。集客効果も高いですしね。

wordpress セキュリティ対策していないときのリスクとしては

不正アクセス
ホームページの改ざん
ウィルスのまん延、感染
情報漏洩
ホームページの復旧コスト
ドメインの復旧コスト
減少する集客
キャンペーンなどが止まる
採用活動がしにくくなる

ざっと考えただけでも、これだけあります。

不正アクセスのようなものは、情報の改ざんや機密情報の窃取などの被害につながりますし、場合によっては、新商品の販売ができなくなる！などのリスクがあります。

ホームページの改ざんなどは、告知や集客にかかわるので、金銭的な損害だけではなく、信用などの問題になります。

御社のホームページがウィルスをばらまいていたりしたら、それこそ問題になりますよね。たとえば、webサイトの改ざんで、御社のWebサイトのユーザーを偽のページへ誘導したりすることになったら。お客様に、マルウェアをダウンロードするようなシステムがおかれていたら。。。

情報漏えいについては、言及しなくても、規模が大きいのはわかると思います。特に、個人情報の場合は、新聞沙汰、裁判沙汰ですね。

ホームページの復旧にもお金はかかります。積み重ねてきたＳＥＯ対策の資産なども、なくなってしまうかもしれません。ドメインも使えなくなるかもしれません。結果、採用活動やキャンペーンにも影響しますよね。

と、リスクをあげると、どんどん出てきます。

マルウェア感染経路例

マルウェアとは、PC、システムやネットワークに対して、悪意のあることをしてくるソフトのことを指すものです。スパイウェアとして、ユーザーの情報を密かに収集するプログラムを仕込んだり、コンピューターウイルスを広げるプログラムを仕込んだり。さまざまです。

wordpress セキュリティ対策していないと、このマルウェアの感染を受けることがあります。マルウェアは、悪意のある挙動なので、被害も出るケースが多いでしょう。

では、マルウェアの感染経路として、どんなものがあるかと言います

メールの添付ファイルやリンク
悪意のあるソフト、アプリのダウンロード
USBメモリなど
フィッシング攻撃
ソフトの脆弱性の悪用
すでに感染したシステムから
SNS
web広告

ざっと考えただけでも、マルウェアの感染経路は、これだけあります。

スタッフへの研修、教育、そして、wordpressであれば、バージョンアップ。プラグインもそうですね。必要ですね。

クロト wordpress（ワードプレス）制作 CMS開発関連サービス

クロトにて、実施しているwordpress（ワードプレス）制作関連、開発関連のサービスについてまとめました。

WordPress セキュリティ対策よくある質問

WordPress セキュリティ対策のよくある質問をまとめました

WordPress セキュリティ対策はどのくらいの時間で導入できますか？

担当内容、環境、条件にもよりますが、最短で契約から、1か月程度で導入できます。

WordPress セキュリティ対策は社内運用の支援でも可能ですか？

はい。可能です。ネットMTGですり合わせしていきましょう。

WordPress セキュリティ対策後、更新運用などもお願いできますか？

はい。更新、運用も、ご相談ください

Google タグマネージャー、Googleアナリティクスの導入もお願いできますか？

はい。こちらも対応可能です

WordPress セキュリティ対策で実施事項のドキュメント化もお願いできますか？

はい。こちらも可能です！

WordPress セキュリティ対策で、ECサイトでもご相談も可能ですか？

はい。ECサイトでもご支援可能です。

WordPress セキュリティ対策は、どのくらいの費用がかかりますか？

要件、担当範囲、仕様によりますが、最低で 25万円(税抜き)～実施が可能です。お見積りなどは都度お問い合わせください。

wordpressって、ライセンス費用がかかりますか？

いえ　wordpress自体のライセンス費用は無料です。

WordPress セキュリティ対策でバージョンアップなどもお願いできますか？

状況にもよりますので、中身をみて、ご相談させてください。

WordPress の乗っ取りにあったのですが、事後の対応も相談できますか？

はい、可能です。

WordPress セキュリティ対策でコンサルティングや相談だけも依頼可能？

はい、可能です。壁打ちサービスなどをご利用ください

wordpress 複数サイト管理マルチサイト実績事例

Wordpress セキュリティ対策事例実績

大学ホームページ
スポーツメディア
イベントサイト
ポイントサイト
人材紹介サイト
人材派遣サイト
クリニック
美容サロン
宿泊施設サイト
不動産企業サイト
不動産紹介サイト
専門商社
広告代理店
広告物制作会社
コンサルティング会社
食品メーカー
ヘアケアメーカー
コスメメーカー

など

ご相談はお気軽に！

03-6805-0821

平日:AM10:00~ PM7:00

メールでお問合せ

WordPress セキュリティ対策方法 | 乗っ取りハッキング防止へ