10 の一般的な WordPress セキュリティの問題とその修正方法

WordPress の人気が高まるにつれて、セキュリティの脆弱性の脅威も高まります。 何百万もの Web サイトが WordPress で実行されているため、脆弱性を悪用しようとするハッカーやサイバー犯罪者の主な標的となっています。

古いソフトウェア、脆弱なパスワード、安全でないファイルのアクセス許可など、さまざまなセキュリティの問題が WordPress サイトを危険にさらす可能性があります。 この記事では、WordPress の一般的なセキュリティ問題とその修正について説明します。

WordPress セキュリティの概要

非常に人気があるにもかかわらず、多くの WordPress ユーザーは Web サイトを保護するための基本を知りません。 さらに悪いことに、多くのユーザーは、 SSL 証明書をインストールするだけでサイトを保護できるという (非常に危険な) 誤解を信じています。

Sucuri の共同設立者であるDre Armeda 氏は、Cloudways とのインタビューで、「 WordPress の最大のセキュリティ問題は人であり、今後もそうなり続けるだろう」と述べています。

また、WordPress のセキュリティ脆弱性の半分は過失が原因であると考えています。 これが、WordPress サイトがサイバー犯罪者の標的になりやすい重要な理由です。 初めてのユーザーの多くは、WordPress をインストールするだけで、デフォルトのセキュリティ メカニズムを信頼します。

そうすることで、Web サイトがサイバー脅威にさらされます。 悪意のあるトラフィックや DDoS 攻撃から Web サイトを保護するには、最高のセキュリティ プラクティスと組み合わせた安全な WordPress ホスティングを選択する必要があります。

WordPress のセキュリティが重要な理由

オープンソースのプラットフォームであるため、WordPress は依然としてセキュリティ攻撃に対して脆弱です。 WordPress のノウハウがほとんどない人がハッキングを試みる可能性があるため、WordPress は非常に安全ではありません。

WordPress は、オンラインの Web サイトのほぼ43%を支えています。 セキュリティ違反により、ユーザー データ、財務情報、ログイン資格情報などの機密情報が失われる可能性があり、企業の評判と収益に深刻な損害を与え、法的結果をもたらす可能性があります。

下の画像をチェックして、WordPress サイトを保護することの重要性を確認してください。

セキュリティの責任者は誰ですか?

WordPress サイトを安全に保つことは、Web サイトの所有者、ホスティング プロバイダー、および WordPress コミュニティの共同責任です。

ウェブサイト所有者の責任

WordPress サイトを安全に保つ主な責任は、Web サイトの所有者にあります。 Web サイトの所有者が Web サイトのセキュリティのために確認する必要があるチェックリストを次に示します。

• WordPress コアを更新しました。
• 更新されたテーマとプラグイン;
• PHP のバージョンを更新しました。
• 安全な WordPress ホスティング;
• 強力なパスワードと 2FA。
• インストール済みのセキュリティ プラグイン。
• 定期的なセキュリティ スキャン。

ホスティングプロバイダーの責任

責任あるホスティング プロバイダーは、サーバーのセキュリティを維持し、業界標準のセキュリティ要件を満たしていることを確認する必要があります。 安全な Web ホストには、業界で実証済みのセキュリティ プロセスがあり、Web サイトに問題が発生した場合に役立ちます。

さまざまなホスティング プロバイダーから選択できますが、マネージド クラウド ホスティングは、サーバー側のセキュリティ、定期的なパッチ、更新など、サーバーのすべての側面を管理するため、より優れたオプションです。

セキュリティに関しては、Cloudways が優れているのは、その広範なセキュリティ機能のおかげです。 WordPress の SafeUpdates は、時間を節約し、セキュリティを強化し、 Web サイトを簡単に自動化するのに役立ちます。

出典: WordPress/Cloudways の SafeUpdates

これらは、Cloudways がユーザーに提供するいくつかのセキュリティ機能です。 マネージド ホスティングを使用すると、Web サイトの所有者はこれらのセキュリティ機能を利用して、プロバイダーが技術的な詳細を処理する間、オンライン プレゼンスの拡大に集中できます。

WordPress コミュニティの責任

WordPress コミュニティにリンクしている開発者も、サイトのセキュリティを向上させる役割を果たします。 これは、WordPress を安全に保つために従うことができるチェックリストです。

• 脆弱性に対処するためのアップデートとパッチをリリースします。
• WordPress のテーマとプラグインを最新の状態に保ちます。
• WordPress Core のセキュリティを向上させるための研究。

WordPress 脆弱性のソース

オープンソースのプラットフォームであるため、WordPress は依然としてセキュリティ攻撃に対して脆弱です。 WordPress のノウハウがほとんどない人がハッキングを試みる可能性があるため、WordPress は非常に安全ではありません。

WPScan のWordPress 脆弱性統計によると、古いプラグインや欠陥のあるプラグインがサイトを最も脆弱にする一方で、テーマや WordPress のバージョンも、サイトをセキュリティ攻撃に対して脆弱にする役割を果たしています。

出典：WPScan

また、統計によると、無料のテーマとプラグインは、プレミアム テーマとプラグインよりもサイトの安全性が低くなります。

– 出典: WPScan

WordPress の一般的なセキュリティ問題

以下は、WordPress の一般的なセキュリティ問題とその修正です。

1.時代遅れのWordPressコア

WordPress コアは、WordPress サイトをセキュリティの脅威に対して脆弱にする主な理由の 1 つになる可能性があります。

3 か月ごとに、WordPress 開発者は WordPress サイトの更新をロールアウトします。ユーザーはコアを手動または自動で更新し続けることをお勧めします。 これらのリリースは、バグ修正とエラー解決により WordPress のセキュリティを向上させることを目的としています。

WordPress コアを更新すると、サイトのセキュリティ、パフォーマンス、機能が向上します。 更新しないと、テーマとプラグインを更新できなくなります。 これにより、サイトがセキュリティの脅威に対してより脆弱になります。

解決

この問題は、WordPress サイトを更新するだけで解決できます。 あなたがする必要があるのは、あなたのサイトの更新をチェックすることだけです. 次の手順に従う必要があります。

• WordPress ダッシュボード → アップデートに移動します。
• 利用可能な場合は常に最新バージョンに更新してください。

– 出典: WordPress ダッシュボード

プロのヒント:サイトをバックアップして更新するという手動の手間を省きたい場合は、Cloudways の SafeUpdates 機能を使用できます。

WordPress の更新プロセスを自動化し、メンテナンス プロセスをスムーズに合理化するために、Cloudways はSafeUpdates を導入しました。 更新プログラムをエラーなしで検出、テスト、展開するのに役立ちます。

– 出典: Cloudways プラットフォーム

2. 古いテーマとプラグイン

WordPress が CMS 市場を支配する理由の 1 つは、そのカスタマイズ機能です。 豊富なプラグインとテーマ ライブラリにより、ユーザーは、機能やデザインを手動で追加する手間をかけずに、WordPress サイトを簡単に操作できます。

しかし、古いテーマやプラグインを使用すると、サイトがセキュリティの脅威に対して脆弱になる可能性があることをご存知ですか?

テーマとプラグインは、WordPress サイトの現在のバージョンに合わせて常に更新する必要があります。 テーマとプラグインの開発者は、サイトに機能とセキュリティのレイヤーを追加するために更新をリリースすることがよくあります。

解決

WordPress ダッシュボードからテーマとプラグインを更新できます。 次の手順に従う必要があります。

• WordPress ダッシュボード → アップデートに移動します。
• プラグインの更新をクリックします。

– 出典: WordPress ダッシュボード

• [テーマの更新]をクリックします。

– 出典: WordPress ダッシュボード

3. マルウェア感染

ほぼすべてのサイトがマルウェアに対して脆弱なままです。

しかし、WordPress の場合、不正アクセスが容易になるため、問題は深刻になります。 ハッカーは、プラグインやテーマ内のセキュリティの問題を探し、それらを模倣して Web サイトを攻撃することができます。

解決

次の対策を講じることで、マルウェアの問題を防ぐことができます。 次の手順に従う必要があります。

• インストールする前に、プラグインとテーマを注意深く確認してください。
• サイト内に存在する可能性のあるマルウェアを検出するための定期的なセキュリティ スキャン。
• MalCare 、 WordFence 、 Sucuriなどのマルウェアの検出と削除のためのプラグインをインストールできます。

Cloudways ホスティングは、悪意のあるトラフィックを特定してブロックし、攻撃から保護するMalcare Bot Protectionも提供します。 ボット保護を有効にしてWordPress サイトを保護する方法を確認してください。

4.クレジットカードのスキミング

通常、ハッカーは悪意のある JavaScript コードを Web サイトに挿入して、クレジット カード番号、有効期限、CVV コードなどの機密情報を盗みます。 この行為はクレジットカードのスキミングと呼ばれます。

クレジット カードのスキミングは、大きな経済的損失を引き起こし、長期的にはビジネスに損害を与える可能性があります。 Web サイトに WordPress を使用している場合、WordPress はオープンソース プラットフォームであり、ハッカーは詳細を掘り下げる十分なノウハウを持っているため、この攻撃に対して最も脆弱である可能性があります。

解決

以下の対策を講じることで、この種の攻撃を防ぐことができます。

• Sucuri SiteCheckなどの監視ツールをインストールして、Web サイトの悪意のあるアクティビティをスキャンします。

– 出典: スクリ

• 最新のセキュリティ パッチとソフトウェア更新プログラムを使用して、サイトとそのコンポーネントを最新の状態に保ちます。
• ファイアウォール、侵入検知システム、SSL 証明書などのセキュリティ ツールを使用して、サイトと機密情報をさらに保護します。

5. 不正ログイン

ブルート フォース攻撃により、不正なログインが発生します。

これには、Web サイトに侵入するためにさまざまなパスワードの組み合わせを試行する試みが連続して繰り返されます。 ハッカーは、他のコンピューターに悪意を持ってインストールしたボットを使用して、このような攻撃を実行するために必要なパワーを高めようとします。

ブルート フォース攻撃が非常に簡単に発生する主な理由は 2 つあります。

1. WordPress サイトのデフォルトのバックエンド ログイン ページはwpで始まるため、簡単に見つけることができます。 これにより、ハッカーの当て推量が減少します。
2. WordPress サイトの所有者は、脆弱なパスワードとログイン資格情報を保持しています。

解決

以下の対策を行うことで、この問題を防ぐことができます。

• デフォルトのwp-adminログイン URL を変更すると、ハッカーが WordPress サイトに対してブルート フォース攻撃を仕掛けにくくなります。
• CAPTCHA は、ブルート フォース攻撃に対する最良の保護の 1 つと考えられています。 Google の目に見えない reCAPTCHA を WordPress に追加する方法について詳しくは、こちらをご覧ください。
• ソーシャル メディアや電子メール アカウントなどの Web サイトには、別の強力なパスワードを使用することを強くお勧めします。
• サイトで強力なパスワードを使用する習慣を強制するには、WP White Security のWPassword を使用して強力なパスワード ポリシーを強制する必要があります。

6. 構造化照会言語 (SQL) 攻撃

SQL インジェクションは、攻撃者が Web サイトのさまざまな領域 (特に、コメント ボックスとテキスト領域) に SQL コマンドを埋め込む攻撃です。 これらのコマンドは、SQL データベースを危険にさらし、データベースに保存されている機密情報を明らかにする可能性があります。

PHP ステートメントを追加して URL を変更することは、WordPress のセキュリティに対するもう 1 つの潜在的な脅威であり、攻撃者がデータベースやその他の Web サイト コンポーネントへの攻撃を引き起こす可能性があります。

ほとんどの WordPress サイトは、これらの攻撃に対抗する巧妙なトリックを備えた Apache サーバーでホストされています。 すべての Apache サーバーには、Web サイトのアクセス ルールを定義するファイル .htaccess があります。

解決

SQL インジェクション攻撃と URL ハッキングを防ぐには、次の手順に従います。

• 準備済みステートメントまたはパラメーター化されたクエリを使用する
• ユーザー入力を検証する
• 最小権限アクセスを使用する
• ソフトウェアとデータベースを定期的に更新する
• Web アプリケーション ファイアウォール (WAF) を使用する
• 暗号化を使用します。

7. 検索エンジン最適化 (SEO) スパム

SEO スパムは、Web サイトの SEO をターゲットにしています。 ハッカーは、上位のページにスパムのようなキーワードとポップアップ広告を挿入し、会社の評判と収益を妨害しようとします。

これらは、SEO スパムが発生するいくつかの理由です。

• 古いプラグインとテーマ;
• 未定義のユーザー ロール。
• スパム コンテンツ;
• 脆弱なセキュリティ チェック。

解決

WordPress サイトが SEO スパムの影響を受けている場合、クリーンアップするために実行できる手順がいくつかあります。

• 疑わしいまたは不要なプラグインとテーマを削除します。
• スパム コンテンツを削除します。
• パスワードを更新します。
• ウェブサイトを定期的に監視します。
• Wordfenceなどのセキュリティ プラグインを使用します。
• 問題を Google に報告します。

8. クロスサイト スクリプティング (XSS) 攻撃

クロスサイト スクリプティング (XSS) 攻撃により、攻撃者は悪意のあるコードを Web サイトに挿入できます。このコードは、影響を受けるページにアクセスしたユーザーのブラウザーによって実行されます。

これにより、ログイン資格情報や個人データなどの機密情報の損失や悪用が発生する可能性があり、フィッシングやマルウェア配信などの他の攻撃の実行にも使用される可能性があります.

解決

WordPress で XSS 攻撃を防ぐには、次のようなベスト プラクティスに従うことが重要です。

• ユーザー入力を検証してサニタイズします。
• プラグインとテーマを最新の状態に保ちます。
• WordPress コアを最新の状態に保ちます。
• Web アプリケーション ファイアウォール (WAF) を使用してトラフィックを検査し、承認されていない訪問者がシステムに侵入するのを防ぎます。

プロのヒント: Cloudways を使用している場合は、心配する必要はありません。Cloudways 経由で起動されるすべてのサーバーには、Web サイトの防御の最前線として機能するファイアウォールがプリインストールされています。

9. 分散型サービス拒否 (DDoS) 攻撃

DDoS 攻撃は、攻撃者が侵害されたネットワークまたはコンピューターを介して単一のターゲットにトラフィックを送信するときに発生します。

大量のトラフィックが Web サイトのサーバーを圧倒し、ユーザーが使用できなくなる可能性があります。 WordPress の場合、DDoS 攻撃は、Web サイトの評判を損なうだけでなく、大幅なダウンタイム、パフォーマンスの低下、収益の損失をもたらす可能性があります。

解決

悪意のあるトラフィックや DDoS 攻撃から Web サイトを保護するには、最高レベルのセキュリティ プラグインと組み合わせた安全な WordPress ホスティングを選択する必要があります。

• CDN を使用して着信トラフィックの負荷を分散し、Web サイトに到達する前にトラフィックを吸収することで Web サイトを DDoS 攻撃から保護します。
• WordPress で利用できる DDoS 保護プラグインがいくつかあり、Web サイトを DDoS 攻撃から保護するのに役立ちます。
• DDoS 保護を提供し、サーバーが高レベルのトラフィックを処理できるように備えているホスティング プロバイダーを探します。

プロのヒント: Cloudways は、 DDoS 攻撃を 3 秒以内に緩和するCloudflare Enterpriseアドオンを提供しています。

10. ファイル インクルージョンの脆弱性

WordPress のインストールには、 wp-config.php 、 install.php、readme.htmlなどの機密ファイルがいくつか含まれています。これらのファイルは、すべての外部アクセスから隠しておく必要があります。

ファイル インクルージョンの脆弱性により、攻撃者は、外部ソースから悪意のあるファイルを含めることにより、Web サイトで任意のコードを実行できます。 ファイルパスを適切に検証またはサニタイズせずに、Web サイトに外部ソースからのファイルが含まれている場合に発生する可能性があります。

解決

この問題を解決するには、 .htaccess ファイルが役立ちます。

次の行をファイルに追加して、重要なファイルが改ざんされるのを防ぐことができます。 次のコード スニペットは、ユーザー ディレクトリ リストへのアクセスも防止し、機密性の高いサーバーと WordPress ファイルを不正アクセスから隠します。

 オプション すべて -インデックス


<ファイル .htaccess>
注文許可、拒否
全部否定する
</ファイル>


<ファイル farhan.php>
注文許可、拒否
全部否定する
</ファイル>


<ファイル license.txt>
注文許可、拒否
全部否定する
</ファイル>


<ファイル install.php>
注文許可、拒否
全部否定する
</ファイル>


<ファイル wp-config.php>
注文許可、拒否
全部否定する
</ファイル>


<Files error_log>
注文許可、拒否
全部否定する
</ファイル>


<ファイルfantasto_fileslist.txt>
注文許可、拒否
全部否定する
</ファイル>


<ファイル fantversion.php>
注文許可、拒否
全部否定する
</ファイル>

まとめ

WordPress Web サイトにとってセキュリティは重要であり、セキュリティの脅威を防ぐための対策を講じる必要があります。 ソフトウェアとプラグインを最新の状態に保ち、強力なパスワードを使用し、2 要素認証を有効にし、セキュリティ プラグインを使用します。

安全なホスティング プロバイダーを選択し、評判の良いテーマとプラグインのみを使用し、定期的にバックアップを作成してください。 これらの手順を実行することで、セキュリティ リスクを軽減し、WordPress Web サイトの安全性を確保できます。

また、セキュリティ監査プラグインと推奨のWordPress セキュリティ プラグインを使用して、WordPress で発生したことをログに記録しておくことを強くお勧めします。これにより、WordPress がオンラインの脅威から強化されます。

よくある質問