WordPressは、無料で利用できるオープンソースのコンテンツマネジメントシステム（CMS）です。世界中で利用されており、現在Webサイト運営に使用されている方も多いでしょう。とても便利なWordPressですが、脆弱性が見つかりやすいというオープンソースの弱点があります。脆弱性が見つかってしまうと、ハッカーに狙われやすくなってしまうのです。

WordPressでは、これを未然に防ぐためにセキュリティ対策が行われていますが、完全に防ぐのは難しいのが実情です。WordPressを使ってWebサイトを運営している方は、セキュリティ問題について自ら対策を行う必要があります。

WordPressの脆弱性について

脆弱性とは、ソフトウェア設計や実装する際に問題が生じてしまい、その上でセキュリティに欠陥が表れてしまうことです。WordPressの脆弱性は、WordPress本体やプラグイン・テーマ、もしくはクライアントPCにて見つかるケースもあります。

また、第3者が認証情報を入力し、不正にログインをすることで攻撃されてしまうこともあります。この手口は、ログイン用URLを特定し、ユーザー名とパスワードが一致するまで入力するという極めて単純な方法です。計算機の処理能力を利用すれば1秒でおよそ数百まで入力を試すことができるため、数字4桁の簡単なパスワードにしていると、ものの数秒で不正にログインされてしまいます。

もし、FTPやコントロールパネルの接続情報といったさまざまな部分で同じパスワードを使用していると、その全てにアクセスできてしまうため、情報漏えいにつながってしまい大変危険です。

【セキュリティ対策1】常に最新バージョンにする

セキュリティ対策として、まずは大切なのは、WordPressを常に最新バージョンにアップデートすることです。本体だけではなく、プラグインもすべて最新のものにしておきましょう。

WordPressは世界中で使用されているコンテンツマネジメントシステムであるが故に、ハッカーにも狙われやすいCMSです。その脆弱性を改善させるために、WordPressは定期的にバージョンアップを行っています。古いバージョンのままだと脆弱性も増えてしまうので、定期的なバージョンアップを心掛けましょう。

【セキュリティ対策2】安全性が高いID／PASSに

ログイン用ユーザー名が初期のままだと、非常に危険です。また、パスワードを簡単なものにしておくと、不正ログインを防ぐことができません。ユーザー名やパスワードは英数字をランダムに10文字以上で形成したものを設定しましょう。

10文字以上という数字には理由があります。これは、パスワードを8文字以内に設定していると不正ログインされやすいというデータがあるためです。英数字もただ織り交ぜるのでなく、大文字・小文字を活用しながらパスワードを作成することがポイントです。

【セキュリティ対策3】不使用プラグインは削除

WordPressのプラグインには便利な機能も多く、とりあえず入れている方も多いかもしれません。しかし、使っていないプラグインをそのままにしておくと、そこに脆弱性が見られた場合に付け込まれてしまう可能性があります。プラグインは停止しているだけでは意味がありません。もし、使用していないプラグインがあるようなら、きちんと削除しておきましょう。

まとめ

ハッキングをすべて未然に防ぐことはできませんが、最低限のセキュリティ対策はとっておくことが大切です。
とくに、個人情報などが含まれるようなWebサイトがハッキングされれば、大変なトラブルにもつながりかねません。WordPressでWebサイト運営を行う時は、今回紹介した対策方法をとりながら、リスクを最小限に抑えるよう心掛けましょう。

Tweet