ビジネスサイト、オンラインストア、趣味のブログなど、どのようなサイトを立ち上げる場合でも、柔軟性と使いやすさ、高度な機能を備えた WordPress が成功を後押しします。
しかし、公開に向けて準備を進める前に、少しだけセキュリティについて考えてみましょう。できる限りの保護対策を施して、サイトをハッカーから守り、ファンや顧客がいつでも快適に利用できるようにしましょう。
セキュリティが重要である理由とは ?
サイトは、あなたがどんな人であるか、どのようなコンテンツやサービスを提供しているか、そしてブランドに何を期待できるかを訪問者に伝える場です。始めて訪れる人に好ましい印象を与え、既存のファンとの信頼関係やロイヤリティを築くための場でもあります。
だからこそ、サイトが順調に稼働している状態を常にキープすることが重要です。前触れもなくマルウェアのリンクを埋め込まれたり、ハッキング後に動作が非常に遅くなったり、完全にオフラインになったりすれば、サイトの評判に影響します。
サイトがハッキングされると、サイトの表示数や売上、広告のインプレッションが減り、金銭的な損失につながりかねません。サイトを正常に戻すのに費用がかかることも考えられます。また、検索エンジンの検索順位が下がる可能性があり、場合によっては永久にそのままということもあります。損失を防ぐためにも (そして評判を守るためにも)、サイトの守りを固め、安全な状態に保ちましょう。
WordPress のサイトはどのようにしてハッキングされるか ?
Google が最近公開したリストには、ハッカーがサイトに侵入する際によく使う手口がまとめられています。その一部を詳しく見ていきましょう。
侵害されたパスワード
総当たり攻撃は、ハッカーがサイトに侵入する際に最もよく使う手口のひとつです。具体的にはボットを使ってさまざまなユーザー名とパスワードでログインを試みます。この方法なら、正しいものが見つかるまで1秒間に何千通りもの組み合わせを試すことができます。
安全でないプラグインやテーマ
プラグインやテーマの脆弱性は、不正侵入の手口として比較的容易な部類に入ります。質の高いテーマの開発者は、定期的なアップデートでそのような脆弱性に対応するパッチを公開していますが、すべての WordPress ユーザーがサイトをこまめに更新しているとは限りません。また、無料で手に入る海賊版のプレミアムテーマやプラグインは、しばしばコードにバックドアが埋め込まれています。これはハッカーがリモートでログインしてサイトを自由に操るためのアクセスポイントです。
脆弱なセキュリティポリシー
ユーザーに対してサイトへの不必要なアクセス権を付与したり、安全でないパスワードの使用を許可したりするなど、セキュリティ対策が不十分な状態ではサイトに侵入されやすくなります。
サイトをハッキングする理由とは ?
- 金銭をだまし取る目的: 顧客のクレジットカード情報の収集、詐欺を目的とした悪質なサイトへの誘導が目的かもしれません。
- 情報収集が目的: 個人情報を第三者に販売することや、情報を人質にとって金銭を要求することもあります。
- サイトを閉鎖に追い込むことが目的: 通常は個人的な動機によるもので、一般のサイト所有者にとって脅威となることはめったにありません。
- サイトを荒らすことが目的: これも多くの場合は個人攻撃です。自分の主張を通すために、意見が合わない人のサイトを改ざんするハッカーもいます。
- ターゲットが他にいる: 攻撃者があなたのサイトを利用して、マルウェアやランサムウェアをインターネット上にばらまいたり、あなたの Web サーバーを利用して他の誰かに悪意のある攻撃を仕掛けたりすることがあります。
- サイトを練習台にするため: ハッカーにも練習は必要です。あなたのサイトを練習台にして、近い将来、より規模が大きく実入りのよいターゲットを狙うつもりかもしれません。
WordPress サイトのセキュリティを確保するには
1. 質の高いホスティングサービスを選ぶ
ホスティング会社をセキュリティパートナーと考えて、評判のよい会社を選ぶことが大切です。サービスにはそれなりの対価があります。低価格が売りのホスティングサービスは、多くの場合セキュリティ対策がしっかりしていません。
しかし、どのサービスを選べばよいのでしょうか。しっかりしたホスティングサービスの特徴をいくつか紹介します。
- 定期的なバックアップがプランに含まれている、または追加料金を払えばできる
- サイト訪問者のデータを保護する SSL 証明書がある
- サイトがハッキングされたときに備えて24時間年中無休のサポートがある
- サーバー上のファイルやデータベースを保護するファイアウォールが組み込まれている
- サイト上の不審なコードやアクティビティについて警告するセキュリティスキャンが備わっている
- 評判がよいこと。ホスティングサービスの質を見極める上で、他の人のレビューや推奨事項はよい判断材料になる
大事なのは、深い知識と強固なセキュリティを兼ね備えた企業には、多少の費用をかける価値があるということです。導入時におすすめの WordPress ホスティングサービスをいくつかご紹介します。
2. ソフトウェアを常に最新の状態に保つ
サイトを安全に保つ一番の方法は、ソフトウェア (WordPress、テーマ、プラグイン) を定期的に更新することです。最新のリリースではセキュリティ上の脆弱性が修正されていることが多いため、早めに更新することが大切です。
また、安定性に優れ、複数のニーズを同時に満たす信頼性の高いプラグインを選ぶことで、WordPress のセキュリティリスクを最小限に抑えることができます。たとえば Jetpack セキュリティでは、あらゆるWordPress セキュリティツールが1つの Jetpack プラグインに組み込まれています。そのため、プラグインをいくつもインストールしたり、サイトへの攻撃を受けるリスクを高めたりすることなく、追加機能のメリットを得ることもできます。
3. 安全なユーザー名とパスワードを作成する
固有のユーザー名と安全なパスワードを設定することで、ハッカーによる推測を困難にすることができます。大文字、小文字、数字、記号を合わせて20文字以上使用してください。
ユーザーを追加してサイトを構築する場合は、各ユーザーに適切な権限を設定します。たとえば、新しく入ってきたインターンにはコアファイルや重要なデータへのアクセスを許可したくないとします。そのようなときに参考になるのが WooCommerce のユーザー権限に関する記事ですが、内容の多くはどのようなサイトにも当てはまります。
また、開発者やマーケティングエージェンシー、サポート担当者など、第三者のためにアカウントを作成する場合は、必要な作業が終わった時点で必ずアクセス権を取り消します。
4. オフサイトのバックアップを設定する
コンテンツや大事な作品、顧客や訪問者のデータを守るためにもバックアップは欠かせません。サイトに問題が発生しても、完全なバックアップが手元にあれば、すぐに正常な状態に戻せます。
しかし、大切なのは適切な種類のバックアップを選ぶことです。たとえば、自社サーバーではなくオフサイトのクラウドにバックアップを保存するようにします。これは、サイトにアクセスできなくなった場合や、サーバーが侵害された場合でも、クリーンなバージョンに戻せるということです。
そこで活躍するのが Jetpack バックアップです。すべてのバックアップを自らのサイトと同じ安全なサーバーに保存するだけでなく、暗号化された複数のバックアップを保管して保護を強化しています。
さらに、リアルタイムのバックアップか日次バックアップかを選択できます。
リアルタイムのバックアップは、オンラインストアや会員制フォーラム、定期的に更新されるサイトに最適です。商品が売れる、ページが更新される、コメントが追加されるなど、何らかの変更のたびに Jetpack がサイトのコピーを保存します。つまり、何が起きても売上や情報を失うことがありません。
日次バックアップは、頻繁に更新されない静的サイトに適しています。Jetpack によるファイルやデータベースの保存は、変更が行われたときではなく、1日に1回のペースで行われます。
最大の利点は何かと言うと、設定が非常に簡単で、サーバーの複雑な設定が必要ないことです。いくつかの簡単な手順を踏むだけでよく、困ったときは Jetpack の頼れるカスタマーサポートチームに相談できます。
また、バックアップに最適な WordPress プラグインを個別のツールとして、または完全なセキュリティスイートの一部として利用できます。
5. 総当たり攻撃対策を追加する
総当たり攻撃とは、ハッカーがボットを使って1秒間に何千通りものユーザー名やパスワードの組み合わせを推測し、サイトへの侵入を試みることです。このような攻撃はサイトの情報を危険にさらすだけでなく、サーバーに過剰な負荷をかけて処理を遅らせることもあります。
安全性の高いログイン情報はもちろん有効ですが、一番の予防策は、そのような動きを阻止できるツールを使うことです。Jetpack の無料で使える総当たり攻撃対策は、サイトに到達する前の段階で不審な IP アドレスをブロックする機能です。
機能を有効にするだけなので、設定はとても簡単です。ブロックされた攻撃の件数はダッシュボードから確認できます。ちなみに、平均は5,193件です。
6. マルウェアを検出する
仮にハッカーの侵入を許してしまった場合、トラブルシューティングのためにも、すぐに事態を把握したいものです。サイトがダウンしていたり、安全でない状態が続けば続くほど、世間の評判やデータへのダメージは大きくなる一方です。
しかし Jetpack スキャンなら、マルウェアや攻撃者、不審な挙動を自動的に検出し、何かが見つかればすぐに注意を促してくれます。既知の不正行為であれば大半がワンクリックで修正可能なため、時間とお金の両方を節約できます。
Jetpack スキャンのダッシュボードでは、すべてがわかりやすい言葉で説明され、必要な手順を1つずつ示すようになっているため、難解な専門用語に悩まされることがありません。一度設定すれば24時間年中無休でサイトを見守ってくれるので、安心して過ごせます。
WordPress マルウェア検出ツールの詳細をご覧ください。
7. ダウンタイムモニターを導入する
悪意のある攻撃や単純なミスなど、原因はさまざまですが、サイトがダウンすれば早急な対応が必要です。しかし、1日中サイトをリロードして正常に機能するか確認している余裕はありません。
Jetpack の WordPress ダウンタイム通知ツールは、24時間年中無休でサイトを見守り、応答が停止すると通知を送信します。通知の確認後、いつ、どのような問題が起きたかをアクティビティログで正確に把握し、適切に対処できるため、これまで数時間あるいは数日かかっていた復旧が数分で完了します。
8. 使っていないプラグインやテーマを削除する
サイトにインストールされているテーマやプラグインが多ければ多いほど、ハッカーに悪用される確率も高くなります。プラグインは機能を追加するのに便利な手段ですが、少し整理してみて、使わなくなったものは削除しましょう。
また、サイトのエラーを解決する際に必要となるデフォルトテーマ以外に、テーマを追加で保存する必要はありません。
さらに、これらを削除することはサイトのスピードアップにもつながります。
9. 管理者用の二段階認証を有効にする
二段階認証では、パスワードと物理的なアイテムの両方が必要となり、この組み合わせはハッカーにとってほとんど解読不能なため、ログインページの保護対策としては非常に効果的です。管理者がサイトにログインする際、携帯電話に届く1回限り使用可能なコードを入力する必要があります。
Jetpack はこの機能を無料で提供し、強力なパスワードよりも一歩進んだ対策として簡単に利用できるようにしています。複数のユーザーが利用するサイトでも、全員に対して二段階認証を必須とするための設定が簡単です。
10. WordPress ファイアウォールを設定する
WordPress ファイアウォールは、サイトにアクセスするすべてのトラフィックを監視し、ハッカーを阻止するバリケードのように機能します。しっかりしたホスティングプランにはサーバーを保護するファイアウォールが含まれていますが、WordPress 専用のファイアウォールをインストールすることもできます。
優れたファイアウォールプラグインは、不審な IP アドレス、悪意のあるボット、「異常」とみなされるトラフィックなどの攻撃者に関する情報をデータベース化し、それらをブロックしてサイトへの攻撃を未然に防ぎます。WordPress プラグインのディレクトリで、最も人気のあるオプションの一部を見ることができます。
11. サイトのアクティビティを常に把握する
サイトで発生したすべての出来事がわかるログがあると、それを調べるだけで不審な点を簡単に特定できます。また、サイトがハッキングされた場合に、その発生時間を特定し、どのような行為が行われたかを知り、どのアカウントが侵害されたかをより簡単に把握できます。
Jetpack の WordPress 用アクティビティログは、ログイン試行やページの公開、プラグインの削除、テーマの更新、設定の変更など、発生した大きな変更をすべて記録します。各イベントについて、タイムスタンプ、変更を行ったユーザーとその内容についての説明を確認できます。この情報に基づいて、トラブルシューティングや問題発生直前のバックアップ復元を実行できます。
WordPress サイトが安全でない場合はどうなるか ?
ほとんどの攻撃者は特定のサイトを狙っているのではなく、最も侵入しやすいサイトを探しているだけです。そのため、適切に保護されていない WordPress サイトは、ハッキングの被害に遭う可能性が高くなります。その結果として、以下につながる可能性があります。
- 風評被害: セキュリティの警告が表示されたり、障害が発生したり、不審なウェブサイトにリダイレクトされたりするサイトは、訪問者によい印象を与えません。ブログやビジネスに対する信頼を失い、売上や広告収入が減少する可能性があります。
- 顧客データの盗難: ハッカーが eコマースストアに侵入した場合、収集した個人情報をハッカー自身が使用したり、第三者に販売したりする可能性があります。
- サイトのファイルへの損害: サイトの一部または全部を失い、長年の努力が水の泡になるかもしれません。
- 検索結果からの除外: ハッキングされたサイトは Google のブロックリストに登録され、検索結果から完全に除外されることがあります。
- サイトのトラフィックの減少: 検索エンジンで順位が下がる (または表示されなくなる) ことや、セキュリティ警告が表示されるサイトへのアクセスを人々が避けようとすることで、サイトのトラフィックが大幅に減少する可能性があります。
- 広告収入の減少: 広告ネットワークは、クライアントの広告が安全でないサイトに掲載されることを好ましく思いません。そのため、ハッキングされたサイトは広告ネットワークから除外または完全に禁止され、広告収入が減ったり、なくなったりする可能性があります。除外されない場合でも、トラフィックが減少すると広告のクリック数にマイナスの影響を及ぼします。
WordPress サイトでのハッキングを判別するにはどうすればよいか ?
サイトがハッキングされているのか、別の問題が発生しているのかを判別するのは難しいことがあります。ただし、サイトのハッキングを示すいくつかの兆候があります。
- URL を読み込む際にセキュリティ警告がサイトに表示される
- セキュリティプラグインが問題を報告した
- ホストから問題発生を知らせるメールが届いた
- 設定した覚えがないにもかかわらず、サイトがまったく別のサイトにリダイレクトされる
- サイトのページに奇妙なコードが表示される
- サイトが完全にダウンしているが、他の原因によるものとも考えられる
- サイトの広告が不審なサイトにリダイレクトされる
- サイトの読み込みが急に遅くなったり、その他の面でおかしな挙動を示している
WordPress サイトがハッキングされたらどうすればよいか ?
WordPress サイトがハッキングされた場合、問題を解決してファイルやデータベースを復旧するには、いくつかの手順を踏む必要があります。
- 何が起きたのかを見極める: Jetpack を使用している場合は、誰がいつログインして、何を変更したかをアクティビティログで確認します。この情報をもとに侵害されたアカウントを特定し、影響を受けたファイルを把握することができます。
- マルウェアスキャンを実行する: Jetpack スキャンなどのツールを使ってサイトのファイルを検索し、マルウェアやその他のハッキングを示す兆候がないか確認します。Jetpack の WordPress 用マルウェア検出ツールを使うと、ほとんどの問題をワンクリックで解決することもできます。
- バックアップから復元する: サイトのバックアップを定期的に保存している場合は、ハッキングが発生する前に保存したものから復元を実行します。Jetpack バックアップを使用している環境では、サーバーとは別の場所にファイルが保存されるため、侵害されることはありません。
- すべてのパスワードをリセットし、不審なユーザーを削除する: WordPress サイトとホスティングサービスのパスワードをすべてリセットします。作成した覚えのない不審なユーザーアカウントがあれば削除します。
- サイトセキュリティの専門家を採用する: マルウェアを自分で駆除できない場合や、サイトの安全性を確認したい場合は、Codeable などのサービスを利用してセキュリティの専門家の採用を検討してください。
- プラグイン、テーマ、WordPress のバージョンを更新する: 最新の状態を保つことで、ハッカーに悪用される可能性がある脆弱な部分を保護できます。
- Google にサイトを再申請する: サイトがブロックリストに掲載された場合、Google サーチコンソールから審査を依頼してリストから削除してもらいます。
詳しくは、サイトがハッキングされた場合の対処法をまとめたガイドをご覧ください。
公開の準備を整える
スタート時点から適切な WordPress のセキュリティ対策に力を注ぐことで、サイトを成功に導き、長期にわたって安全かつ効率的に運営することができます。サイトのハッキングを防ぐことは、発生してから修正するよりもはるかに簡単です。
Jetpack セキュリティパッケージを使用すると、開発者に頼らなくても、複雑な設定をしなくても、短時間でこのリストの大半の項目をチェックできます。
最適な WordPress セキュリティプラグインを入手して始めましょう。
Jetpack by WordPress.com 