WordPressは、世界中で多くの人々が使用しているCMSです。個人でブログ作成や企業ではWebサイト制作など、世界中で多くの人々に使用されています。WordPressは無料で使えて初心者を含め、ユーザー数が多いためネット犯罪者や悪意のある者から狙われて攻撃されやすいです。
そのためWordPressはセキュリティが弱くて、危険性があるのではと考えている人もいるでしょう。この記事では、WordPressのセキュリティの弱さや、想定されるリスク、初心者でもできる有効な5つの対策などについて解説していきます。
Contents
WordPressのセキュリティは弱い?
WordPressは無料で提供されているオープンソースなので、世界中の多くの人々が使用しています。誰でも手軽に始められるため、多くのユーザーの獲得に成功していますが、注目度が高いということは、悪意のある者やネット犯罪者から狙われて攻撃されやすい一面があるのです。
ネット犯罪者や悪意のある者がWordPressの脆弱性に付け込んで悪事を働くことが容易にできます。そして、初心者の多くはセキュリティ対策をどのようにすれば良いのか理解していないため、セキュリティの欠陥や穴を発見されて攻撃を受け様々な被害に遭うのです。
しかし、WordPressはセキュリティが弱いCMSではありません。定期的にマイナーアップデート・メジャーアップデートを繰り返して、セキュリティを強化しています。適切にセキュリティ対策を行えば、攻撃されるリスクを低減させることが可能です。
WordPressにセキュリティ対策が必要な理由
「WordPressは世界中の多くの人々が使用しているのだから、ネット犯罪者や悪意のある者がいてもまさか自分のWebサイトが狙われることはないだろう」と安易な考えを持つのは危険です。なぜなら、個人運用なのか企業サイトなのか、WebサイトのPV数が多い少ないかなどは、一切関係無く無差別に攻撃してくるからです。
WordPressを利用したWebサイトであれば、誰でも等しくネット犯罪者や悪意のある者から狙われて攻撃を受ける恐れがあります。WordPressの本体・テーマ・プラグインなどに脆弱性が出ることもあります。定期的にバージョンアップを実施して改善・修正を図っているのですが、時間が経過するとまた脆弱性の問題が発生して狙われるというイタチごっこ状態です。
ネット犯罪者や悪意のある者にとって、脆弱性を突くためのノウハウもたくさん存在します。WordPressの利用者に対して、巧妙な手口を使って悪事を働く悪者が世界中にたくさんいます。ですから他人事とは決して思わず、万が一に備えてWordPressにセキュリティ対策を行い後悔しないようにすることが大切です。
WordPressのセキュリティが弱いと起こり得るリスク
WordPressのセキュリティが弱いと起こり得るリスクを解説します。
- ブルートフォース攻撃
- コメントスパム
- マルウェア感染
- 第三者による不正アクセス
ブルートフォース攻撃

引用:ブルートフォースアタックとは?|ITトレンド
海外からWordPressのセキュリティを狙われるリスクとして、ブルートフォース攻撃があります。ブルートフォース攻撃とは総当たり攻撃のことです。
ブルートフォース攻撃では、管理画面のユーザー名やパスワード等のログイン情報を、考えられる全てのパターンで実行してきます。人力の他にプログラム化して自動的に、ブルートフォース攻撃を仕掛けてくるパターンがあり簡単なログイン情報であれば突破できてしまうでしょう。
コメントスパム

WordPressでコンタクト・フォームなどのプラグインを有効化すると、お問い合わせフォームを作成できます。お問い合わせフォームを設置することでユーザーからコメントを貰えるようにできるため、仕事の依頼や交流の場となります。
ところが、WordPressのお問い合わせフォームから、悪意のある者が大量のコメントスパムを送信してくるリスクがあるのです。コメントスパムは、英語表記のコメントやコンピューターウイルスを仕組んだメールのリンクなどが送られてきます。
マルウェア感染

引用:Emotet などのマルウェア感染に繋がるメールに引き続き警戒を|JPCERT/CC
ネット犯罪者や悪意のある者から狙われて、不正ログインからマルウェア感染させたり、お問い合わせフォームからマルウェアが仕組まれたメールリンクを送信されたりするリスクがあります。
WordPressのセキュリティ対策が甘いと、マルウェア感染の被害を受けやすくなるのです。Webサイトの情報を不正に改ざんされたり、訪れたユーザーにマルウェアをダウンロードするように仕向けたりなどの被害があります。
第三者による不正アクセス
WordPressのデータベースや管理画面に、第三者による不正アクセスが行われるとWebサイトの情報の改ざんや個人情報の漏洩などの被害に遭う恐れがあります。また、WordPressの管理者権限を書き換えて乗っ取られるリスクもあります。
WordPressのセキュリティが弱いと脆弱性狙いのリスクが高まる
WordPressのセキュリティが弱いと、ネット犯罪者や悪意のある者から脆弱性狙いのリスクが高まります。脆弱性とはセキュリティ上の欠陥です。「WordPress本体・プラグイン・テーマ」などに脆弱性はあるのですが、外部から侵入や攻撃されないように、定期的にバージョンアップが実施されています。WordPressの弱点の1つである脆弱性を狙った攻撃から守るためにも、セキュリティ対策は必要なのです。
WordPress初心者でもできる有効な5つのセキュリティ対策
WordPress初心者でもできる有効な5つのセキュリティ対策を解説します。
- WordPressの自動更新設定
- プラグインやテーマを最新バージョンにする
- パスワードを複雑にして画像認証や二段階認証を使用
- プラグインを使用
- WordPressのユーザー名や表示名を初期段階で変更
WordPressの自動更新設定
WordPressで制作したWebサイトやブログを、ネット犯罪者や悪意のある者から守るためにはセキュリティ対策の強化が重要です。WordPressを最新バージョンにアップデートすることでセキュリティ対策に繋がります。
定期的にメジャーアップデート・マイナーアップデートがあるので、初心者は見落としがちです。WordPressを自動更新設定にしておくと、バージョンアップ時に自動で更新してくれるので安心です。
プラグインやテーマを最新バージョンにする
プラグインやテーマを最新バージョンにすることは、セキュリティ対策として重要です。クリック作業で完了できるため初心者でも簡単に行えます。WordPress本体やプラグイン、テーマはバージョンが古ければ不具合や脆弱性に対応できずネット犯罪者や悪意のある者から狙われやすくなります。また、不必要なプラグインがあれば削除しましょう。
プラグインを使用
WordPressのプラグインを使用して初心者でも簡単にセキュリティ対策が行なえます。管理画面からインストール可能な、セキュリティ用プラグインは無料でダウンロードできるものが多いです。
- SiteGuard WP Plugin
- All In One WP Security & Firewall
- Akismet Anti-Spam

上記のようなセキュリティ用プラグインをダウンロードすることにより、ネット犯罪者や悪意のある者からWordPressを守りやすくなります。
パスワードを複雑にして画像認証や二段階認証を使用
WordPressを使用するには、アカウント作成が必要ですがパスワードが簡単すぎると外部から侵入されやすくなります。パスワードを誕生日やユーザー名と同じにするなどは避けたほうが良いです。
9文字以上で英数字を混ぜながらパスワードを複雑にして、さらに画像認証や二段階認証を使用するのが望ましいでしょう。
WordPressのユーザー名や表示名を初期段階で変更
WordPressのユーザー名や表示名を見たネット犯罪者や悪意のある者が、管理画面のログイン情報に使用できると認識して不正アクセスを試みる場合があります。初心者はユーザー名と投稿者名・プロフィール・コメント欄などの表示名を同じにしがちなので危険です。ユーザー名と表示名が同じにならないように、WordPress運営の初期段階で変更しましょう。
まとめ
WordPressの初心者はセキュリティ対策が不十分な傾向があります。WordPress自体にある脆弱性が第三者から発見されると、その部分を狙ってネット犯罪者や悪意のある者から攻撃されるリスクが高まるのです。個人情報を悪用されたり、WordPressを乗っ取られたりなどの危険性があるのでセキュリティ対策はしっかりと行うことが大切です。