2020年～2021年春までのWordPressにおけるセキュリティ関連の話題

WordPressでサイトを構築・運営していると、やはり気になるのがWordPressに関連するセキュリティ関係の話題です。

サイバー攻撃は完全に同じ手法で攻撃してくるとは限らず、少しずつ形を変えてくることもあるため、既知の解決した問題でもなるべく把握しておくべきと言えます。

今回は2020年～2021年春までのWordPressにおけるセキュリティ関連の話題と、改めてチェックしておくべきセキュリティの基礎についてお話します。

2020年～2021年春までのWordPressにおけるセキュリティ関連の話題

はじめに2020年～2021年春までのWordPressにおけるセキュリティ関連の話題をいくつかご紹介します。

WordPressへのサイバー攻撃が急増

WordPressのセキュリティプラグインである「Wordfence」の開発元のブログに掲載された情報によりますと、2020年4月28日以降にWordPressへのサイバー攻撃が急増しているとのことです。

1人の攻撃者から100万を越えるWordPressへの攻撃がされており、クロスサイトスクリプティング攻撃が30倍になったという具体的な例も掲載されており、このサイバー攻撃以外にもサイバー攻撃が多数存在することを考えるとWordPressのセキュリティ対策を蔑ろにすべきでないと言えます。

参考元：Wordfence - One Attacker Outpaces All Othershttps://www.wordfence.com/blog/2020/05/one-attacker-rules-them-all/

WordPressへのサイバー攻撃の具体例

WordPressへのサイバー攻撃はWordPress本体・テーマ・プラグインなどの脆弱性を悪用するものが挙げられます。

脆弱性を悪用してWordPressに不正アクセス・不正ログインし、WordPressを乗っ取り、データを改ざんすることにより、意図しないページへの遷移や誘導が行われます。

その他にも直接的にマルウェアやウイルスを含むファイルのダウンロードやインストールを促すことで、本来であれば安全なページを悪質なページへと塗り替えられてしまいます。

また、誤った情報の発信やWordPressのデータベースに含まれる情報の搾取、会員情報が含まれて入れば顧客情報を漏洩してしまう可能性も高くなります。

WordPress本体をアップデートはほぼ順調に行われていた

WordPressへのサイバー攻撃は急増したものの、WordPress本体のアップデートは放置されている訳ではなく、ほぼ順調に脆弱性への対処を行っていました。そのため、WordPressを自動的にアップデートしている、もしくは最新版をチェックしながら手動でアップデートしている場合は被害を受けることはなかった期間とも言えます。

また、特定のプラグインやテーマの脆弱性を狙い撃ちしたサイバー攻撃の情報も見受けられないため、よほど古いバージョンのWordPress本体・プラグイン・テーマを使っているのでなければ、大きな心配はないと言えるでしょう。

ただし、WordPressを設置しているサーバー、WordPressにアクセスするデバイス、自作のテーマやプラグインを利用している場合など、環境によっては公表されているようなサイバー攻撃以外の被害を受ける可能性がある点は留意しておかなくてはなりません。

改めてチェックしておくべきWordPressのセキュリティの基礎

次に改めてチェックしておくべきWordPressのセキュリティの基礎を解説します。

WordPress本体・テーマ・プラグイン・使用しているデバイスのOSやソフトウェアのアップデートを欠かさないこと

セキュリティ対策の基本中の基本である最新版へのアップデートは必ず行いましょう。

WordPress本体・テーマ・プラグインとともに、WordPressにアクセスするパソコンなどのデバイスのOSやソフトウェアのアップデートも忘れてはいけません。

脆弱性はアップデートによって修正されますので、言い換えればアップデートしなければ脆弱性は残ったままになるということを覚えておいてください。

サイバー攻撃に関する情報収集を怠らないこと

WordPressを狙ったサイバー攻撃に関する情報収集を怠らないことも重要です。

特にWordPress本体のバージョン、特定のテーマ・プラグインの脆弱性を悪用したものについては目を光らせておくべきです。

基本的にはアップデートによって脆弱性は修正されるものですが、場合によってはテーマやプラグインを変更するなども対応策として覚えておくことをおすすめします。

セキュリティ関連のプラグインやWordPressを設置するサーバーのセキュリティもチェック

WordPressにはセキュリティ対策となるプラグインがあります。未導入であれば必ず導入し、使いこなせるようにしておくことをおすすめします。

また、忘れがちなのがWordPressを設置しているサーバーのセキュリティです。特に自社でサーバーを構築している場合はサーバー自体のOSやソフトウェアのアップデート、サーバー自体のセキュリティ対策についても学んでおき、必ず対策するようにしてください。

まとめ：サイバー攻撃やセキュリティ対策は他人事ではないと考えよう！

今回は2020年～2021年春までのWordPressにおけるセキュリティ関連の話題と、改めてチェックしておくべきセキュリティの基礎についてお話しました。

サイバー攻撃はセキュリティ対策は他人事ではありません。運が良い・悪いという問題でもないため、常日頃からセキュリティに関する意識を忘れないようにしましょう。

また、WordPressはWeb制作初心者の方でも構築や運用がしやすいことから、自社による構築や運用をされていることも少なくありません。その際、セキュリティに関する知識が乏しいとサイバー攻撃による被害を受ける可能性が高くなりますので、セキュリティに不安がある場合はWeb制作会社や業者にセキュリティに関する相談をして、専門家を頼りながらセキュリティ対策を講じることをおすすめします。

最後までお読みいただきありがとうございました。

この記事が2021年春頃までのWordPressのセキュリティ関連の情報を把握したかった方のお役に立てれば幸いです。