SNSで「WordPressはやめとけ」「サイトが乗っ取られた」という投稿を見ると、これから使おうとしている方や、すでに運営している方はとても不安になりますよね。
結論から言うと、「WordPressそのものが危険」なのではありません。「世界一シェアが高いために、鍵をかけ忘れている家が狙われやすい」というのが実態です。
実は私自身、WordPressで5〜6年サイトを運営していますが、一度も被害に遭ったことはありません。基本的な対策さえ知っていれば、過度に恐れる必要はないのです。
「セキュリティが不安だから」という理由だけでWordPressを諦めてしまうのは、SEOの強さやカスタマイズ性といった大きなメリットを捨てることになり、とてももったいないこと。
私がWordPressを使い続けているもう一つの大きな理由は、自分の書いた記事やデザインが、『完全に自分のものになるから』です。
便利なツールは他にもありますが、もしそのサービスが終わってしまったら、せっかく積み上げた努力も消えてしまいます。WordPressなら、自分で鍵をかけて守る必要はありますが、その分、誰にも邪魔されない『自分だけの資産』として守り続けることができるんです。
今からお伝えする対策を順番に行えば、乗っ取りのリスクを最小限に抑え、WordPressの恩恵を最大限に受けることができます。初心者の方でも今日からできる方法を、丁寧に解説していきますね。
目次
なぜ「WordPressは危ない」と言われるのか?
WordPressは世界で最も使われているCMS(コンテンツ管理システム)
世界のサイトの約4割がWordPressで作られています。一つの攻撃パターンを作れば、世界中の4割のサイトを攻撃対象にできるため、攻撃者からすれば、非常に「コスパの良いターゲット」になっています。
「放置」されているサイトが多い
誰でも簡単に作れる分、アップデートを何年もしていない「空き家」のようなサイトがたくさん放置されています。SNSで流れてくる被害報告の多くは、こうしたメンテナンス不足が原因であることがほとんどです。
どのように攻撃され、侵入されるのか
(Geminiで画像生成してみました!)
WordPress(ブログやホームページ)を「家」だと考えてみてください。攻撃者は力ずくでこじ開けるよりも、「鍵の開いた窓」を狙い、「合鍵を作る」方法などで侵入してきます。
泥棒(攻撃者)の狙い
あなたの家を壊したいわけではなく、「勝手に入り込んで、怪しいチラシを貼ったり、勝手な商売をしたり、他の家を攻撃(スパムメール)する基地にすること」が目的です。
詐欺師が自分のパソコンからメールを送るとすぐにブロックされますが、「長年運営されているあなたの信頼あるサーバー」を乗っ取って送れば、セキュリティをすり抜けて詐欺メールを世界中に届けることができてしまいます。
侵入される主な原因
更新していないWordPress本体・プラグイン・テーマの脆弱性
特にプラグインの脆弱性が狙われるケースが多いです。更新が止まった古いプラグインを使っていたり、不要なプラグインを入れたままにしていると、セキュリティ修正前の脆弱性が狙われてしまいます。
ワードプレスのログインパスワードが簡単なものになっている
パスワードが簡単なものになっていると、パスワードの総当たり攻撃で突破されやすくなってしまいます。
「攻撃されてる!」と気づくための簡単な方法
専門的なログ(記録)を見なくても、以下の3つだけでだいたい分かります。
Googleで検索した時に「見覚えのないページ」がないか調べる
Googleの検索窓に site:自分のサイトのURL(例:site:example.com)と打ち込んで検索してみてください。 もし検索結果に、あなたが書いた覚えのない英語や中国語などの怪しいページが表示されていたら要注意です。
これは、あなたのドメインに勝手にページが作られ、検索結果が「汚染」されている状態です。放置すると、せっかく積み上げてきたGoogleからの評価がガタ落ちし、最悪の場合は検索結果からサイトが消されてしまうこともあります。
ユーザー一覧に「見知らぬ管理者」がいないか見る
WordPressの管理画面から「ユーザー」→「ユーザー一覧」を開いてみてください。もし自分以外の「管理者(Administrator)」が登録されていたら、それは攻撃者が侵入して作った「裏口の合鍵」です。
表側のパスワードをいくら変えても、この「合鍵」がある限り、攻撃者はいつでも好きな時にあなたのサイトへ出入りできてしまいます。
サーチコンソールで「セキュリティの警告」を確認する
Googleサーチコンソールを使っているなら、「セキュリティと手動による対策」メニューの中の「セキュリティの問題」をチェックしましょう。
Googleがあなたのサイトの異変(ウイルスや改ざん)を検知した場合、ここに警告が表示されます。何も表示されていなければ、まずは一安心です。
初心者でもできる「効果絶大」なセキュリティ対策3つ
難しい設定は不要です。この3つをやるだけで、攻撃を受ける確率は90%以上下げられます。
WordPress本体・テーマ・プラグインを最新に保つ
管理画面の「更新」に赤い丸のマークが出ていたら、更新してください。
一気に更新ボタンを押すのではなく、一個ずづ更新して不具合がないか確認してから次の更新をしてください。
その際は、更新で不具合が出た時のために、元に戻せるように、事前にサイトのバックアップを取ってからプラグインを更新してください。
ログイン画面のURLを変更し、パスワードを複雑なものにして、画像認証(ひらがな入力)を入れる
セキュリティのプラグイン(SiteGuard WP Plugin や XO Security)を入れて、ワードプレスのログイン画面のURLを変更します。
パスワード:「名前+誕生日」などは絶対にNGです。16文字以上のランダムな英数字にしてください。「ユーザー」→「新しいパスワードを設定」をクリック。
強力なパスワードを自動で生成してくれます。
画像認証:セキュリティのプラグインを入れると、ログイン画面に「画像認証(ひらがな入力)」を追加でき、これだけで機械的な攻撃をほぼ防げます。
使っていないプラグインやテーマは「消す」
「今は使ってないけど、いつか使うかも」と置いてある無効化中のプラグインやテーマはありませんか? 使っていないテーマやプラグインは、「削除」してください。
プラグインは、使用を止めていても、ファイルがサーバーにあるだけで、そこが泥棒の侵入経路になります。
ご相談はお気軽に💌
一人で作業するのは不安、詳しい人に見てほしいという方でも大丈夫です!
ご相談はいつでも承っていますのでお気軽にお問い合わせください🌟
LINE公式アカウント
✅LINE公式アカウントからお友達登録をお願いします!
お問い合わせフォーム
🏡当サイトのフォームからお問い合わせ
