WordPressのセキュリティは危険？企業が導入前に知るべき脆弱性対策と保守サポート

WordPressは世界の全Webサイトの約43%で使用されています。
攻撃者（ハッカー）の視点に立つと、シェアの低い独自のCMSを解析して攻撃するよりも、WordPressに見つかった1つの脆弱性を攻撃する方が、世界中の何万・何億というサイトを一斉に攻撃できるため「効率が良い」のです。

空き巣が「特殊な鍵の家」よりも「ありふれた鍵の家」の開け方を研究するのと同じ理屈です。

参照元：Usage statistics of WordPress | W3Techs

WordPressはプログラムの設計図（ソースコード）が一般公開されています。
これは「機能改善が早い」というメリットがある反面、悪意のある人間が「どこにセキュリティホール（抜け穴）があるか」を研究しやすいというデメリットも併せ持っています。

最も多い原因です。WordPress本体やプラグインに脆弱性が見つかると、開発者はすぐに修正版（アップデート）を配布します。
しかし、サイト管理者がアップデートを放置していると、その古いバージョンに残った穴を突かれて侵入されます。

【対策】
常に最新バージョンにアップデートする運用体制を整えることが、最強の防御策です。

管理画面のログインページに対し、パスワードを機械的に何通りも試して無理やり突破する攻撃です。
ユーザー名が「admin」のままだったり、パスワードが「123456」など単純なものだと、数秒で突破されます。

【対策】
「SiteGuard WP Plugin」などのセキュリティプラグインを導入し、ログインURLを変更したり、画像認証を追加したりして、機械的な攻撃をシャットアウトします。

お問い合わせフォームなどの入力欄に不正なプログラムを送信し、データベースの情報を盗んだり、サイトを改ざんしたりする攻撃です。

【対策】
サーバー側で「WAF（Web Application Firewall）」を導入します。
WAFは、Webサイトへの通信を監視し、攻撃と思われるパターンを検知してブロックする「防波堤」の役割を果たします。

「アップデートボタンを押すだけなら自社でもできる」と思われるかもしれません。
しかし、WordPress本体やプラグインのアップデートは、稀にサイトの表示崩れや機能不全（画面が真っ白になる等）を引き起こすリスクがあります。

制作会社の保守サポートでは、以下のような対応を行います。

• 検証環境での事前テスト： 本番環境で更新する前に、テスト環境で不具合が出ないか確認する。
• 定期バックアップ： 万が一改ざんされた場合でも、すぐに正常な状態に復旧できるデータを確保する。
• 死活監視： サイトがダウンしていないか、24時間365日監視する。

セキュリティリスクを最小限に抑え、安心して本業に集中するためには、専門家による「守り」の体制が不可欠です。