1.せっかく作ったブログが狙われる前に|WordPressのセキュリティ対策入門
「せっかく作ったブログが、ある日突然消えてしまったら…」 「自分のサイトが、誰かを攻撃する踏み台にされてしまったら…」
想像するだけで怖いですよね。でも、これはWordPressを運営する以上、誰にでも起こりうるリスクです。
実は、WordPressサイトへの攻撃の多くは、持ち主が気づかないうちに自動プログラムによって行われています。「まだアクセスが少ないから」という油断は、ハッカーにとって絶好のチャンス。
自分の大切な居場所(ブログ)と、読者の皆さんの安全を守るために。まずは基本のセキュリティ設定から始めていきましょう。
2.WordPressのセキュリティは「サーバー側」と「WordPress側」の二段構えで守る
- サーバー側で防ぐ:XserverのWAF設定
- WordPress側で守る:セキュリティプラグイン「CloudSecure WP Security」
WAF(Web Application Firewall)は、外部からの攻撃をサーバー側でブロックしてくれる仕組みです。
WordPressを狙った不正アクセスや自動プログラムによる攻撃も、WAFを有効にするだけで大部分は防ぐことができます。
WAFだけでは完全ではありません。
WordPress本体やプラグイン、テーマの脆弱性を狙った攻撃から守るために、プラグインでの追加対策が必要です。
3.なぜWordPressはこんなに狙われるの?その意外な「背景」
ブログを作ったばかりの時って、「私のサイトなんてまだ誰も知らないし、攻撃なんてされないでしょ」と思いがちですよね。
でも、現実はちょっと違います。実は、WordPressは世界で一番「ハッカーにコスパ良く狙われるツール」なんです。その証拠に、大手のレンタルサーバーや公的機関も警鐘を鳴らしています。
- 世界シェアが圧倒的!「一石二鳥」ならぬ「一石千万鳥」
- 狙われるのは「本体」よりも「プラグイン」
- 相手は人間ではなく「自動プログラム(ボット)」
① 世界シェアが圧倒的!「一石二鳥」ならぬ「一石千万鳥」
統計データ(W3Techs)によると、世界中のWebサイトの約43%がWordPressで作られています。
攻撃者の立場になって考えてみてください。たった一つの「攻略法」を見つけるだけで、世界中のサイトの4割以上に侵入できる可能性があるんです。これほど効率の良いターゲットはありません。
② 狙われるのは「本体」よりも「プラグイン」
「WordPressはセキュリティが弱い」と言われることがありますが、実はWordPress本体はプロの手で厳重に守られています。
本当に危ないのは、便利な「プラグイン」や「テーマ」です。 専門組織の調査では、WordPress関連の脆弱性のうち、なんと90%以上がプラグインやテーマに起因しているというデータもあります。
世界中の誰でも作れる便利ツールだからこそ、中には「カギが壊れやすいドア」のようなプラグインが混ざっている。そこが攻撃者の「裏口」になってしまうんです。
③ 相手は人間ではなく「自動プログラム(ボット)」
「私のブログはアクセスが少ないから大丈夫」という理屈は、残念ながら通用しません。なぜなら、攻撃のほとんどは「自動プログラム(ボット)」が行っているからです。
セキュリティ企業の報告によると、Webサイトへの攻撃は「1秒間に20回以上」も行われています。彼らは24時間365日、無差別に「WordPressっぽいサイト」を探しては、片っ端からパスワードを当てるアタック(総当たり攻撃)を仕掛けています。
引用元:WordPress市場シェア統計(2011〜2025年)
https://kinsta.com/jp/wordpress-market-share/
引用元:キヤノンMJがお届けする安全なデジタル活用のためのセキュリティ情報
https://eset-info.canon-its.jp/malware_info/special/detail/220419.html
4.アクセス数ゼロなのに攻撃が?ChatGPTにサーバーのログを分析させて分かった衝撃の事実
「でも、まだアクセスなんて全然ないし、私のサイトは大丈夫でしょ?」
そう思っていた時期が、私にもありました。でも、気になってレンタルサーバー(エックスサーバーなど)のサービスの一つ「アクセス解析」でデータを取り出し、AI(ChatGPT)に分析させてみたんです。
その結果、驚きの事実が判明しました……。
5. 誰も知らないはずのサイトに「謎の訪問者」が続々
まだ公開して間もない(生誕3日)、誰にも教えていないはずの私のブログ。
しかしログを見てみると、そこには私がアクセスしていない時間に、海外からの不自然なアクセスがびっしりと記録されていました。
誰が私のサイトに来ているのか調べなくては・・・
6.どこの国からの訪問?
日本は、良いとして、
アメリカ、オランダ、シンガポール、カナダ、フランス、イタリア、イギリス、イスラエル、韓国、ドイツ、ロシア、・・・・
・合計国数: 44か国
・合計ページビュー数: 977 PV
これは何なんだ??
早速、ChatGPTに相談(分析)してみました。
①攻撃のターゲットになっているかの判断
サイバー攻撃には、その時々で「攻撃元になりやすい国」という傾向があります。
異常の検知: 普段は日本からのアクセスが9割なのに、突如として特定の国(例:ロシアや東ヨーロッパなど)からのアクセスが急増した場合、それはボットネットによるスキャンや攻撃の予兆である可能性が高いです。
②「ジオフェンシング(地理的制限)」による防御
国が特定できれば、物理的な距離を利用してリスクを遮断できます。
不要なアクセスのブロック: 管理画面へのアクセスを日本国内IPのみに制限することで、攻撃の90%以上を未然に防ぐことができます。
◆【無害】世界のゲスト(少数アクセス)
これらは「世界中に公開されているサイト」なら必ず発生する自然な動きです。
•🇨🇦 カナダ / 🇫🇷 フランス / 🇮🇹 イタリア / 🇬🇧 イギリス
理由: 海外の検索エンジンや、ブラウザの翻訳機能による巡回です。
・🇷🇺 ロシア / 🇨🇳 中国 / 🇺🇦 ウクライナ など
理由: ネット上の自動パトロールや、たまたま辿り着いた単発アクセスです。
________________________________________
◆セキュリティ健全性チェック
現在の状況を4つのチェック項目で判定しました。
1.分散度(特定の国に偏りすぎない)
合格: 日本が主軸で、他は自然な割合です。
2.日本比率(ターゲット層は正しいか)
合格: 約5割が日本で、国内向けサイトとして理想的です。
3.転送量の異常(データの持ち出しはないか)
合格: アメリカの転送量が多いのは、Googleが隅々まで読んでいる良い兆候です。
4.不審な集中(深夜の急増など)
なし: 攻撃のような極端な数値は見当たりません。
________________________________________
◆ 今後「これだけ」気をつければOK!
今は安心ですが、もし以下のようになったら対策(IP制限など)を検討してください。
•急な変化: 普段1%以下の国(例:ロシア)が、突然「80%」を超えたとき。
•不自然なヒット数・転送量がほぼ「0」なのに、ヒット数だけ「数万件」に増加。
7.エラーログを見てみよう
エラーログを定期的に監視・分析することは、サイバー攻撃の予兆を捉え、被害を最小限に抑えるための「デジタルの監視カメラ」を確認する作業に似ています。
セキュリティ面でのメリットと、具体的な実践方法を解説します。
① 攻撃の予兆(偵察活動)を検知できる
攻撃者は本攻撃の前に、脆弱性を探るために「存在しないファイル」にアクセスしたり、不正なパラメータを送信したりします。これらはログに 404 Not Found や 500 Internal Server Error として記録されるため、急増していれば攻撃のサインです。
② 不正アクセスの早期発見
ログイン失敗のエラーログ(401 Unauthorized など)が短時間に大量発生している場合、ブルートフォース攻撃(総当たり攻撃)を受けている可能性が高いと判断できます。
1. 「300番台」が多いのは優等生の証拠
301などのリダイレクトが多いのは、サイトの設定(常時SSL化など)が正しく機能している証拠です。道案内がスムーズに行われています。
2. 「403」はセキュリティが働いている証
403(拒否)が出ているのは、怪しいBotや攻撃者が「入ろうとして失敗した」跡です。サーバーがしっかりガードを固めているという「安心材料」と捉えてください。
3. 「404」はネットの風に吹かれているだけ
404(未検出)は、古いリンクやBotが勝手にURLを予想して叩いているだけなので、今の件数なら気にする必要はありません。
◆今後「これだけ」気をつければOK!
今の状態を維持するなら、以下の変化があったときだけ注意。
403 や 404 が一気に「数千件」に跳ね上がった → 執拗な攻撃を受けている可能性があるため、IP制限を検討。
503 が「数百件」に増えた → サーバーのスペック不足か、過負荷が起きているサイン。
8.訪問するロボット(自動巡回)をみよう
Webサイトにアクセスする「ロボット(Bot)」を分析することは、サイトの「健康診断」と「防犯パトロール」を同時に行うようなものです。
① 検索エンジンに正しく評価されているか分かる
Googlebotなどの「良いロボット」の動きを見ることで、サイトが正しくインデック ス(検索結果への登録)されているかを確認できます。
重要なページにロボットが来ていなければ、設定ミス(noindexなど)に早く気付け ます。
② サーバー負荷の原因を特定できる
人間ではなく、ロボットが大量のアクセスを送りつけてサーバーを重くしている場合があります。
悪質なボットを特定して遮断することで、サイトの表示速度を改善し、サーバー費用を節約できます。
③ サイトの「人気度」と「注目度」がわかる
独自の情報を収集するクローラー(pythonやcurlなど)が来ているのは、それだけあなたのサイトに価値のあるデータがあると外部から認識されている証拠でもあります。
1. サイトを助ける「良いロボット」
これらはサイトを検索結果に載せたり、正しく表示させるために必要なアクセスです。
• Googlebot / Yahoo! China / Konqueror
検索エンジンがあなたのサイトの内容を読み取っています。
非常に健全です。件数は少ないですが、定期的に見回りに来ている証拠です。
2. 「偵察」に来ている中立なロボット
これらは攻撃ではありませんが、脆弱性を探すツールや自動プログラムです。
• wordpress (58件)
WordPressの脆弱性がないか、あるいは連携機能を使おうとしています。
58件程度なら「ネット上の自動スキャン」の範囲内です。先ほどの「403エラー(拒否)」でしっかり弾けていれば問題ありません。
• python / curl (計8件)
プログラミング言語を使って直接アクセスしてくるタイプです。
個人や業者が特定の情報を自動取得しようとしている可能性があります。
3. 最も注意が必要な「bot[...]」 (93件)
正体を隠した、あるいは特定のパターンを持つ機械的なアクセスです。
今回のリストの中で最も数が多い(93件)ですが、転送量が「1.9 MB」と小さいため、「サイトの入り口を軽く叩いて回っている(偵察)」状態と言えます。
9.WordPressで最低限やっておきたいセキュリティ対策
WordPressはとても便利な反面、世界中で使われているため、
自動攻撃や不正アクセスの対象になりやすいのも事実です。
そのため、「何も対策しない状態」で運用するのはおすすめできません。
ここでは、比較的簡単に導入できるセキュリティ対策を2つ紹介します。
① Xserver(エックスサーバー)のWAF設定を有効にする
Xserverには、「WAF(Web Application Firewall)」という仕組みが用意されています。
これは、不正なアクセスや攻撃をサーバー側で自動的にブロックしてくれる機能です。
- 不正なログイン試行
- 改ざんを狙ったアクセス
- プログラムの脆弱性を突く攻撃
やさい
こうしたものを、WordPressに届く前の段階で防いでくれるのがWAFの役割です。
設定も難しくなく、Xserverの管理画面から「ON」にするだけで利用できます。
まず最初に有効化しておきたい、基本中の基本の対策です。
② WordPressプラグイン「 CloudSecure WP Security」を使う
次におすすめなのが、WordPress側で行うセキュリティ対策です。
その一つが、「CloudSecure WP Security」というプラグインです。
このプラグインを使うことで、
- ログイン画面の保護
- 不正ログインの検知・制限
- 管理画面への不正アクセス対策
やさい
といった対策を、比較的かんたんに追加できます。
「WordPressの中身を守る役割」を担ってくれる存在と考えると分かりやすいと思います。
私自身は、セキュリティ関連の機能については、ほぼすべてを有効(ON)にして運用しています。
「ほぼ」と表現しているのは、すべてを有効にすると、場合によっては表示崩れや動作不良など、別の不具合が出てしまう機能もあるためです。
セキュリティは大切ですが、サイトが正しく表示されなかったり、使いにくくなってしまっては本末転倒です。
そのため、実際に動作を確認しながら、影響が出ない範囲で最大限有効化するようにしています。
なお、これらの詳細の設定は、Yotubeで動画で見た方がわかりやすいので、Youtubeで検索してみてください。
10.サーバー側 × WordPress側の“二重対策”が大切
今回、分析してみて、作ったばかりの自分のサイトが探索されていることがわかりました。
セキュリティ対策は、一つだけやれば安心というものではありません。
- サーバー側で防ぐ(XserverのWAF)
- WordPress側で守る(セキュリティプラグイン「CloudSecure WP Security」)
やさい
このように役割の違う対策を組み合わせることが、被害を防ぐポイントになります。
難しい設定をしなくても、「用意されている安全機能をきちんと使う」だけで、WordPressの安全性は大きく向上します。
コメント