WordPressセキュリティ完全ガイド

WordPress救急隊 セキュリティガイドライン

WordPress救急隊では、マルウェア感染・不正アクセス・脆弱性悪用によるサイト乗っ取りを防ぐため、確実性の高いセキュリティ対策を標準実装しています。このページでは、当サービスが採用している防御方針と、WordPressサイトを安全に運用するための推奨設定をまとめています。

1. 防御の原則 ― 完全防御は不可能、その代わり「侵入されにくくする」構造へ

WordPressはプラグイン数が膨大で、脆弱性が毎月大量に報告されるCMSです。特にプラグインの更新ラグや放置プラグインがある場合、脆弱性を完全にブロックすることは技術的に不可能です。 そのため当サービスでは、以下の3段階でサイトを保護します。

  1. 攻撃を入り口で減らす(Cloudflare+WAF+ログイン保護)
  2. 侵入されても動作できない構造にする(PHP実行制限・権限管理)
  3. 万が一でも即復旧できる(バックアップ外部保存)

2. WordPress救急隊が標準で行うセキュリティ強化

Cloudflare(無料プラン含む)でのグローバル防護

攻撃の大半は国外サーバーからの自動攻撃です。CloudflareのWAF・Bot管理・レート制限で、攻撃の70〜80%を入口で遮断できます。

ログイン周りの強化(SiteGuard等)

ログインURL変更・画像認証・XML-RPC停止などにより、ブルートフォース・自動ログイン攻撃をほぼ無効化します。

PHP実行権限の制御(uploads フォルダの保護)

マルウェアの大半は「uploadsにPHPを上げて実行」です。以下のルールを設置し、完全に動作を封じます。 

<Files *.php>
deny from all
</Files>

wp-admin / wp-includes への外部アクセス制限

wp-admin・wp-includes へ直接アクセスできないよう遮断することで、攻撃者がエンドポイントを叩けなくなります。

データベース権限の最小化

侵入されてもデータベースの破壊ができないよう、ユーザー権限を最低限に絞ります。(DROP・ALTER禁止)

外部自動バックアップで「即復旧」可能に

マルウェア感染・改ざんが発生しても、外部保存バックアップ(Dropbox等)があれば30分以内で完全復旧が可能です。

3. 最新の脆弱性情報について

毎月、アメリカを中心としたセキュリティ企業より重大なWordPressプラグイン脆弱性が発表されています。 脆弱性の年表や最新攻撃動向は、以下のブログ記事で随時更新しています。

▶ 最新のWordPress脆弱性・マルウェア年表はこちら

4. サイトが攻撃されている可能性がある場合

下記に該当する場合は、すぐに調査をおすすめします。

  • サーバーリソースが急増している
  • 見覚えのないPHPファイルが増えている
  • 管理者が勝手に追加されている
  • Googleでマルウェア警告が出た
  • 検索順位が突然急落した

WordPress救急隊では、初期調査・マルウェア駆除・復旧・防御設定までワンストップで対応いたします。

5. まとめ:マルウェア感染は放置すると深刻な二次被害を招きます

マルウェア感染を放置しておくと、最悪の場合 Googleインデックスから削除され、復旧後も検索順位がなかなか元に戻らないケースが多発しています。また、企業としての信頼度が低下し、問い合わせ減少・契約損失につながることもあります。

さらに近年では、銀行などの金融機関が融資審査で「自社サイトの健全性」をチェックする事例も増えています。マルウェアに感染したサイトを放置すると、事業運営にまで悪影響が及ぶことがありますので、早急な対応が必要です。

サーバー会社から届く警告メールは必ず確認してください

マルウェア感染や不正アクセスが起きた場合、サーバー会社から下記のような警告メールが届くことがあります。放置するとアカウント停止やデータ削除に至るため、メールは必ず確認してください。

▼ エックスサーバーから実際に届いたメールの例(URLのみ改変)

お客様のサーバーアカウントにおいて、
サーバーに対する負荷が著しく高い状況を確認いたしました。

この度の負荷上昇に際してプロセスの稼働状況を確認しましたところ、
以下の不正なプロセスが多数稼働しておりました。

▼稼働していた不正なプロセス
-------------------------------------------------------
/home/○○○/●●●●.com/public_html/lock360.php
-------------------------------------------------------

これを受け、当サポートにてセキュリティ調査を行いましたところ、
お客様がご利用のプログラムにセキュリティ上致命的なバグ(脆弱性)が存在し、
当該脆弱性を第三者に悪用されてしまった可能性が非常に高い状況でございました。

そのため、事後のご案内となり大変恐縮でございますが、
緊急措置として下記制限を実施しております。

このような通知を受けた場合は、放置せず速やかに原因調査と復旧を行う必要があります。WordPress救急隊では、マルウェア駆除・復元・WAF導入・脆弱性診断・運用改善まで一括で対応いたします。

関連ページのご案内

メールでの改ざん被害のご相談はこちら

365日年中無休で対応いたします

お問い合わせ・ご相談
050-3092-1700
ページ上部へ戻る