WordPressといえば、世界で最も普及しているCMSです。無料で利用でき、簡単にサイトを構築できて便利ですよね。プラグインも充実していて、ECサイトの機能を搭載できるものもリリースされています。
こうした理由から、「WordPressでECサイトを作りたい」と考えている方もいらっしゃるのでは。
結論を言いますと、おすすめできません。大きな理由にセキュリティ面での脆弱性があります。
本記事ではWordPressのセキュリティについて、弱いと言われる理由や被害事例などを述べた後、リスクを軽減する方法も紹介していきます。
WordPressでECサイトを作るのはセキュリティ面でおすすめできない
冒頭で述べたとおり、WordPressでECサイトを作るのはセキュリティ面でおすすめできません。
実際、WordPressを狙ったサイバー攻撃は連日発生しています。例えば2020年4月から5月にかけて、とあるプラグインの脆弱性を狙ったコンテンツ改ざんが、一日で最大3,500万回にのぼったという報告があります(*)。
もちろん、ECサイトだけ攻撃を免れるはずはなく。むしろ、個人情報が満載のECサイトは狙われやすいとさえ言えます。
*:DEFIANT/One Attacker Outpaces All Others
WordPress製ECサイトが抱えるセキュリティリスク
次に、WordPress製ECサイトが抱える主なセキュリティリスクを4つ解説します。
顧客の個人情報流出
まず挙げられるのは、顧客のメールアドレスやログインパスワード、住所、クレジットカード情報といった個人情報の流出です。
これが起こると、不正購入や情報売買などに発展する恐れがあります。会社の信用が失墜する重大な事態です。
ページ改ざん
管理画面へのログイン情報が漏れると、攻撃者に勝手にアクセスされ、ページを改ざんされる恐れがあります。
・サイトの設定が変更されて使い物にならなくなる
・不正なスクリプトコードが埋め込まれ、ページにアクセスした顧客は悪意のある別サイトへ飛ばされる
・スパムメールが大量送信される
・倫理上問題のある画像が表示される
などのトラブルが起きかねません。
サーバーダウン
サイトに極端な負荷をかける攻撃を受けると、サーバーがデータを処理しきれなくなってダウンする可能性があります。こうなるとECサイトへアクセスできなくなります。
ウイルス埋め込み
ページのどこかにウイルスを埋め込まれる可能性もあります。
訪れた顧客のPCはそのウイルスに感染し、さまざまな不具合を抱えることになるでしょう。
なぜWordPress製ECサイトのセキュリティは突かれやすいのか
具体的な被害例を見たところで、次はWordPress製ECサイトが狙われやすい理由を解説していきます。
利用者数が多い分、効率よく攻撃できるから
WordPressは、日本のCMSでシェアNo.1となっており、実に82.6%を占めています(*)。CMSで作られたWebサイトは、ほとんどWordPress製と言って良いぐらいですね。
攻撃者からすればターゲットが山のようにいるわけで、1つでも脆弱性が見つかれば、そこを突いて不特定多数へ効率的に攻撃できます。
また、全体の利用者数が多い分、セキュリティ意識の低い事業者も多く交じる可能性が高くなります。これにより攻撃の成功率も同じく高まるため、WordPressは攻撃者にとって格好の的なのです。
*:W3Techs/Distribution of content management systems among websites that use Japanese
ソースコードが公開されているから
WordPressはオープンソースなので、ソースコードが公開されています。
これはつまり、脆弱性も公開されていることになるのです。熱心で良心のあるエンジニアであればすぐにでも修復しますが、悪意のある攻撃者は脆弱性に付け込んできます。
WordPress本体だけでなく、テーマやプラグインも例外ではありません。
内部構造が分かりやすいから
WordPressは専門知識に乏しい人でも操作できるよう、内部構造を分かりやすく設計してあります。
目線を変えると、これが攻撃のしやすさの原因にもなっているのです。オープンソースであることも含め、WordPressのメリットがデメリットにもなっているといえます。
油断大敵!中小企業だからといって安心してはならない
画像:一般社団法人日本損害保険協会/中小企業経営者の意識調査2019
「サイバー攻撃は大企業が受けるものでしょ。自社は中小だし大丈夫」
……と思っていませんか?しかし実際には、事業規模にかかわらず攻撃にさらされています。
画像:同上
中小企業はECサイトのセキュリティ対策に割けるリソースが多くありません。だからこそ狙い目になるのです。
WordPress製ECサイトのセキュリティ対策方法
セキュリティリスクの高いWordPressですが、それを承知でECサイトに活用する場合、最低でも以下の対策は押さえておきましょう。
パスワードを長くする
1つめは、パスワードを長くすること。
一般的に、パスワードはアルファベットの大文字・小文字、数字などを組み合わせた、複雑なものが良いとされてきました。しかしFBIによると、それよりも長さの方が重要だとのこと(*)。具体的には15文字以上です。
また、パスワードではなくパスフレーズが推奨されています。例えば「VoicesProtected2020WeAre」「DirectorMonthLearnTruck」など。このような複数の単語の組み合わせは、解読されにくい反面、覚えやすくなります。
さらに万全を期すなら定期的にパスを変更するのがおすすめです。
*:FBI/Oregon FBI Tech Tuesday: Building a Digital Defense with Passwords
管理ページへのアクセスに制限を付ける
管理ページへのアクセスに制限を付けるのも有効です。
・ログイン画面のURLを複雑にする
・特定のIPアドレスでしかアクセスできなくする
・複数回ログインに失敗するとロックがかかるようにする
などの手段が考えられます。
パスワードを長くする前掲の方法と合わせて使うと、より強固な環境を構築できるでしょう。
システムを常に最新バージョンに保つ
WordPress本体やプラグイン、テーマに脆弱性が見つかると、修正済みの最新バージョンがリリースされます。通知があれば、必ずアップデートするようにしましょう。
また、プラグインやテーマは使っていなくても攻撃される可能性があります。不要だったり古かったりするものは削除するのがおすすめです。
WordPressを検討するならASPの方がおすすめ
WordPressでEC制作を考えているということは、なるべくコストを押さえたいのではないでしょうか。
もしそうであれば、ASPで制作するのをおすすめします。ASPはネットのクラウド上で動くソフトウェアのことで、Webの知識がなくとも手軽に使える上、リーズナブルなのが魅力です。
また、クラウド型なのでバージョンアップは運営が自動で行ってくれます。常に最新システムが使えるため、セキュリティリスクを大幅に抑えられるのです。
【ASPの例】
・無料…初期費用・月額費用がかからない。ただし、売上1件ごとに手数料が発生する。代表例は「BASE」や「STORES」など
・有料…無料ASPよりもデザインや機能のカスタマイズ性が高く、サポートも充実。代表例は「MakeShop」や「Shopify」など
まとめ
今回はWordPress製ECサイトについて、セキュリティ面からおすすめできない理由や具体的なリスク、そして対策方法などを解説してきました。
会社の信用にかかわる問題なので、セキュリティの強さは極めて重要です。トラブルが起こると数週間サイトが使えなくなったり、数千万円の損害が発生したり、顧客から訴えられたりしかねません。
もしWordPressでECサイトを構築するのであれば、脆弱性への対策を怠らずに行い、こままえに状況をチェックするようにしましょう。