WordPressはセキュリティリスクが高いと言われがちですが、そのほとんどは運用でカバーできます。世界中で圧倒的なシェアを誇るの強みはSEOと拡張性です。その恩恵をECサイトに利用しないのはもったいない話です。
人気も実績も兼ね備えたWordPress でECサイトを構築すれば、WordPressの強みを反映し、集客に優れたECサイトを作ることができます。
では、どの様にすればWordPressで安全なECサイトを運用することができるのでしょうか。 今回は、皆さんの不安要素であるセキュリティに注目したECサイトの作り方と運用方法について解説いたします。
目次
なぜWordPressは人気があるのか
W3Techsによると、2022年の WordPressの使用率はインターネット上のすべてのサイトのうち43%です。CMSを使用するサイトで見ると65%を占めています。
なぜこれだけのシェアを獲得できるのでしょうか。
「SEOに強い」
最も大きな理由の1つは「SEOに強い」です。 Googleの検索エンジンを開発する部門の責任者の一人であったマット・カッツ氏が下記のようにWordPress (ワードプレス)がSEOに効果があると言及されたのは有名な話です。
(日本語訳) WordPressは素晴らしい選択だ。 WordPressは検索エンジン最適化(SEO)の仕組みの80-90%に対応している。
SEOはECサイトにとっては重要でありながら最も難しいポイントである、「集客」にあたります。もちろんWordPressでサイトを作ればどんなサイトでも検索上位に上がるということではありませんが、他のCMSやASPサービスでECサイトを構築し「集客」を行う場合と比較してどちらが有利かは比べるまでもないでしょう。
「カスタマイズ性が高い」
WordPress は常に本体機能が進化を続けています。プラグインやテーマも数多く開発されており、ニーズに合った機能やデザインの拡張ができます。 また、ASPとは異なり、オープンソースでソースコードが公開されており、自分のサーバにインストールして利用するため、自由に機能開発も可能です。 HTMLやCSSのスキルがあれば、テーマをカスタマイズしてデザインを変更することができます。PHPのスキルがあれば独自の機能を開発することもできます。 WordPressを扱う制作会社も多いため、知識が無い場合でもプロに依頼することでオリジナルのデザインや特別な機能を開発するということも難しくありません。 開発者にとっても、コミュニティが数多く存在し、情報が数多く公開されているため開発しやすいツールとなっています。
なぜWordPressはリスクが高いと思われるのか
WordPressのサイトで発生するサイト改ざんなどの事故の多くは、適切なバージョンアップやサイト管理を行っていないことに起因します。 また、WordPressの利用者が非常に多いため、必然的に被害報告の数自体も多くなり、数だけを見るとリスクが高いと判断されてしまうこともあります。
2017年初旬に発生した150万件もの改ざん被害は最新バージョンを使っていれば防げた
2017年初旬に発生し、被害件数が非常に多かったためWordPress のリスクが高い例として取り上げられることの多いRest APIにおける脆弱性は、実際には攻撃の数週間前には、この脆弱性をすべて修正したバージョンがリリースされていました。 そのため、アップグレードを迅速に行っていたサイトは攻撃を受けていません。
脆弱性の出ないシステムというのは実際にはほぼ存在しないため、重要なのは脆弱性を素早く修正し改善を行うという点です。WordPress でも脆弱性は発生しますが、2017年の例のようにWordPress のセキュリティチームは素早く対応を行っておりますので、それに合わせてアップグレードを行うといった私たちユーザーの意識が重要なのです。
脆弱性の92%はプラグイン
WPScanによると脆弱性の92%はプラグインによるものというデータがあります。 これは、WordPressコアではなく、プラグインやテーマに注意する必要があるということを示しています。
出展元:WPScan
WordPress 公式のプラグインやテーマにはコードの基準があり、セキュリティチームがチェックを行っていますが、公式以外のプラグイン、テーマも多く、使用する際には注意が必要です。 きちんとメンテナンスされているプラグインやテーマを選び、アップデートを行うことでセキュリティを保つことができます。
このようなデータを見れば、WordPress本体よりもプラグインのアップグレードの方が重要であるということが分かります。
WordPressのセキュリティは2つの対策で9割OK
WordPress のセキュリティ対策は実は難しいものではなく、2つの対策で9割はリスクを防ぐことができます。
管理画面のログインを守る
被害事例で多い管理画面への不正ログインを防ぐため、ログインロック機能を装備し、攻撃者が管理画面に入るためのパスワードを手に入れようとするのを防ぎます。 また、パスワードを盗まれてしまったことを想定して2要素認証を装備することでさらにセキュリティを高めます。
ログインロック機能を実装できるおすすめプラグイン
(作者:JP-Secure)
(作者:Wordfence)
2要素認証機能を実装できるおすすめプラグイン
(作者:Plugin Contributors)
(作者:Wordfence)
Wordfenceプラグインは、上記の2つの機能を兼ね揃えたプラグインです。
脆弱性をなくす
ほとんどの攻撃者は、公開されている過去の脆弱性を攻め、サイトを改ざんしようとします。これに対応するため、WordPressと全てのプラグインのアップグレードを小まめに行う必要があります。プラグイン自体の選定も、1年以上更新されていないプラグインは使用をやめて別のものを探すと良いでしょう。
また、テーマやPHPもアップデートする必要があるかをチェックし、必要な場合は迅速にアップデートを行います。
アップデート作業による稼働停止の損失が大きいサイトでは、保守、メンテナンスを専門家にアウトソースするということもセキュリティを保つ上で有効な手段です。
WordPressで安全なECサイトの作り方
WordPressでサイトを作るには、テーマ(テンプレート)の選考とプラグインの構成が重要です。取り分けECサイトではセキュリティ対策が重要になります。 ここでは、セキュリティを考えたECサイトの作り方と運用方法をご紹介します。
プラグイン
WordPressには数えきれないほどの無償のプラグインが公式に公開されており、それらを使うことでほとんどの機能実装を行うことができます。 ただ、あまりにもたくさんのプラグインが公開されており、どれを使ってよいのか、どの様な構成にすべきなのかは経験が必要です。
これまでも述べてきた通り、プラグイン自体に信頼性があるかが重要です。 基本的にはWordPress公式であって、しっかりメンテナンスされているプラグインか、もしくは開発元がしっかりしているプラグインを使用すべきです。 また、インストールしたプラグインはアップグレードなど作業が頻繁に発生するので、メンテナンスやセキュリティの観点からも見てできるだけ数は少なくすることも重要です。 そのため、プラグインは厳選してインストールする必要があります。
そこで、WordPressでECサイトを作成する際に最適なプラグイン構成をご紹介したいと思います。
ここでは、カートシステムにWelcartプラグイン(開発元:株式会社Welcart)を使用することを前提に、ECサイトを構築する上で最適なプラグイン構成を紹介します。
カートシステム
(作者:株式会社Welcart)
様々なクレジットカード決済が行え、受注管理、会員管理が行えます。日本製のWordPressのECプラグインで、国内で2万以上のユーザーに利用されています。
セキュリティ
(作者:Limit Login Attempts Reloade)
過剰なログイン試行をブロックし、ブルートフォース (総当り) 攻撃からサイトを保護します。
(作者:Plugin Contributors)
2要素認証を有効化します。時間ベースの1回のみ使用できるパスワード (OTP、Google Authenticator) または Universal 2nd Factor (FIDO U2F、YubiKey)、メールなどが利用可能です。
(作者:Wordfence)
上記2つのセキュリティ・プラグインの機能を兼ね備える高機能プラグイン。
このプラグイン一つでセキュリティ面ではかなり強固なものとなります。
ただ高機能が故、使い方をマスターする必要があります。
(作者:Sajjad Hossain)
ファイルの拡張子を設定することで、アップロードできるファイルを制限できます。
ユーティリティ
(作者:Takayuki Miyoshi)
お問い合わせフォームプラグイン。
(作者:WPForms)
他のSMTPサーバーを使ったメール送信を可能にします。
(作者:Team Yoast)
WordPress の SEO を向上させます。
メンテナンス
(作者:Inpsyde GmbH)
ファイルやデータベースを簡単にバックアップ、復元できます。
(作者:Florent Maillefaud)
サイトをメンテナンスモードにして通常閲覧できないようにできます。
(作者:John Blackbourn)
サイト構築中にバグ出しなどを行いたい場合に便利なプラグインです。
Welcart専用拡張プラグイン
(開発元:株式会社Welcart)
クロネコヤマトのB2との連携ができます。
(開発元:株式会社Welcart)
GA4に対応したタグを自動出力。Google Analytics4のトラッキングが可能となります。
(開発元:株式会社Welcart)
Instagramショッピング連携や、サブスクリプション販売を可能にする自動継続課金、定期購入など様々な拡張プラグインがあります。
その他のWelcart専用拡張プラグインはこちらから確認できます。
Welcartと併用してはいけないプラグイン
テーマ
WordPressでは、無償のテーマも数多く公開されています。しかし、ECサイトを作るのであれば、カートシステムが何かを考える必要があります。
Welcartを使用するのであればWelcart専用のテーマを使用するのがベストです。 要件に合わない部分はカスタマイズで対応が可能です。 Welcart専用テーマは下記より購入することができます。 無償のテーマもあるのでご確認ください。
(開発元:株式会社Welcart)
スマホに最適化されたデザインやサイトのイメージに合わせて選べる様々なテーマがラインナップされています。
安全に運用する方法
WordPressを安全に運用するために必要な対策は先に記載した通り、管理画面へのログインを守ること、プラグインなどを古いままにしておかないということにつきます。
ログインを守る
ログインには、Basic認証と2要素認証を併用するのがベストです。固定IPがあるようでしたらそのIPアドレスはBasic認証をスキップするようにできます。Baisc認証はサーバーの設定が必要ですので、専門家に依頼すると良いでしょう。
2要素認証はプラグインで実装できます。お勧めするのはWordfenceです。これ一つでいろんなセキュリティ機能が実装できますが、2要素認証やログインロックなどは簡単に設定できますので是非利用すべきです。
定期的なアップデート
WordPress、プラグイン、テーマは常に開発が続けられ、新機能の実装と共にバグや脆弱性の修正が行われています。特に脆弱性が発見された場合は、様々な機関に登録され一部は公開されます。悪意のあるものはこの様な情報を元に、古いバージョンを使用しているサイトを探し攻撃を仕掛けます。これは他人ごとではなく、たった今もあなたのWordPressが狙われているのです。しかし、アップデートを行っていれば被害を受ける可能性は格段に下がります。従って、定期的なアップデートといったメンテナンスは非常に重要なものです。
私たちは、更新通知が出て初めて修正版がリリースされたことを知ります。しかし、更新通知が出ていないからと安心してはいけません。もしWordPressの管理画面に更新通知が出ていなかったら、担当者あるいは担当会社に、更新通知が出なくなるカスタマイズを行っていないか確認してください。 また、開発の継続をやめてしまったプラグインも更新通知が出ません。少なくとも1年間更新されていないプラグインがあったら、別のものを探して入れ替えるようにしましょう。 プラグインを選ぶコツは、利用者が多い事、頻繁に更新されている事に着目しましょう。
もし、VPSやAWSを使用されているサーバーエンジニアは、OpenSSLやPHP等のアップデートを怠らないように気をつけましょう。
まとめ
本記事では、世界中で人気の高いWordPressを使って、セキュリティを保った安全なECサイトを構築する方法をご紹介しました。 「SEO」や「カスタマイズ性」など多くのメリットがあり、集客性の高いサイトで同時に商品販売を行うことができるWordPressでのECサイト構築は、本格的なECビジネスを強力に後押しすることができます。 構築時のテーマ、プラグインの選定や、運用面での注意点などはある程度知識が必要なため、学習コストはASPサービスと比較すると高くなる点はデメリットと感じられるかもしれませんが、保守、メンテナンスを専門家にアウトソースすることも可能です。
多くのASPやEC構築サービスでも、集客のために別にWordPressのサイトを構築し、そこからECサイトへ流入させる形を推奨していますが、管理するサイトが2つになってしまう事、デザインの統一性を持たせるのに手間がかかってしまう事などのデメリットが考えられます。 Welcartを使ったECサイトであれば、WordPress一本で集客と販売が実現できるのです。
是非、本記事を参考にWordPressのECサイト構築を検討いただければと思います。
この記事は役に立ちましたか?
9
PAGE TOP