個人ブロガーでも簡単にできるWordPressのセキュリティ対策!
WordPressセキュリティ対策について解説しています。
WordPressサイトを制作するなら必ずしておきたい基本対策から、高度なセキュリティ対策まで。また、セキュリティ対策におすすめのプラグインについてもご紹介しています。
個人ブロガーでも簡単にできるWordPressのセキュリティ対策!
WordPressのセキュリティ対策をする必要性
WordPressのセキュリティ対策はなぜ必要なのか?それはサイトを乗っ取られた上に改ざんされる恐れがあるからです。
「でも、私のサイトには大した情報は入ってないから別に良い」と考えるかもしれません。
しかし、あなたのサイトが改ざんされることで、あなたのサイトへ訪れたユーザーがランサムウェアのダウンロードページへ飛ばされて被害を受ける可能性もあるのです。
あるとき、あなたのサイトが知らないうちに犯罪に加担してしまう可能性もあります。だからWordPressのセキュリティ対策は重要なことなのです。
基本〜標準のセキュリティ対策
セキュリティ対策は、難易度の低い対策から高いものまで様々です。どれから取り組んでいいかわからないこともあるでしょう。
おすすめは、基本的な対策から少しずつ取り組んでいくとこです。小さな対策であっても、それを積み重ねていくことで効果が出てきます。
それでは、ビギナーにもおすすめの基本的なセキュリティ対策から見ていきましょう。
ID、パスワードは予想されにくい文字列にする
WordPressでは、ユーザーごとにIDとパスワードを発行します。この文字列は、簡単に予想されないよう、できるだけ複雑な文字列にしてください。シンプルで誰もが知っている対策なのですが、それだけに非常に大切です。
IDについては、adminやそれに近い文字列は避けて、英数字を織り交ぜたIDにしましょう。パスワードについても同様で、予測されにくく、できるだけ長い文字列にしましょう。パスワード生成ツールを使うのも手です。パスワードの注意点については、下のWordPress.comの記事も参考になります。
https://ja.support.wordpress.com/selecting-a-strong-password/
ユーザー権限は適切につける
WordPressでは、使える機能によって5つのユーザー権限が用意されています。全ての機能が使える「管理者」から、「編集者」「投稿者」「寄稿者」「購読者」の5種類があります。
ユーザー権限を適切につけることで、セキュリティを向上させることができます。
例えば、記事の編集や執筆だけを行うユーザーに、プラグインやテーマの編集ができる「管理者」権限にするべきではありません。「編集者」や「投稿者」が適切でしょう。
ユーザーごとに、割り当てる権限はしっかりと考えるようにしてください。
忘れずにアップデートを行う
WordPress本体や使用しているテーマ、プラグインは、アップデートが配布されることが多くあります。アップデートは難しくはないのですが、手間であることは確か。そのため、アップデートをいつまでも後回しにしているケースも多いようです。
アップデートには機能の追加などのほかにも、セキュリティ対策も含まれていることがあります。古いバージョンの中は脆弱性が含まれていることもあるので、アップデートを放置しておくのはとても危険です。
アップデートが配布されている場合は、できるだけ素早くアップデートを行うようにしてください。なおアップデートを行う時は、事前にバックアップを取っておくことを忘れずに。
高度なセキュリティ対策
ここでは、比較的難しいセキュリティ対策に絞ってご紹介していきます。
専門性が必要な対策がほとんどです。基本的なセキュリティ対策を行った上で、さらにセキュリティレベルを上げたい時に検討してみてください。
wp-config.phpのパーミッションは400にする
WordPressは多数のファイルで構成されていますが、その中でも群を抜いて重要なのがwp-config.phpです。WordPressサイトにとって重要な設定情報が書き込まれているため、これが第三者に見られることは絶対に避けなければいけません。
そのためにも、パーミッションは厳しくしておかなければいけません。理想的なのは、オーナーのみが閲覧できる「400」でしょう。
なおレンタルサーバなど共用で使うサーバでは、自由にパーミッションが変更できないケースもあります。注意しましょう。
ログイン画面を強化する
WordPressのログイン画面を強化する方法です。方法としてはいくつかあるので、下に列挙しておきましょう。
- 二段階認証を導入する。
- 画像認証(キャプチャ)を設置する。
- 基本認証(ベーシック認証)を設定する。
- IPアドレスでログイン画面のアクセスを制限する。
- ログイン画面(/wp-admin/)のURLを変更する。
.htaccessファイルを使ったり、PHPの知識が必要なものがほとんどですが、プラグインで対応できる対策もあります。
SSLを導入する
Webページの安全性を高めるためには、SSL通信を利用した暗号化の導入がおすすめです。CMSという特性上、WordPressではさらに暗号化の大事さが増します。
ただし、SSL通信(https)を導入するには手間やコストを考えなければいけません。全ページの内部リンクを編集する必要もありますし、Googleアナリティクスやサーチコンソールの設定変更も必要です。
そのあたりも考慮しながら、SSLの導入を検討してみてください。
セキュリティ対策プラグイン4選
最後に、セキュリティ対策のできるWordPressプラグインを4つご紹介します。
ここまでで取り上げた対策も、プラグインを使えば簡単に導入できることが多いです。ぜひ積極的に導入していきましょう。
SiteGuard WP Plugin
https://ja.wordpress.org/plugins/siteguard/
セキュリティ対策まわりの機能が多く備わっているプラグインです。代表的なところだと、管理画面のURL変更やIPアドレスによるフィルタリング、キャプチャの設置などがあります。ログインがあった時にメールでアラートを受けることも可能です。
All In One WP Security & Firewall
https://ja.wordpress.org/plugins/all-in-one-wp-security-and-firewall/
「All in One」という名前の通り、たくさんのセキュリティ機能が使えるプラグインです。SiteGuard WP Pluginと並んで評価の高いプラグインです。セキュリティ状態のチェックやファイヤウォール機能、ログイン対策、データベースのセキュリティ向上など多数の機能が備わっています。
Theme Check
https://ja.wordpress.org/plugins/theme-check/
テーマの品質がチェックできるプラグインです。テーマの作りがしっかりしていないと、セキュリティ被害の足がかりにされてしまう危険性もあります。使用するテーマについては安全性をしっかりとチェックしておきましょう。
Crazy Bone
https://ja.wordpress.org/plugins/crazy-bone/
ログイン履歴を保存しておいてくれるプラグインです。ログインの成功/失敗だけでなく、日時やIP、ユーザーエージェントが確認できます。
まとめ
こういったプラグインを入れることにより、サイトのオーナー以外の人間にもかかわらず、ログインページにアクセスしている人がいることがわかります、日本だけでなく海外からもたくさん。
プラグインなどで簡単に対応できる部分に関してはできるだけ対応しておいた方が良いですね。
ライター:NAKA
iDeCo・ふるさと納税・仮想通貨の申告に対応、個人事業主・会社員の副業でも使えるおすすめ会計ソフト
-
個人事業主の銀行口座・屋号(開閉)
-
請求書未経験者のための作り方・送付方法(開閉)
-
個人事業主の節税(開閉)
-
ふるさと納税(開閉)
-
仮想通貨の確定申告(税理士執筆)(開閉)
-
e-tax(電子申告)について(開閉)
-
クラウド会計ソフトfreeeについて(開閉)