- WordPressのセキュリティ設定とは?
- どんな設定をすれば安全になる?
- 初心者でも簡単にできるセキュリティ設定は?
WordPressの初期設定でセキュリティ対策が必要です。
WordPressは世界中で利用されているソフトなので、悪意を持ったハッカーなどの攻撃されやすいからです。
・WordPressブログに必要なセキュリティ対策
・プラグインでセキュリティ対策をする方法
目次
WordPressブログのセキュリティ対策とは
WordPressブログのセキュリティ対策とは、ウィルスなどの攻撃に遭わないように対策をすることです。
WordPressをインストールしたら最初に最低限のセキュリティ対策をしておきましょう。
セキュリティ対策の基本
WordPressのセキュリティ対策の基本は以下の2つです。
- できるだけ攻撃されないようにする
- 万が一、攻撃を受けても復元できるようにしておく
インターネット上にある限り、攻撃を100%防ぐことは不可能なので、できるだけ攻撃をされないように対策をするのが基本です。
そして、万が一攻撃された場合に備えて、しっかりとバックアップをとっておきましょう。
バックアップから復元できる体制を整えておくと安心です。
WordPressのバックアップ方法とおすすめのプラグインはこちらの記事で紹介しています。
WordPressのバックアップ方法とおすすめのプラグインを紹介
WordPressが狙われやすい理由
WordPressが攻撃されやすい理由は、世界で一番利用されているソフトだからです。
攻撃する側から見ると、1つの脆弱性(プログラムのミス)を見つけられれば、世界中のWordPressサイトを標的でき効率的だからです。
WordPressのソースコードは詳細が一般に公開されているオープンソースと呼ばれるものです。
公開されているため脆弱性を発見しやすいという特徴があります。
WordPress自体の脆弱性を見つけられれば、攻撃がしやすいということです。
攻撃された場合の被害が大きい
実際にWordPressに攻撃されると、ブログの内容を書き換えられたり、スパムメールが送信されたりする被害がでます。
万が一、攻撃されて被害に遭った場合、完全に修復するのには時間がかかります。
サーバーのバックアップデータから復元する等の作業が必要になります。
初心者でもできるWordPressのセキュリティ対策
WordPressブログを攻撃から守るためにはセキュリティ対策は必須です。
初心者でも簡単にセキュリティ対策ができるので、しっかり設定しましょう。
- WordPress本体を最新版にする
- テーマやプラグインを最新の状態にする
- ユーザーの表示名を変更する
- パスワードを複雑にする
- 不要なテーマやプラグインを削除する
WordPressのバージョンを最新にする
WordPressブログのセキュリティ対策の基本はWordPressのバージョンを最新版にしておくことです。
WordPressのアップデートにはメジャーアップデートと、マイナーアップデートと呼ばれる2種類のアップデートがあります。
メジャーアップデートとは、大きな機能の追加や管理画面のレイアウト変更などが伴うもので、半年~1年に1回程度行われるもので、手動で更新する作業が必要になります。
「今すぐ更新してください。」の文字をクリックして、アップデートの画面に進みます。
マイナーアップデートは、主にバグやセキュリティ対策などの小さなアップデートのことです。
基本的に自動更新されるので、特に操作の必要はありません。
アップデートが完了すると管理者に通知されます。
テーマやプラグインを最新の状態にする
WordPressの本体と同様にテーマやプラグインにもアップデートが必要です。
アップデートの通知が表示されている場合は、最新版にアップデートすることをおすすめします。
機能が追加されるアップデートや、セキュリティ向上のための更新があります。
プラグインは最新の状態に更新しておきましょう。
新しいバージョンを利用できるプラグインの「更新」をクリックする。
プラグインをアップデートする時に、不具合が発生する場合もあります。
テーマやプラグインを更新する時は、万が一の際に復元できるように確認してから更新すると安心です。
ユーザーの表示名を変更する
WordPressの管理画面にログインするためのユーザー名は、標準の状態では閲覧できる状態になっています。
管理画面のURLとユーザー名を知られてしまうと、あとはパスワードさせわかればログインできてしまいます。
WordPressのユーザー名を見つけ出す方法は、URLの末尾に「?author=1」と付け加えてアクセスします。
そうすると、
https://ブログのアドレス/author/〇〇〇/
と、〇〇の部分にあなた(管理者)のユーザー名が表示されます。
ユーザー名がわかれば、あとはパスワードがわかればログインできてしまうので危険です。
WordPressのユーザー名や表示名を変更する方法はこちらのページを参考に設定しましょう。
WordPressのユーザー名やブログ上の表示名を変更する方法・隠す方法
パスワードを複雑にする
WordPressの管理画面にログインするためのパスワードは、できるだけ複雑な文字列に変更してください。
複雑なパスワードほど、ログインされるリスクは減るためです。
WordPressの初期設定では自動的に英数字と記号を組み合わせたパスワードが生成されるようになっています。
ただし、実際には生成されたパスワードは覚えるのが難しいため、覚えられる範囲でできるだけ複雑なパスワードにするのがおすすめです。
- ドメイン名の一部が含まれるもの
- ブログ名や名前など推測しやすいもの
- 辞書にある英単語
- 短すぎる文字
- 十分な長さ
- 複雑さ
- 推測されにくい
- 辞書に載っている単語は避ける
パスワードは少なくとも10文字以上にする。
大文字、小文字、数字、記号を組み合わせる。
名前、誕生日、電話番号など、個人情報は使用しない。
辞書攻撃で簡単に解読されてしまう可能性があります。
例えば「t4L47k#S@u」といったようなランダムな文字列を組み合わせたパスワードでも良いですが、覚えておけるパスワードがおすすめです。
長すぎるパスワードは、入力ミスが増えたり、入力に時間がかかったりする原因になります。
そのため、現実的には、覚えやすく入力しやすい範囲で、できるだけ長いパスワードを設定することが重要です。
不要なテーマやプラグインを削除する
WordPressのインストール時に標準で入っているテーマやプラグインで使っていないものは削除しましょう。
例えば、「Hello Dolly」や「Akismet Anti-Spam」といういプラグインは使うことがなければ削除して大丈夫です。
使わないプラグインは無効にすることもできますが、使わないのであれば削除する方が安全です。
機能が重複しているプラグインがある場合は、整理して必要なプラグインのみを使いましょう。
高機能な有料テーマを使えば、プラグインを使わなくても済む場合もあります。
不要なプラグインを入れたままにしているとページの表示速度が遅くなるなどのデメリットもあります。
削除するプラグイン名にチェックを付けて、プルダウンから「削除」を選択して「適用」をクリックする。
削除するテーマにカーソルを合わせて「テーマの詳細」をクリックし、「削除」をクリックする。
おすすめの有料WordPressテーマはこちらの記事をご覧ください。
WordPress有料テーマ・ブログ初心者におすすめのテーマ5選
Google Search Consoleの登録
Google Search Console(サーチコンソール)とは、Googleが無料で提供しているサイトの状態を監視できるサービスです。
一般的には検索結果に表示された時のキーワードや平均掲載順位を確認するために導入している場合がほとんどです。
しかし、サーチコンソールには、万が一ページが改ざんされたりマルウェアに感染した場合、メールで通知してくれるサービスがあります。
すぐに異変に気付けるので、必ず導入することをおすすめします。
Googleサーチコンソールの使い方はこちらの記事で解説しています。
Googleサーチコンソールの登録方法と初心者におすすめの使い方
プラグインを使ったセキュリティ対策
WordPressにはセキュリティを高めるため便利なプラグインがあります。
便利なプラグインはたくさんありますが、「SiteGuard WP Plugin」というプラグインがおすすめです。
株式会社ジェイピー・セキュアが開発した国産のセキュリティ対策ソフトです。
すべて日本語で書かれているのでわかりやすいと思います。
とても簡単な操作で、高機能な設定までできるプラグインです。
最低限やった方がいい対策をいくつか紹介します。
WordPressブログにおすすめのプラグインはこちらの記事にまとめています。
WordPressブログにおすすめのプラグイン12選【2024年版】
ログインURLを変更する
標準のWordPressではログイン画面のURLがすべて同じです。
ブログのURLの末尾に/admin/、または /wp-login.php と入力するとログイン画面が表示されてしまいます。
このログインページのURLを変更することで、ログインページを隠せます。
WordPressへのほとんどの攻撃はログインされて行われるため、ログインをしっかりと防ぐことでリスクを大きく減らせます。
ログインページのURLは、ログインが必要な人だけに共有しましょう。
画像認証
ログイン時に画像認証を求める設定を追加できます。
ログイン画面でユーザー名とパスワードの入力の他に、表示された画像の中に書かれた文字列を入力しないとログインできないようにするための機能です。
毎回ランダムに生成された画像認証の文字列を入力しなければならないという手間はかかりますが、ロボットによるいわゆる”総当たり攻撃”を防げるので、設定しておくと安心です。
ログインロック
決めた期間内にログインに失敗すると、接続元を一定時間ロックする機能です。
ログインロック機能もいわゆる”総当たり攻撃”を防ぐことに役立ちます。
万が一に備えてバックアップをする
WordPressサイトの場合、どんなにセキュリティ対策をしていても外部からの攻撃を100%防ぐことは不可能です。
万が一攻撃されたり、ファイルが破損してしまった場合に備えて、復帰できるようにしておくことが重要な対策です。
そのためにまずはバックアップをしっかりと取っておきましょう。
WordPressブログをバックアップする方法はこちらの記事を参考にしてください。
WordPressのバックアップ方法とおすすめのプラグインを紹介
バックアップを重視している方にはmixhostサーバーがおすすめです。
mixhostのバックアップの詳細はこちらの記事で解説しています。
mixhostのバックアップと復元方法・WordPressのバックアップ
セキュリティのまとめ
・少しでも攻撃されにくくする
・プラグインを活用して対策できる
・万が一に備えてバックアップをする
WordPressは世界中で多くのユーザーに利用されているので、セキュリティ対策は必須です。
まずはなるべく攻撃されないような対策をすることが重要です。
万が一、壊れてしまった場合でも、定期的にバックアップしたデータから復元できるようにしておくと安心です。
よくある質問
更新することによって不具合が生じる場合もあるので、必ず全てのデータのバックアップを取ってから更新をするようにしましょう。
古いバージョンのPHPを使用していると、以下のようなセキュリティリスクがあります。
脆弱性の悪用: 古いバージョンのPHPには、既知の脆弱性が存在する可能性があります。
ハッカーはこれらの脆弱性を悪用して、WordPressサイトに侵入したり、データを盗んだり、マルウェアを仕込んだりする可能性があります。
セキュリティパッチの不足: 古いバージョンのPHPには、最新のセキュリティパッチが提供されない場合があります。
これは、ハッカーが脆弱性を悪用しやすくなることを意味します。
互換性の問題: 古いバージョンのPHPは、最新のWordPressプラグインやテーマと互換性がない場合があります。これは、セキュリティ上の脆弱性につながる可能性があります。
一方、最新のPHPバージョンを使用すると、以下の利点があります。
セキュリティの向上: 最新のPHPバージョンには、最新のセキュリティパッチが含まれています。
これにより、ハッカーが脆弱性を悪用するのをより困難にすることができます。
改善されたパフォーマンス: 最新のPHPバージョンは、古いバージョンよりも高速で効率的です。これにより、WordPressサイトのパフォーマンスが向上します。
新しい機能へのアクセス: 最新のPHPバージョンには、新しい機能が含まれています。これらの機能を使用すると、WordPressサイトをより安全で、機能豊富にすることができます。
WordPress公式サイトでは、PHP 7.4以上を推奨しています。
PHPのバージョンをアップグレードすることは、WordPressサイトのセキュリティを向上させるための最も重要なことの1つです。 ただし、PHPをアップグレードする前に、必ずWordPressサイトをバックアップすることを忘れないでください。
★
WordPressブログのSSL化についてはこちらの記事で解説しています。
SSL化の必要性とWordPressの設定方法について
エックスサーバーのWordPressリカバリー機能はこちらの記事で紹介しています。
エックスサーバーのWordPressリカバリー機能がすごい
WordPressブログにおすすめの初期設定11選・初心者でも簡単
WordPressブログにおすすめのプラグイン12選【2024年版】
