インターネット上のサイトでは常にセキュリティ対策が欠かせません。
特に高機能で誰でも利用できるWordPressは世界中で利用されているため、悪意を持ったハッカーなどの攻撃対象となる可能性が高いです。
実は、WordPressは脆弱性がありそのまま使うのは危険です。
初心者の方がWordPressをインストールしただけの状態は、無防備であることが多いのでしっかりとセキュリティーの脅威とその対策について確認しておきます。
・実際にやるべきセキュリティ対策
・プラグインソフトを使ってより強力に対策する方法
セキュリティ対策の考え方
そもそもセキュリティ対策の要点・考え方として以下の2つに絞られます。
- なるべく攻撃されないようにする
- 万が一、攻撃を受けても復帰できるようにしておく
残念ながらインターネット上にある限り攻撃を100%防ぐことは不可能なため、なるべく攻撃をされないようにすることが必要です。
そして万が一攻撃を受けてしまった場合でも、バックアップファイルをしっかり取っておくことで、復元できる体制を整えておきましょう。
なぜWordPressが狙われるのか
そもそもWordPressが攻撃されるリスクが高いのには以下の理由があります。
理由その1:ユーザー数が多いから
第一にWordPressが世界で最も利用されているCMS(コンテンツ・マネジメント・システム)であるという点です。
攻撃者の視点から見ると、1つの脆弱性(プログラムのミス)を見つけることができれば、世界中のサイトを標的にすることができ効率的だからです。
パソコンの世界でもMacよりWindowsの方が危険と言われるのも同じ理屈で、ユーザー数が多いからこそ標的になるリスクも上がるということです。
理由その2:オープンソースだから
WordPressのソースコードは詳細が一般に公開されているオープンソースと呼ばれるものなので、脆弱性を発見しやすいという点があります。
管理画面のログイン構造など、パターンがわかりやすいため脆弱性を見つけることができると、攻撃がしやすいということにつながります。
WordPressで必要なセキュリティ対策
WordPress初心者でも簡単な操作でセキュリティ対策を取ることができるので、ぜひ以下の項目はすべて実施しておくことをおすすめします。
最新版にする
まずは基本中の基本はWordPressのバージョンを最新にしておくことです。
WordPressにはマイナーアップデートと呼ばれるものと、マイナーアップデートと呼ばれる2種類のアップデートがあります。
メジャーアップデートとは、大きな機能の追加や管理画面のレイアウト変更などが伴うもので、1年や数か月に1度行われるもので、手動で更新する作業が必要になります。
管理画面にログイン後、ダッシュボードの上部に「今すぐ更新してください」というお知らせが表示されるので、ウィザードに従ってアップデートをすることをおすすめします。
マイナーアップデートは、主にバグやセキュリティ対策などの小さなアップデートのことで、基本的に自動更新されるので、特に操作の必要はありません。
アップデートされると管理者宛にアップデートした旨の連絡が届くようになっています。
テーマやプラグインを最新の状態にする
WordPressの本体と同様に利用しているテーマやプラグインのアップデートの通知が表示されている場合は、最新版にアップデートすることをおすすめします。
単純な機能の追加によるアップデートや、セキュリティの向上を目的とした更新がありますので、常に最新の状態に保つように心がけましょう。
稀にアップデートしたことによって不具合がでる可能性もあるので、テーマやプラグインの更新の際には、万が一に備えて該当するファイルをバックアップしてから更新をすると良いでしょう。
ユーザーの表示名を変更する
実は、WordPressのユーザー名はデフォルトの状態では公開されてしまっているのです。
以下のようにあなたのサイトのアドレスの末尾に「?author=1」と付け加えてアクセスしてみてください。
あとはパスワードがわかればログインされてしまう状態になり危険です。
そのため、このようにユーザー名を表示させない方法があるので下記のページを参考に設定を変更しておきましょう。
WordPressユーザー表示名を変更・隠す方法
パスワードを複雑にする
当然ですがユーザー名とパスワードが複雑であればあるほど、ログインされるリスクは減ります。
最近のWordPressでは自動的に英数字と記号を組み合わせた難読化されたパスワードが生成されるようになっています。
覚えるのは難しいと思うので、覚えられる範囲でできるだけ難しいパスワードにしましょう。
特に辞書にある単語や短いパスワードは絶対に避けましょう。
不要なプラグインを削除する
WordPressのインストール時に標準で入っているプラグインや、使っていないプラグインは削除しましょう。
例えば、「Hello Dolly」や「Akismet Anti-Spam」は使うことがないと思うので削除して結構です。
テーマにあらかじめ組み込まれている機能を使えば、プラグインソフトが不要であったり、機能が重複しているプラグインがある場合も、削除して最低限のプラグインソフトで運用するようにしましょう。
不要なプラグインを入れたままにしているとページの表示速度が遅くなるなどのデメリットもあります。
プラグインソフトを使ったセキュリティ対策
WordPressにはセキュリティを高めるための設定を簡単に行えるようにしたプラグインがあります。
広く使われているソフトはいくつかありますが、この記事では、「SiteGuard WP Plugin」というプラグインソフトを使った設定について紹介します。
株式会社ジェイピー・セキュアが開発した国産のセキュリティ対策ソフトです。
海外製のソフトと違ってすべて日本語で書かれているので理解がしやすいと思います。
とても簡単な操作で、高機能な設定までできるプラグインですが、最低限ここまでやっておくと各段にセキュリティを高めることができる、という機能をいくつか絞って紹介します。
ログインURLを変更する
標準のWordPressではログイン画面のURLがすべて同じで、サイトのURLの末尾に/admin/、または /wp-login.php と入力するとログイン画面が表示されます。
このログイン画面のURLを変更することで、容易にログイン画面に辿り着けないようにすることができます。
WordPressが攻撃されるのはほとんどがログインをされて行われるため、ここをしっかりと防ぐことでリスクを大きく
減らすことが可能です。
ログイン画面のURLは必要な人だけに共有するようにしましょう。
画像認証
ログイン画面でユーザー名とパスワードの入力の他に、表示された画像の中に書かれた文字列を入力しないとログインできないようにするための機能です。
毎回ランダムに生成された画像認証の文字列を入力しなければならないという手間はかかりますが、ロボットによるいわゆる”総当たり攻撃”を防ぐことができるので、設定しておくと安心です。
ログインロック
決めた期間内にログインに失敗すると、接続元を一定時間ロックする機能です。
ログインロック機能もいわゆる”総当たり攻撃”を防ぐことに役立ちます。
万が一に備えてバックアップをとる
冒頭のセキュリティの考え方の2つ目で書いた通り、外部からの攻撃を100%防ぐことは不可能です。
そのため、万が一攻撃されたり、ファイルが破損してしまった場合に備えて、復帰できるようにバックアップをしっかりと取っておきましょう。
具体的な方法については以下の記事を参考にしてください。
プラグインでWordPressのバックアップを取る方法
まとめ
WordPressは高機能なツールで簡単に構築できる分、しっかりとしたセキュリティ対策は必須のソフトです。
なるべく攻撃されないように防ぐことで、あなたのサイトが壊されてしまったり消されてしまったりしないように守りましょう。
そして、もし破損してしまった場合も定期的に取得したバックアップデータから復元できるようにしておくと安心ですね。
【必須】SSL対応の方法とそのメリット
WordPressのやるべき初期設定10個
WordPressのユーザー名を変更する方法
