WordPressの初期設定でセキュリティ対策が必要です。
特に世界中で利用されているWordPressは、悪意を持ったハッカーなどの攻撃されるリスクが高いからです。
・WordPressブログに必要なセキュリティ対策
・プラグインでセキュリティを高める方法
セキュリティ対策の考え方
WordPressのセキュリティ対策の基本は以下の2つです。
- できるだけ攻撃されないようにする
- 万が一、攻撃を受けても復元できるようにしておく
インターネット上にある限り、攻撃を100%防ぐことは不可能なので、できるだけ攻撃をされないようにしましょう。
そして、万が一攻撃された場合に備えて、しっかりとバックアップをとっておきましょう。
バックアップから復元できる体制を整えておくと安心です。
セキュリティ対策が重要な理由
WordPressブログは狙われやすい
そもそもWordPressが攻撃されるリスクが高いのには以下の理由があります。
WordPressは世界で最も利用されているCMS(コンテンツ・マネジメント・システム)です。
攻撃する側から見ると、1つの脆弱性(プログラムのミス)を見つけることができれば、世界中のWordPressサイトを標的にすることができ効率的だからです。
WordPressのソースコードは詳細が一般に公開されているオープンソースと呼ばれるものです。
公開されているため脆弱性を発見しやすいという特徴があります。
WordPressの構造など、パターンがわかりやすいため脆弱性を見つけることができると、攻撃がしやすいということです。
WordPressブログに必要なセキュリティ対策
WordPressブログを安全に保つにはセキュリティ対策は必須です。
初心者でも簡単にセキュリティ対策ができるので、しっかり設定しましょう。
- WordPress本体を最新版にする
- テーマやプラグインを最新の状態にする
- ユーザーの表示名を変更する
- パスワードを複雑にする
- 不要なプラグインを削除する
WordPressのバージョンを最新にする
WordPressブログのセキュリティ対策の基本はWordPressのバージョンを最新版にしておくことです。
WordPressのアップデートにはメジャーアップデートと、マイナーアップデートと呼ばれる2種類のアップデートがあります。
メジャーアップデートとは、大きな機能の追加や管理画面のレイアウト変更などが伴うもので、半年~1年に1回程度行われるもので、手動で更新する作業が必要になります。
管理画面にログイン後、ダッシュボードの上部に「今すぐ更新してください」というお知らせが表示されるので、ウィザードに従ってアップデートをすることをおすすめします。
マイナーアップデートは、主にバグやセキュリティ対策などの小さなアップデートのことです。
基本的に自動更新されるので、特に操作の必要はありません。
アップデートされると管理者宛にアップデートした旨の連絡が届くようになっています。
テーマやプラグインを最新の状態にする
WordPressの本体と同様にテーマやプラグインにもアップデートが必要です。
アップデートの通知が表示されている場合は、最新版にアップデートすることをおすすめします。
機能が追加されるアップデートや、セキュリティ向上のための更新があります。
プラグインは常に最新の状態に保つのが理想です。
稀に、アップデートによって不具合が発生する場合があります。
テーマやプラグインを更新する時は、万が一に備えて該当するファイルをバックアップしてから更新をすると安心です。
ユーザーの表示名を変更する
WordPressの管理画面にログインするためのユーザー名は、標準の状態では閲覧できる状態になっています。
管理画面のURLとユーザー名を知られてしまうと、あとはパスワードさせわかればログインできてしまいます。
WordPressのユーザー名を見つけ出す方法は、URLの末尾に「?author=1」と付け加えてアクセスします。
そうすると、
https://ブログのアドレス/author/〇〇〇/
と、〇〇の部分にあなた(管理者)のユーザー名が表示されます。
ユーザー名がわかれば、あとはパスワードがわかればログインできてしまうので危険です。
WordPressのユーザー名や表示名を変更する方法はこちらのページを参考に設定しましょう。
WordPressユーザー名や表示名を変更する方法・3つの隠す方法
パスワードを複雑にする
ユーザー名とパスワードはできるだけ複雑な文字列にしましょう。
複雑なパスワードほど、ログインされるリスクは減り、安全になります。
最近のWordPressは自動的に英数字と記号を組み合わせた難読化されたパスワードが生成されるようになっています。
覚えられる範囲でできるだけ複雑なパスワードにしましょう。
不要なプラグインを削除する
WordPressのインストール時に標準で入っているプラグインや、使っていないプラグインは削除しましょう。
例えば、「Hello Dolly」や「Akismet Anti-Spam」は使うことがなければ削除して結構です。
使わないプラグインは無効にすることもできますが、使わないのであれば削除する方が安全です。
機能が重複しているプラグインがある場合は、整理して必要なプラグインのみを使いましょう。
テーマにあらかじめ組み込まれている機能を使えば、プラグインが不要になる場合があります。
不要なプラグインを入れたままにしているとページの表示速度が遅くなるなどのデメリットもあります。
プラグインを使ったセキュリティ対策
WordPressにはセキュリティを高めるため便利なプラグインがあります。
便利なプラグインはたくさんありますが、「SiteGuard WP Plugin」というプラグインがおすすめです。
株式会社ジェイピー・セキュアが開発した国産のセキュリティ対策ソフトです。
すべて日本語で書かれているのでわかりやすいと思います。
とても簡単な操作で、高機能な設定までできるプラグインです。
最低限やった方がいい対策をいくつか紹介します。
WordPressブログにおすすめのプラグインはこちらの記事にまとめています。
【2023年版】WordPressブログにおすすめプラグイン7選
ログインURLを変更する
標準のWordPressではログイン画面のURLがすべて同じです。
ブログのURLの末尾に/admin/、または /wp-login.php と入力するとログイン画面が表示されてしまいます。
このログインページのURLを変更することで、ログインページを隠すことができます。
WordPressへのほとんどの攻撃はログインされて行われるため、ここをしっかりと防ぐことでリスクを大きく
減らすことが可能です。
ログイン画面のURLは、ログインが必要な人だけに共有しましょう。
画像認証
ログイン画面でユーザー名とパスワードの入力の他に、表示された画像の中に書かれた文字列を入力しないとログインできないようにするための機能です。
毎回ランダムに生成された画像認証の文字列を入力しなければならないという手間はかかりますが、ロボットによるいわゆる”総当たり攻撃”を防ぐことができるので、設定しておくと安心です。
ログインロック
決めた期間内にログインに失敗すると、接続元を一定時間ロックする機能です。
ログインロック機能もいわゆる”総当たり攻撃”を防ぐことに役立ちます。
万が一に備えてバックアップをとる
どんなに対策をしていても外部からの攻撃を100%防ぐことは不可能です。
万が一攻撃されたり、ファイルが破損してしまった場合に備えて、復帰できるようにしておくことも重要な対策です。
そのためにまずはバックアップをしっかりと取っておきましょう。
WordPressブログをバックアップする方法はこちらの記事を参考にしてください。
【簡単】WordPressのおすすめバックアッププラグイン
バックアップを重視している方にはmixhostサーバーをおすすめです。
mixhostのバックアップと復元方法・WordPressのバックアップ
まとめ
・少しでも攻撃されにくくする
・プラグインを活用して対策できる
・万が一に備えてバックアップをする
WordPressは世界中で多くのユーザーに利用されているので、セキュリティ対策は必須です。
まずはなるべく攻撃されないような対策をすることが重要です。
万が一、壊れてしまった場合でも、定期的にバックアップしたデータから復元できるようにしておくと安心です。
WordPressブログのSSL化についてはこちらの記事で解説しています。
【必須】WordPressブログをSSL化する方法とデメリット
初心者でも簡単にできるWordPressブログの初期設定おすすめ10選
【2023年版】WordPressブログにおすすめプラグイン7選
よくある質問
更新することによって不具合が生じる場合もあるので、必ず全てのデータのバックアップを取ってから更新をするようにしましょう。