WordPressサイト運営者にとってセキュリティ対策はとても重要なことです。
しかし、Webについて詳しくない方はどんなセキュリティ対策をとったら良いかわからないでしょう。世界中で多くの方に愛用されているWordPressは対象者が多いため標的として狙われやすいため注意が必要です。
この記事を読んでくれたあなたは、少なくともセキュリティに対して危機意識を持っていらっしゃるはずです。
安心してください。この記事ではWordPress初心者の方でも簡単にセキュリティ対策を行える方法を紹介します。
この記事の目次
WordPressのセキュリティ対策が重要な理由
WordPressサイトがハッカーに侵入されるとあなただけでなく、あなたのサイトを見に来た訪問者の方々にも被害が及ぶ可能性があります。
代表的な被害をあげると次のようなものがあります。
- サイトの内容が改善され、悪質なサイトへのリンクが埋め込まれる
- 管理しているユーザー情報が盗まれる
ウイルスの怖いところは、1つ感染すると次々と被害が広がることです。セキュリティ対策をしておかないと、いつかあなたのサイトがその発信源になってしまうかもしれません。
ハッカーにこのサイトはしっかりとセキュリティ対策をしていますよと、見せつけるだけでも予防策になります。
WordPressを始めたばかりの方は、まずは簡単にできるものだけでも対策を行っておきましょう。
最初にやるべきWordPressセキュリティ対策
WordPress初心者の方は、セキュリティ設定を忘れがちです。これから紹介する6つの対策を最初に行うだけで、だいぶセキュリティが向上しますのでやっておきましょう。
パソコンのウィルス対策
WordPressの管理に使用しているあなたのパソコンにはウイルス対策のソフトは入っていますか?
WordPressのセキュリティ対策は、十分にしていてもパソコンを乗っ取られたのでは意味がありません。
有料のウィルス対策ソフトの方が安心できますが、無料でもひとまず入れておきましょう。
WordPressの最新化
WordPressは、内部を構成しているコードを見ることができるオープンソフトウェアの1つです。
そのため、セキュリティの穴があれば誰でも簡単に侵入することができます。セキュリティリスクを防ぐため、マイナーなアップデートは自動的に行われるようになっています。
しかし、大きな変更があるアップデートは手動で行う必要があります。アップデートには機能改善だけでなく、セキュリティ対策のアップデートも含まれていますので、可能な限り最新のバージョンを使うようにしましょう。
WordPress本体だけでなく、テーマやプラグインも同様に最新のバージョンを保つようにしましょう。
パスワード強化
WordPressのハッキングで1番多いとされるのが、パスワードが盗まれることです。
可能な限り長く予想しづらいパスワードを設定しておきましょう。しかし、長く複雑なパスワードを毎回入力するのもめんどくさい作業です。パスワード管理ソフトを使用するのがいいでしょう。
WordPressのバックアップ
WordPressのセキュリティ対策で、特に重要となるのがバックアップシステムの導入です。WordPressでは、プラグインを使用しバックアップを取るのが1番簡単です。
レンタルサーバーには、無料・もしくは有料でバックアップを提供しているサービスもありますが、事前に自身でとっておく方が復旧にも時間がかからずおすすめです。
バックアップを取れば、主に次のものを保管することができます。
- 記事の内容
- 画像データ
- 各種設定内容
これらのバックアップデータがあれば、たとえハッカーに全てのデータを消去されたとしても、復元することができます。
そのため定期的にバックアップは取っておきましょう。
ログイン試行回数の制限
管理画面への侵入方法には、ブルーフォースアタックと呼ばれる総当たり攻撃があります。
これは予想されるユーザー名およびパスワードをソフトウェアを使用して、ひたすら試行するというものです。
1つずつ試していけばそのうち該当するものが見つかるという、極めて単純ですがとても有効な手段です。
これを防ぐためには、ログインの試行回数を制限する手段が有効です。例えば、1分間に5回ログインに失敗したら、その後30分間はログインを無効にするということです。
これもプラグインを使用して簡単に機能を追加することができますので、サクッとやっておきましょう。
投稿者名の変更・非表示
記事を書くとデフォルトでは、たいていのテーマで投稿者が表示されます。
これは何もしないと、インストール時のユーザー名が表示されてしまい、管理画面のログインに使用するユーザー名が簡単にわかってしまいます。
これは泥棒に鍵のありかを教えるようなものです。記事を初めて書く前に、投稿者名の変更もしくは非表示にする設定を行っておきましょう。
より安全なWordPressサイトにするためのセキュリティ対策
ファイル編集の無効化
WordPress管理画面からphpファイルなどの編集を不可にすることで、管理画面に不正侵入された時の被害を防ぎます。
これは、wp-config.phpに次のコードを追加するだけです。
// Disable file editing
define( 'DISALLOW_FILE_EDIT', true );しかし、これを行うと管理画面からファイル編集を行えないので、FTPソフトを使用してファイル編集を行う必要があります。
リスクを避けるためにはFTPソフト経由でいつも行うのが推奨されますが、利便性を欠くことがあります。
データーベース接頭辞の変更
WordPressのデーターベース名はデフォルトで「wp_」と決まっています。そのため、変更しなければデータベース接続に使用する1つの要素がわかっている状態になります。
共有サーバーを使用している方は、「ユーザー名 + wp + ランダム文字列 + _」などの接頭辞になっているので、基本的に気にする必要はありません。
セキュリティを強化したいのであれば、データベースに予測しにくい接頭辞を使用するようにしましょう。
管理画面のBasic認証
Basic認証とは、Webサイトの特定のアクセスにかけることができる認証システムです。イメージでは、ログイン認証を2回行う必要がある感じです。
Basic認証を導入すれば、管理画面へ侵入されるリスクをより軽減することができます。設定も簡単ですので導入しておくことを推奨します。
関連記事:WordPressの管理画面にBasic認証を導入する方法
ディレクトリ参照の無効化
ディレクトリ参照が有効化されていると、サーバー上にある特定のディレクトリの内容を見られてしまいます。
これを利用して、使用しているテーマやプラグインを特定し、それらにセキュイリティの穴があれば狙わうという風に使用されてしまいます。
また、ディレクトリ参照は画像の盗用にも使用され、有効化にしておくメリットは特にないので無効化しておきましょう。
関連記事:WordPressのディレクトリ参照を無効にする方法
WordPressセキュリティプラグインの導入
WordPressには、たくさん便利なセキュリティ対策用のプラグインが存在します。
代表されるものに、Webアプリケーションファイアーウォールがあります。これは簡単に言えば、不正なアクセスを防ぐものです。
Windowsなどのよく使用されるパソコンのOSにも標準で搭載されている機能です。WordPressにもプラグインを使用して簡単に導入できます。
WordPressセキュリティ対策まとめ
WordPressの運営を行っていく上でアクセスアップや収益化ばかりに目が行きがちですが、セキュリティ対策はとても重要です。
起きてからでは遅いのです。もしかしたら、いままで積み上げてきたものが一瞬にしてなくなってしまうかもしれません。
しかし事前に対策をしておけば、被害の発生および発生した時の被害を低減できるので、少しでも行っておきましょう。
また、インストール後に行うべき初期設定で、ある程度のセキュリティ対策を行えます。
このサイトでも最初にやるべき初期設定を紹介していますので、やり残しがないように1度確認してみてください。