WordPressはオープンソースかつ、無料で使えて拡張性(プラグイン・テーマ)も高いので、世界中で最も利用されているCMSの1つです。オープンソースであるがゆえ、脆弱性が早期発見されやすい性質もあります。
WordPressは世界中で使われているCMSのため、きちんとセキュリティ対策を行っていれば安全に利用頂けます。しかし、ご自身で対策を全くしていなかったり、長年何もせず放置されているサイトはWeb上に危険を晒していることになります。
「WordPressはセキュリティに弱い」 と言われているのはご存知でしょうか。 個人やフリーランスの方よりも、企業。特に大企業のWeb担当者はWordPressの脆弱性を意識される傾向があります。規模が大きな企業ほど社内コンプライアンスの意識が確立されていることに加え、被害が出た時のダ...
そこで今回は、初心者でも簡単にできるWordPressのセキュリティ対策を厳選して紹介します。いずれの9項目すべてをやっていれば、基本的にはセキュアな状態と見て構いません。
目次
WordPressテーマ「ISSUE」
洗練された採用サイトが誰でも簡単に作成できる。WordPress
セキュリティ対策一覧
1. WordPressバージョンをなるべく最新に。
WordPressは常にセキュリティアップデートを繰り返しています。新しいバージョンほど既知の脆弱性が少なく、古いバージョンほど、危険性は高くなります。
そのため、できるだけ常に最新の状態を保っておく必要があります。ベータ版ではたまに不具合が発見されることもあるため、その限りではありません。
2021/4/5 情報を更新いたしました。 プラグインの更新(アップデート)方法について解説します。 アップデートに伴う機能追加や仕様変更等が原因でテーマの機能に干渉する可能性があるため、念の為、下記を参考にバックアップを取るようにしましょう。 プラグインを更新する方法 最新バー...
2. プラグイン・テーマのバージョンを最新に。
プラグインやテーマからも脆弱性が発見されることがあります。そのため、両者もWordPressと同様に最新バージョンを保っておく必要があります。
3. 未使用・更新停止したプラグインは削除。
インストールはしているが、有効化してないプラグイン、今は使ってないプラグインは、「停止」にするだけではなく、「削除」しましょう。なぜなら、使わないプラグインは ”完全に削除”です。
また、1年以上更新が止まっているプラグインも注意が必要です。定期的に更新されている類似プラグインに乗り換えることをおすすめします。
プラグインは、WordPressのカスタマイズやコーディングの知識がなくても、欲しい機能をサイトに簡単に導入することができる優れものです。 ですが、プラグインをインストールしすぎるのも良いことではありません。この記事では、プラグインをたくさん入れすぎるべきではない理由と、プラグインの数を減らす...
4. PHPバージョンを「推奨バージョン」に。
WordPressの分析ページによると2024年5月時点でサポート終了したPHP7.3以前のバージョンを使用しているWebサイトは17%にのぼるようです。
PHPバージョンはWordPressが推奨するバージョンにしておくことが安全です。PHPの推奨バージョンは下記の記事で常に更新されています。
長期で運営しているWordPressのサイトで、以下のような問題が発生していませんか? 表示速度が遅くなった気がする 迷惑メールがたくさん届くようになった プラグインが正常に動作しないことがある 上記の問題の原因は、古いバージョンのPHPを使っているからかもしれません。PHPのバージ...
PHPバージョンはご利用のレンタルサーバーのコントロールパネルから変更できます。更新方法も上の記事に掲載していています。
5. ユーザー名・パスワードは10桁以上に。
WordPressはログインされなければ、たいていは大丈夫です。逆にログインされてしまうとアウトです。何でも出来てしまいます。よって、不正ログインが起きないように、ユーザー名/パスワードはセキュアなものにしておく必要があります。
パスワードは最低限「10文字以上の英数字を織り交ぜたランダム文字列」でいきましょう(パスワードは8文字以内だとハッキングされやすいというデータもあります。)。間違っても自分が覚えやすいパスワードにするのはおすすめできません。
6. ログインの試行回数を制限。
ログインのセキュリティを上げるなら、試行回数の制限がおすすめです。例えば、「3回パスワードを間違えると1時間ログインできないようにする」などの設定をあらかじめしておくのです。これによって、機械的な不正ログインのアタックを防げる確率が劇的に上がります。
プラグイン「Limit Login Attempts Reloaded」でログインの試行回数を制限できます。
7. ログイン履歴の管理。
プラグイン「User Login History」を導入することで、WordPressのログイン履歴を管理することができます。日付、ユーザー名、IPアドレス、国、ブラウザ、滞在時間も把握できるので、何かあった時に不正を検知・確認するのに役立ちます。
ログイン履歴の管理は、不正防止というより不正者の特定に役立ちます。ログイン通知を出してくれるプラグイン「Kaya Login Notification」もあります。どちらかを入れておくと良いでしょう。
8. 管理画面のログインURLを変更する。
WordPressの管理画面にログインするには、次のURLを打ち込むことでログイン画面になります。
https://example.com/wp-admin/
末尾に「wp-admin」を追加すると、ログイン画面に入れてしまうので、その分アタックされる確率は上がります。ですので、そもそものログインURLを変えてしまえば、リスクを減らすことができます。
ログインURLは下記のプラグインで変更できます。
WordPressはオープンソースでとても拡張性が高いので、今ではお店などの集客の強い見方となってくれています。しかしその反面、セキュリティに脆弱性が常につきまとい、ハッカーに狙われやすいという傾向があるのも事実です。 したがって、WordPressでサイトを作れば、セキュリティ対策も...
WordPress管理画面のデフォルトのログインURLは、 https://example.com/wp-admin https://example.com/wp-login.php と共通となっています。ログインURLが最初からバレているため、ブルートフォースアタック(総当たり攻撃)...
9. 二要素認証の導入。
ログイン周りのセキュリティではもっとも最強であろう「二要素認証」。二要素認証とは、例えばメールアドレスに送信した認証コードを入力してログインするような方法。二要素認証の導入は「Two-Factor」で可能です。
ただし、一定以上のセキュリティ対策は、安全性と利便性とのトレードオフの関係にあります。二要素認証の導入は、運営者自身のログインの手間も増えます。ログインの度に認証コードを求められるのをどう捉えるかでしょう。
ただ、膨大な個人情報を取り扱うサイト、関わる人数も多い大手サイトであれば、導入の余地がある対策です。
まとめ
WordPressのセキュリティ対策を9つご紹介しました。1-5に関しては、WordPressを運営していく上では必ず知っておきたいセキュリティ対策です。定期的なチェックが必要でしょう。
Webサイトを公開している場合、ハッキングを100%防ぐことは不可能です。ウィルスや不正プログラムは日々進化していますし、そもそもシステムというのは(既知・未知含め)何かしらの脆弱性を含んでいるものです。つまり、セキュリティ対策と同等に、万一ハッキング被害に遭った時のために、バックアップをとっておく事も必須となります。バックアップは保険ですからね。
バックアップすべきなのは、下記3つになります。
- WordPressのフォルダ・ファイル一式
- WordPressで利用しているデータベース
- WordPress管理画面からエクスポートできる「各記事・固定ページ・カテゴリ・タグ等の情報(XML形式)」
こちらのプラグインを使うと楽なので、おすすめです。
WordPressのバックアップや復元はデータベースに直接アクセスする必要があるなど、初心者にはハードルが高いものです。ただし、今回ご紹介するWordPressプラグイン「All-in-One WP Migration」は初心者でも驚くほど簡単にバックアップとサイトの復元の双方が可能となります。テレ...
WordPressテーマ集
