WordPressはオープンソースかつ、無料で使えて拡張性(プラグイン・テーマ)も高いので、世界中で最も利用されているCMSの1つです。オープンソースであるがゆえ、脆弱性が早期発見されやすい性質もあります。
WordPressは世界中で使われているCMSのため、きちんとセキュリティ対策を行っていれば安全に利用頂けます。しかし、ご自身で対策を全くしていなかったり、長年何もせず放置されているサイトはWeb上に危険を晒していることになります。
「WordPressはセキュリティに弱い」 と言われているのはご存知でしょうか。 個人やフリーランスの方よりも、企業。特に大企業のWeb担当者はWordPressの脆弱性を意識される傾向があります。規模が大きな企業ほど社内コンプライアンスの意識が確立されていることに加え、被害が出た時のダ...
そこで今回は、初心者でも簡単にできるWordPressのセキュリティ対策を厳選して紹介します。いずれの9項目すべてをやっていれば、基本的にはセキュアな状態と見て構いません。
目次
WordPress
セキュリティ対策一覧
1. WordPressバージョンをなるべく最新に。
WordPressは常にセキュリティアップデートを繰り返しています。新しいバージョンほど既知の脆弱性が少なく、古いバージョンほど、危険性は高くなります。
そのため、できるだけ常に最新の状態を保っておく必要があります。ベータ版ではたまに不具合が発見されることもあるため、その限りではありません。
2021/4/5 情報を更新いたしました。 プラグインの更新(アップデート)方法について解説します。 アップデートに伴う機能追加や仕様変更等が原因でテーマの機能に干渉する可能性があるため、念の為、下記を参考にバックアップを取るようにしましょう。 プラグインを更新する方法 最新バー...
2. プラグイン・テーマのバージョンを最新に。
プラグインやテーマからも脆弱性が発見されることがあります。そのため、両者もWordPressと同様に最新バージョンを保っておく必要があります。
3. 未使用・更新停止したプラグインは削除。
インストールはしているが、有効化してないプラグイン、今は使ってないプラグインは、「停止」にするだけではなく、「削除」しましょう。なぜなら、使わないプラグインは ”完全に削除”です。
また、1年以上更新が止まっているプラグインも注意が必要です。定期的に更新されている類似プラグインに乗り換えることをおすすめします。
プラグインは、WordPressのカスタマイズやコーディングの知識がなくても、欲しい機能をサイトに簡単に導入することができる優れものです。 ですが、プラグインをインストールしすぎるのも良いことではありません。この記事では、プラグインをたくさん入れすぎるべきではない理由と、プラグインの数を減らす...
4. PHPバージョンを「推奨バージョン」に。
WordPressの分析ページによると2024年5月時点でサポート終了したPHP7.3以前のバージョンを使用しているWebサイトは17%にのぼるようです。
PHPバージョンはWordPressが推奨するバージョンにしておくことが安全です。PHPの推奨バージョンは下記の記事で常に更新されています。
長期で運営しているWordPressのサイトで、以下のような問題が発生していませんか? 表示速度が遅くなった気がする 迷惑メールがたくさん届くようになった プラグインが正常に動作しないことがある 上記の問題の原因は、古いバージョンのPHPを使っているからかもしれません。PHPのバージ...
PHPバージョンはご利用のレンタルサーバーのコントロールパネルから変更できます。更新方法も上の記事に掲載していています。
5. ユーザー名・パスワードは10桁以上に。
WordPressはログインされなければ、たいていは大丈夫です。逆にログインされてしまうとアウトです。何でも出来てしまいます。よって、不正ログインが起きないように、ユーザー名/パスワードはセキュアなものにしておく必要があります。
パスワードは最低限「10文字以上の英数字を織り交ぜたランダム文字列」でいきましょう(パスワードは8文字以内だとハッキングされやすいというデータもあります。)。間違っても自分が覚えやすいパスワードにするのはおすすめできません。
6. ログインの試行回数を制御。
ログインのセキュリティを上げるなら、試行回数の制限がおすすめです。例えば、「3回パスワードを間違えると1時間ログインできないようにする」などの設定をあらかじめしておくのです。これによって、機械的な不正ログインのアタックを防げる確率が劇的に上がります。
以下のプラグイン「Limit Login Attempts Reloaded」を使用すれば、難しい設定は必要ありません。
あなたのサイトでは、どんなセキュリティ対策を行っていますか? WordPressで作られているサイトは世界的にも高いシェアを誇りますが、ユーザーの母数が多いこともあり、セキュリティ面が乏しいサイトも少なくないと言われています。 しかし、WordPressには多くの優秀なプラグインがあるの...
7. ログイン履歴の管理。
プラグイン「User Login History」を導入することで、WordPressのログイン履歴を管理することができます。日付、ユーザー名、IPアドレス、国、ブラウザ、滞在時間も把握できるので、何かあった時に不正を検知・確認するのに役立ちます。
万が一悪質なユーザーに標的にされてしまい、あなたのサイトが不正にアクセスされたとしましょう。 その時、あなたが運営するサイトにユーザーのアクセス履歴などを記録する機能があれば、不正ログインに対する対策の幅が広がりますよね。ただ、デフォルトのWordPressではこういった機能は用意されていない...
不正を防止するためのプラグインではありませんが、複数の人で1つのWordPressサイトを運営してくなら必要なプラグインです。
8. 管理画面のログインURLを変更する。
WordPressの管理画面にログインするには、次のURLを打ち込むことでログイン画面になります。
https://example.com/wp-admin/
末尾に「wp-admin」を追加すると、ログイン画面に入れてしまうので、その分アタックされる確率は上がります。ですので、そもそものログインURLを変えてしまえば、リスクを減らすことができます。
ログインURLは下記のプラグインで変更できます。
WordPressの各種設定やページ作成は下記の管理画面から行います。当記事では、管理画面にログインする方法について解説します。 管理画面にログインする方法 管理画面にログインするには、専用のURLにアクセスする必要があります。 サイトアドレスの末尾に「wp-admin」または、「wp-l...
9. 二要素認証の導入。
ログイン周りのセキュリティをもっとも強化するであろう「二要素認証」。二要素認証と言っても様々な手段がありますが、例えばログイン時に毎回メールアドレスに認証コードを送り、そのコードを入力してログインする方式。二要素認証を導入する場合は「Two-Factor」というプラグインが便利です。
WordPressのセキュリティを高めるには、簡単にログインできないようにすることが第一の対策です。もっともよく使われている対策はログイン時のパスワードを強化することですね。このようなサイトで最低10文字以上の英数字を生成するケースが多いかと思います。 パスワード強化だけでも十分効力はあります...
二要素認証の導入は運営の負荷も上がります。ログインの度に認証コードを求められるのは面倒ですから。一定以上のセキュリティ対策は、安全性と利便性とのトレードオフの関係にありますね。
ただ、膨大な個人情報を取り扱うサイト、関わる人数も多い大手サイトであるほど、導入の必要性は上がります。一般的なサイトでは必要はないでしょう。
まとめ
最低限これだけはやっておきたいWordPressのセキュリティ対策を9つご紹介しました。1-5に関しては、WordPressを運営していく上では必ず知っておきたいセキュリティ対策です。定期的なチェックが必要でしょう。
Webサイトを公開している場合、ハッキングを100%防ぐことは不可能です。ウィルスや不正プログラムは日々進化していますし、そもそもシステムというのは(既知・未知含め)何かしらの脆弱性を含んでいるものです。つまり、セキュリティ対策と同等に、万一ハッキング被害に遭った時のために、バックアップをとっておく事も必須となります。バックアップは保険ですからね。
バックアップすべきなのは、下記3つになります。
- WordPressのフォルダ・ファイル一式
- WordPressで利用しているデータベース
- WordPress管理画面からエクスポートできる「各記事・固定ページ・カテゴリ・タグ等の情報(XML形式)」
こちらのプラグインを使うと楽なので、おすすめです。
WordPressのバックアップや復元はデータベースに直接アクセスする必要があるなど、初心者にはハードルが高いものです。ただし、今回ご紹介するWordPressプラグイン「All-in-One WP Migration」は初心者でも驚くほど簡単にバックアップとサイトの復元の双方が可能となります。テレ...