当ブログへのお問い合わせに対する返答対応に関しまして(2024年10月18日)

当ブログ内の記事を探す

最近の投稿

カテゴリー

アーカイブ

RSS

プロフィール

プロフィール用画像

みきてぃ

みきてぃ

20代のブロガーです。IT・インターネット関連や生活関連、趣味の1つである観賞魚などの記事を書いています。

≫詳しいプロフィールを見る

≫お問い合わせはこちら

WordPress

WordPressのセキュリティ対策8選を解説!【初心者でもわかる】

アイキャッチ画像
みきてぃ

皆さんは、WordPressのセキュリティ対策は行っていますか?

サイトやブログを安心して長く運営するのではれば、様々なセキュリティ対策が必要になります。

今回は、「WordPressにおけるセキュリティ対策」について、初心者でも分かりやすく解説していきます。

プロフィール用アイコン
みきてぃ

最初に結論から言うと、WordPressにおけるセキュリティ対策方法は、以下の6つだよ。

WordPressのセキュリティ対策8選

PHPバージョンを更新する

WordPress本体・プラグイン・テーマを更新する

使わないプラグイン・テーマを削除する

設定ファイルのアクセスを制限する

ユーザー名は公開しない

パスワードは複雑に設定する

ログイン時のセキュリティを強化する

セキュリティに強いサーバーを使う

この記事の目次
  1. なぜWordPressのセキュリティ対策を行うか
  2. WordPressのセキュリティ対策方法
  3. まとめ

なぜWordPressのセキュリティ対策を行うか

WordPressは世界中で最も使われているCMSである以上、インストール直後の状態ではセキュリティ面が非常に弱いです。

そのため、WordPressの本体やプラグイン、テーマに何らかの脆弱性(いわゆるセキュリティホール)があると、

  • サイト/ブログの改ざん
  • 不正アクセスによる個人情報流出
  • XMLRPC機能を悪用したDDos攻撃

などの被害に遭ってしまうこともあります。

プロフィール用アイコン
みきてぃ

うわ~、WordPressのセキュリティ対策をしないと、大変なことになるんだよね・・・。

ですから、WordPressをインストールしたら必ずセキュリティ対策を取ることが大切です。

WordPressのセキュリティ対策方法

冒頭にも書きましたが、WordPressのセキュリティ対策は以下の通りとなります。

  • PHPバージョンを更新する
  • WordPress本体・プラグイン・テーマを更新する
  • 使わないプラグイン・テーマを削除する
  • 設定ファイルのアクセスを制限する
  • ユーザー名は公開しない
  • パスワードは複雑に設定する
  • ログイン時のセキュリティを強化する
  • セキュリティに強いサーバーを使う
プロフィール用アイコン
みきてぃ

では、1つずつ解説していくね!

PHPをバージョンアップする

PHPのサポートは、バージョンごとにそれぞれ期限があります。

サポートが切れた古いPHPのバージョンを使い続けていると、セキュリティ上のリスクが高まりますので、必ず最新バージョンのPHPに切り替えましょう。

PHPのバージョンごとのサポート期限については、以下の公式サイトをご覧ください。

≫PHP「Supported Versions」(英語・外部サイト)

ちなみに、WordPressの動作に必要な環境は以下の通りです。

PHPver7.4以上
データベースMySQL:ver5.7以上
MariaDB:ver10.3以上
出典:WordPress.org「要件」

レンタルサーバーでPHPのバージョンを変更する方法は、以下の公式マニュアルをご覧ください(いずれも外部サイトに移動します)。

エックスサーバー「PHPのバージョンについて」

ロリポップ「PHP設定 / サーバー・プログラム / マニュアル」

さくらのレンタルサーバー「PHPのバージョン変更」

注意点

テーマやプラグインによっては、PHPの最新バージョンに対応していない場合がありますので、事前に配布先の公式サイトなどで動作環境を確認するようにしましょう。

参考サイト

KINSTA公式ブログ「PHPのサポートされているバージョンを使用する理由について」

WordPress本体・プラグイン・テーマをアップデートする

WordPress本体やプラグイン、テーマは随時更新されます。

古いバージョンを使い続けていると、脆弱性などセキュリティリスクが高くなりますので、WordPress本体やプラグイン、テーマの更新通知が来たら、必ず更新するようにしましょう。

なぜ最新バージョンのWordPressを使った方がいいの?

最新バージョン以外の旧バージョンのWordPressは、重要な脆弱性の修正のみのセキュリティアップデートが提供されます。

しかし、テーマやプラグインのバージョンアップによって、古いWordPressバージョンの対応が打ち切られることもあります。

また、数年以上前のWordPressの古いバージョンの公式アップデートが打ち切りになる場合もあります。

新しいバージョンのWordPressに更新することで、新しい機能が使えるなどのメリットがありますので、特段の理由が無ければ、なるべく最新バージョンのWordPressを使うようにしましょう。

参考サイトWordPress.org「WordPress バージョン 3.7 – 4.0 へのセキュリティアップデート提供の終了について」

プロフィール用アイコン
みきてぃ

現行の新しいバージョンでも、2~3年経つとバージョンが古くなるのは当たり前だよ!

あわせて読みたい

WordPress本体/プラグイン/テーマの更新方法をそれぞれ解説!【初心者向け】

使わないプラグイン・テーマは必ず削除する

使わないテーマやプラグインを無効のまま放置しておくと、セキュリティ上のリスクにつながる可能性がありますので、無効化したテーマやプラグインは必ず削除しておきましょう。

プロフィール用アイコン
みきてぃ

無駄なデータベースも整理できるので一石二鳥だよ!

あわせて読みたい

≫【WordPress】プラグインとは?使い方や注意点を解説!

≫WordPressテーマを追加&削除する方法【初心者向け】

設定ファイルのアクセスを制限する

WordPressの設定ファイルの1つである「wp-config.php」のアクセス制限は、非常に重要です。

設定ファイルのアクセス制限の方法としては以下の2つとなります。

  • パーミッションの設定する
  • htaccessファイルから設定する

パーミッションの設定する

FTPソフトなどでパーミッションの設定を行うことで、「wp-config.php」のアクセス制限をすることができます。

ただし、お使いのレンタルサーバーによっては設定できない場合がありますので、各レンタルサーバーのマニュアルやヘルプページなどで確認しておきましょう。

htaccessファイルから設定する

htaccessファイルで「wp-config.php」のアクセス制限の設定をする場合、以下の記載内容をhtaccessファイルに追加します。

1<files wp-config.php>
2order allow,deny 
3deny from all 
4</files>
注意点

htaccessファイルを編集する前に、必ず編集前のhtaccessファイルをバックアップしておくようにしましょう。

パスワードを複雑に設定する

簡単なパスワードは第三者にログインされやすいので、パスワードは以下のように設定しましょう。

  • パスワードは英数字に加えて記号を含める
  • 文字数は最低でも12字以上を推奨
  • 簡単な単語(例:password、admin)は絶対に使わない
  • 必ず複雑な文字列にする

ユーザー名は公開しない

初期状態ではWordPressのユーザー名がバレやすいです!

一部テーマによっては、「この記事を書いた人」の名前からユーザー名がばれてしまうこともあります。

ですから、プラグインを使ってユーザー名を非表示にすることをおすすめします。

口コミ用キャラクターアイコン

「投稿者スラッグ」を変えてしまうと、元のユーザー名も変わっちゃうの?

プロフィール用アイコン
みきてぃ

いやいや、あくまでも「投稿者スラッグ」部分を変えるだけ。元のユーザー名は変更されないので安心だよ!

「XO Security」プラグインの場合

1.「XO Security」プラグインをインストール&有効化します。

2.「ユーザー」→「プロフィール」の順にクリックします。

WordPress管理画面

3.「投稿者スラッグ」の右にあるボックス欄に、適当な単語を入力します。

WordPressプラグイン「XO Security」有効化時の投稿者スラッグ編集項目

4. 最後に「プロフィールを更新」をクリックするだけで完了です。

「Edit Author Slug」の場合

1.「Edit Author Slug」をインストール&有効化します。

WordPressプラグイン「Edit Author Slug」
WordPress.org「Edit Author Slug」

2.「ユーザー」→「プロフィール」の順にクリックします。

WordPress管理画面

3.「プロフィール」の下に「投稿者スラッグ編集」項目が表示されますので、「カスタム設定」を選択し、ボックス欄に適当な単語を入れておきましょう。

WordPress 「プロフィール」設定画面

4.最後に「プロフィールを更新」をクリックするだけで完了です。

ログイン時のセキュリティを強化する

さらに、ログイン周りのセキュリティについても絶対必要です。これについては、プラグインで強化しておきましょう。

WordPress SiteGuard WP Plugin
WordPress.org「SiteGuard WP Plugin」

「SiteGuard WP Plugin」は、WordPressのログインにおけるセキュリティをさらに強化してくれる無料プラグインです。

このプラグインでは、主に以下の機能を設定できます。

  • 管理ページへのアクセス制限
  • ログインページの変更
  • 画像認証の追加
  • ログイン詳細エラーメッセージの無効化
  • ログインロック
  • ログインアラート
  • フェールワンス
  • XMLRPC機能の防御
  • ユーザー名の漏洩を防御
  • WAFの例外設定
  • 更新通知
  • ログイン履歴

参考サイトSiteGuard WP Plugin – WebセキュリティのEGセキュアソリューションズ

注意点

「SiteGuard WP Plugin」プラグインを有効化すると、ログインURLページが自動的に変更されますので、必ず「変更後のログインURLページ」をブックマークしてからログインしましょう。

【WordPressセキュリティ対策】XMLRPC機能は絶対に無効化した方がいい理由

セキュリティに強いサーバーを使う

WordPressのみならず、サイトやブログの改ざんを守るためには、セキュリティに強いサーバーを選ぶことも大事です。

激安サーバーは基本的にセキュリティ面にも弱いので、やや高くてもセキュリティ対策を取っているレンタルサーバーであれば、安心です。

セキュリティに強いレンタルサーバー

  • エックスサーバー
  • Conoha

まとめ

というわけで、今回は「WordPressにおけるセキュリティ対策」について解説しました。

WordPressでサイトやブログを運営するには、しっかりとしたセキュリティ対策が必要です。大切なデータが第三者に見られないように、しっかりとセキュリティ対策は行っていきましょう!

参考サイト

【最低やっておくべき】WordPressのセキュリティ強化対策5つ~初心者向け~ | カゴヤのサーバー研究室

この記事を書いた人

プロフィール用画像

みきてぃ

みきてぃ

20代のブロガーです。IT・インターネット関連や生活関連、趣味の1つである観賞魚などの記事を書いています。

≫詳しいプロフィールを見る

≫お問い合わせはこちら

スポンサーリンク
関連記事
こちらの記事もどうぞ!
記事URLをコピーしました