皆さんは、WordPressのセキュリティ対策は行っていますか?
サイトやブログを安心して長く運営するのではれば、様々なセキュリティ対策が必要になります。
今回は、「WordPressにおけるセキュリティ対策」について、初心者でも分かりやすく解説していきます。
最初に結論から言うと、WordPressにおけるセキュリティ対策方法は、以下の6つだよ。
目次
なぜWordPressのセキュリティ対策を行うか
WordPressは世界中で最も使われているCMSである以上、インストール直後の状態ではセキュリティ面が非常に弱いです。
そのため、WordPressの本体やプラグイン、テーマに何らかの脆弱性(いわゆるセキュリティホール)があると、以下の被害に遭ってしまいます。
- サイト/ブログの改ざん
- 不正アクセスによる個人情報流出
- XMLRPC機能を悪用したDDos攻撃
うわ~、WordPressのセキュリティ対策をしないと、大変なことになるんだよね・・・。
ですから、WordPressをインストールしたら必ずセキュリティ対策を取ることが大切です。
WordPressのセキュリティ対策方法
冒頭にも書きましたが、WordPressのセキュリティ対策は以下の通りとなります。
- PHPバージョンを更新する
- WordPress本体・プラグイン・テーマを更新する
- 使わないプラグイン・テーマを削除する
- 設定ファイルのアクセスを制限する
- ユーザー名は公開しない
- パスワードは複雑に設定する
- ログイン時のセキュリティを強化する
- セキュリティに強いサーバーを使う
次の項目から、これらの方法を1つずつ解説していくよ!
PHPをバージョンアップする
PHPのサポートは、バージョンごとにそれぞれ期限があります。
サポートが切れた古いPHPのバージョンを使い続けていると、セキュリティ上のリスクが高まりますので、必ず最新のPHP7.4系列のバージョンに切り替えましょう。
レンタルサーバーでPHPのバージョンを変更する方法は、以下の公式マニュアルをご覧ください。
WordPress本体・プラグイン・テーマをアップデートする
WordPress本体やプラグイン、テーマは随時更新されます。
古いバージョンを使い続けていると、脆弱性などセキュリティリスクが高くなりますので、WordPress本体やプラグイン、テーマの更新通知が来たら、必ず更新するようにしましょう。
現行の新しいバージョンでも、2~3年経つとバージョンが古くなるのは当たり前だよ!
使わないプラグイン・テーマは必ず削除する
使わないテーマやプラグインを無効のまま放置しておくと、セキュリティ上のリスクにつながる可能性がありますので、無効化したテーマやプラグインは必ず削除しておきましょう。
無駄なデータベースも整理できるので一石二鳥だよ!
設定ファイルのアクセスを制限する
WordPressの設定ファイルの1つである「wp-config.php」のアクセス制限は、非常に重要です。
設定ファイルのアクセス制限の方法としては以下の2つとなります。
- パーミッションの設定する
- htaccessファイルから設定する
パーミッションの設定する
FTPソフトなどでパーミッションの設定を行います。ただし、お使いのレンタルサーバーによっては設定できない場合がありますので、各レンタルサーバーのマニュアルやヘルプページなどで確認しておきましょう。
htaccessファイルから設定する
htaccessファイルでアクセス制限の設定をする場合、以下の記載内容をhtaccessファイルに追加します。
<files wp-config.php>
order allow,deny
deny from all
</files>htaccessファイルを編集する前に、必ず編集前のhtaccessファイルをバックアップしておくようにしましょう。
パスワードを複雑に設定する
簡単なパスワードは第三者にログインされやすいので、パスワードは以下のように設定しましょう。
- パスワードは英数字に加えて記号を含める
- 文字数は最低でも12字以上を推奨
- 簡単な単語(例:password、admin)は絶対に使わない
- 必ず複雑な文字列にする
ユーザー名は公開しない
初期状態ではWordPressのユーザー名がバレやすいです!
一部テーマによっては、「この記事を書いた人」の名前からユーザー名がばれてしまうこともあります。
必ず、ユーザー名を隠すプラグイン「Edit Author Slug」を導入しておきましょう。
1.「ユーザー」→「プロフィール」の順にクリック。
2.「プロフィール」の下に「投稿者スラッグ編集」項目が表示されますので、「カスタム設定」を選択し、ボックス欄に適当な単語を入れておきましょう。
3.最後に「プロフィールを更新」をクリックするだけで完了です。
「投稿者スラッグ」を変えてしまうと、元のユーザー名も変わっちゃうの?
いやいや、あくまでも「投稿者スラッグ」部分を変えるだけ。元のユーザー名は変更されないので安心だよ!
ログイン時のセキュリティを強化する
さらに、ログイン周りのセキュリティについても絶対必要です。これについては、プラグインで強化しておきましょう。
「SiteGuard WP Plugin」は、WordPressのログインにおけるセキュリティをさらに強化してくれる無料プラグインです。
このプラグインでは、主に以下の機能を設定できます。
- 管理ページへのアクセス制限
- ログインページの変更
- 画像認証の追加
- ログイン詳細エラーメッセージの無効化
- ログインロック
- ログインアラート
- フェールワンス
- XMLRPC機能の防御
- ユーザー名の漏洩を防御
- WAFの例外設定
- 更新通知
- ログイン履歴
「SiteGuard WP Plugin」プラグインを有効化すると、ログインURLページが自動的に変更されますので、必ず「変更後のログインURLページ」をブックマークしてからログインしましょう。
セキュリティに強いサーバーを使う
WordPressのみならず、サイトやブログの改ざんを守るためには、セキュリティに強いサーバーを選ぶことも大事です。
激安サーバーは基本的にセキュリティ面にも弱いので、やや高くてもセキュリティ対策を取っているレンタルサーバーであれば、安心です。
セキュリティに強いレンタルサーバー
- エックスサーバー
- Conoha
まとめ
というわけで、今回は「WordPressにおけるセキュリティ対策」について解説しました。
WordPressでサイトやブログを運営するには、しっかりとしたセキュリティ対策が必要です。大切なデータが第三者に見られないように、しっかりとセキュリティ対策は行っていきましょう!
