WordPress

WordPressのセキュリティ対策6選を解説!【初心者でもわかる】

アイキャッチ画像

皆さんは、WordPressのセキュリティ対策は行っていますか?サイトやブログを安心して長く運営するのではれば、様々なセキュリティ対策が必要になります。

今回は、「WordPressにおけるセキュリティ対策」について、初心者でも分かりやすく解説していきます。

プロフィール用アイコン
みきてぃ東西線

最初に結論から言うと、WordPressにおけるセキュリティ対策方法は、以下の6つだよ。

  • PHPをバージョンアップする
  • WordPress本体・プラグイン・テーマをアップデートする
  • 設定ファイルのアクセスを制限する
  • パスワードを複雑に設定する
  • 使わないプラグイン・テーマを削除する
  • プラグインを使ってセキュリティを強化する

なぜWordPressのセキュリティ対策を行うか

WordPressは世界中で最も使われているCMSですが、WordPressの本体やプラグイン、テーマに何らかの脆弱性(いわゆるセキュリティホール)があると、そこから脆弱性を悪用した攻撃を受けてしまう可能性があります。

そのため、WordPressをインストールしたら、必ずセキュリティ対策を取ることが大切です。

WordPressのセキュリティ対策方法

冒頭にも書きましたが、WordPressのセキュリティ対策は以下の通りとなります。

  • PHPをバージョンアップする
  • WordPress本体・プラグイン・テーマをアップデートする
  • 設定ファイルのアクセスを制限する
  • パスワードを複雑に設定する
  • 使わないプラグイン・テーマを削除する
  • プラグインを使ってセキュリティを強化する
プロフィール用アイコン
みきてぃ東西線

この6つの方法について、次の項目から解説していくよ!

PHPをバージョンアップする

PHPのサポートは、バージョンごとにそれぞれ期限があります。PHP7.1以前の古いバージョンを使っている方は、必ずPHP7.4に切り替えるようにしましょう。

参考サイト
PHPのリリース日とサポート期限 – Qiita

WordPress本体・プラグイン・テーマをアップデートする

WordPress本体やプラグイン、テーマは日々アップデートされます。古いバージョンを使い続けていると、セキュリティリスクが高くなる可能性がありますので、アップデートの通知が来たら、必ずアップデートするようにしましょう。

WordPress本体・翻訳の更新

WordPress本体はマイナーアップデートのみ自動更新されますが、本体のメジャーアップデートや翻訳の更新は「ダッシュボード」→「更新」メニューから手動でアップデートすることになります。

アップデート前に必ず、データのバックアップを取ってから「今すぐ更新」をクリックして更新しましょう。

プラグイン・テーマの更新

アップデートしたいプラグイン・テーマにチェックマークを入れ、「プラグイン(テーマ)を更新」をクリックするだけで、プラグイン・テーマが更新されます。

WordPress 更新画面
WordPress 更新画面

ただし、「プラグインやテーマをアップデートしたら、何らかの不具合が起きてしまった」という事態に備えて、念のためバックアップは取った方が良いです。

WordPressをプラグインで簡単にバックアップする方法【初心者でもわかる】
WordPressをプラグインで簡単にバックアップする方法【初心者でもわかる】
2020.7.15
万が一、WordPressやレンタルサーバーに何らかの障害が起きる事に備え、WordPressのファイルやデータベースは定期的にバックアップしておく必要があります。 この記事では、...

設定ファイルのアクセスを制限する

WordPressの設定ファイルの1つである「wp-config.php」のアクセス制限は、非常に重要です。

設定ファイルのアクセス制限の方法としては以下の2つとなります。

  • パーミッションの設定する
  • htaccessファイルから設定する

パーミッションの設定する

FTPソフトなどでパーミッションの設定を行います。ただし、お使いのレンタルサーバーによっては設定できない場合がありますので、各レンタルサーバーのマニュアルやヘルプページなどで確認しておきましょう。

htaccessファイルから設定する

htaccessファイルでアクセス制限の設定をする場合、以下の記載内容をhtaccessファイルに追加します。

<files wp-config.php>
order allow,deny
deny from all
</files>

パスワードを複雑に設定する

簡単なパスワードは第三者にログインされてしまう可能性がありますので、パスワードは以下のように設定しましょう。

  • パスワードは英数字に加えて記号を含める
  • 文字数は最低でも12字以上を推奨
  • 簡単な単語(例:password、admin)は絶対に使わない
  • 必ず複雑な文字列にする

使わないプラグイン・テーマを削除する

使わないテーマやプラグインを無効のまま放置しておくと、セキュリティリスクにつながる可能性がありますので、無効化したテーマやプラグインは必ず削除しておくようにします。

【WordPress】プラグインとは?使い方や注意点を解説!
【WordPress】プラグインとは?使い方や注意点を解説!
2020.6.30
WordPressには、好きなテーマを有効化してサイトのカスタマイズができるほか、プラグインを使って様々な機能を追加することもできます。 しかし、何も考えないでプラグインを入れると...
WordPressテーマを追加&削除する方法【初心者向け】
WordPressテーマを追加&削除する方法【初心者向け】
2020.7.9
WordPressは、公式ディレクトリやテーマを配布しているサイトから気軽に入手したり、また不要になったテーマを簡単に削除したりすることもできます。 今回は、「WordPressテ...

プラグインを使ってセキュリティを強化する

さらにプラグインを使って、WordPressのセキュリティ強化をすることもできます。

「JetPack」の保護機能を使う

WordPress Jetpack

「JetPack」プラグインには、ブルートフォースアタック(総当たり)による攻撃から防いでくれる機能が無料で搭載されています。

ブロックされた回数は、「JetPack」のダッシュボードにて確認できます。

WordPress JetPackプラグイン ダッシュボードより

なお、自宅から会社のパソコンからログインしている場合は、「常時許可されたIPアドレス」に自宅や会社のIPアドレスを追加することで、誤ブロックを防ぐことができます。

WordPress Jetpack 設定画面

「SiteGuard WP Plugin」でログイン周りのセキュリティをさらに強化する

WordPress SiteGuard WP Plugin

「SiteGuard WP Plugin」は、WordPressのログインにおけるセキュリティをさらに強化してくれる無料プラグインです。

このプラグインでは、主に以下の機能を設定できます。

  • 管理ページへのアクセスを制限する
  • ログインページを変更する
  • ログインページに画像認証を追加する
  • ログイン詳細エラーメッセージを無効化し、曖昧なエラーメッセージにする
  • ログイン失敗を繰り返した接続元を、一定期間ログインできないようにする
  • ログイン成功時、運営者にメールでログイン通知をする
  • ログイン成功しても、1度だけログイン失敗と見なす機能
  • XMLRPC機能を無効化する
注意点

「SiteGuard WP Plugin」プラグインを有効化すると、ログインURLページが自動的に変更されますので、必ず「変更後のログインURLページ」をブックマークし、そこからログインするようにします。

参考サイト
SiteGuard WP Plugin | ソフトウェアWAFのJP-Secure

まとめ

というわけで、今回は「WordPressにおけるセキュリティ対策」について解説しました。

WordPressでサイトやブログを運営するには、しっかりとしたセキュリティ対策が必要です。大切なデータが第三者に見られないように、しっかりとセキュリティ対策は行っていきましょう!

参考サイト
【最低やっておくべき】WordPressのセキュリティ強化対策5つ~初心者向け~ | カゴヤのサーバー研究室

スポンサーリンク
この記事を書いた人
    みきてぃ東西線
    20代大学卒業生です。インターネット・ガジェット関連や生活関連、趣味の1つである観賞魚などの記事を書いています。