※2021年10月16日更新しました。
皆さんは、WordPressのセキュリティ対策は行っていますか?サイトやブログを安心して長く運営するのではれば、様々なセキュリティ対策が必要になります。
今回は、「WordPressにおけるセキュリティ対策」について、初心者でも分かりやすく解説していきます。
最初に結論から言うと、WordPressにおけるセキュリティ対策方法は、以下の6つだよ。
目次
なぜWordPressのセキュリティ対策を行うか
WordPressは世界中で最も使われているCMSである以上、インストール直後の状態ではセキュリティ面が非常に弱いです。
そのため、WordPressの本体やプラグイン、テーマに何らかの脆弱性(いわゆるセキュリティホール)があると、そこから脆弱性を悪用した攻撃を受けてしまう可能性があります。
ですから、WordPressをインストールしたら、必ずセキュリティ対策を取ることが大切です。
WordPressのセキュリティ対策方法
冒頭にも書きましたが、WordPressのセキュリティ対策は以下の通りとなります。
- PHPバージョンを更新する
- WordPress本体・プラグイン・テーマを更新する
- 使わないプラグイン・テーマを削除する
- 設定ファイルのアクセスを制限する
- ユーザー名は公開しない
- パスワードは複雑に設定する
- ログイン時のセキュリティを強化する
- セキュリティに強いサーバーを使う
次の項目から、これらの方法を1つずつ解説していくよ!
PHPをバージョンアップする
PHPのサポートは、バージョンごとにそれぞれ期限があります。PHP7.1以前の古いバージョンを使っている方は、必ずPHP7.4系列のバージョンに切り替えましょう。
【参考サイト】
PHPのリリース日とサポート期限 – Qiita
WordPress本体・プラグイン・テーマをアップデートする
WordPress本体やプラグイン、テーマは日々アップデートされます。古いバージョンを使い続けていると、セキュリティリスクが高くなる可能性がありますので、アップデートの通知が来たら、必ずアップデートするようにしましょう。
WordPress本体・翻訳の更新
WordPress本体はマイナーアップデートのみ自動更新されますが、本体のメジャーアップデートや翻訳の更新は「ダッシュボード」→「更新」メニューから手動でアップデートすることになります。
アップデート前に必ず、データのバックアップを取ってから「今すぐ更新」をクリックして更新しましょう。
大型アップデートを含めて自動更新する方法(ver5.6以降)
「ダッシュボード」→「更新」メニューの「現在のバージョン」項目から自動更新の有効化することで、メジャーアップデートを含めた全てのバージョンの自動更新ができます。
プラグイン・テーマの更新
アップデートしたいプラグイン・テーマにチェックマークを入れ、「プラグイン(テーマ)を更新」をクリックするだけで、プラグイン・テーマが更新されます。
▼プラグインの更新。
▼テーマの更新。
テーマ・プラグインを自動更新する方法(ver5.5以降)
5.5バージョン以降は、テーマ・プラグインの自動更新を有効にすることもできます。
プラグイン
「インストール済みプラグイン」から、プラグインごとに自動更新の有効化/無効化の切り替えができます。
テーマ
▼「外観」→「テーマ」にて、自動更新したいテーマにカーソルを合わせ、「テーマの詳細」をクリック。
▼「自動更新を有効化」をクリックすることで、テーマの自動更新が有効になります。
本体・テーマ・プラグイン更新時の注意点
大型アップデート直後はWordPress本体やテーマ、プラグインによる不具合が発生する可能性があります。
また、プラグイン・テーマの更新に失敗したり、更新後に不具合が起きるリスクもあります。
「更新したら、WordPressが動かなくなった!」と嘆く前に、必ず更新前にデータのバックアップを取りましょう。
使わないプラグイン・テーマは必ず削除する
使わないテーマやプラグインを無効のまま放置しておくと、セキュリティリスクにつながる可能性がありますので、無効化したテーマやプラグインは必ず削除しておきましょう。
無駄なデータベースも整理できるので一石二鳥だよ!
設定ファイルのアクセスを制限する
WordPressの設定ファイルの1つである「wp-config.php」のアクセス制限は、非常に重要です。
設定ファイルのアクセス制限の方法としては以下の2つとなります。
- パーミッションの設定する
- htaccessファイルから設定する
パーミッションの設定する
FTPソフトなどでパーミッションの設定を行います。ただし、お使いのレンタルサーバーによっては設定できない場合がありますので、各レンタルサーバーのマニュアルやヘルプページなどで確認しておきましょう。
htaccessファイルから設定する
htaccessファイルでアクセス制限の設定をする場合、以下の記載内容をhtaccessファイルに追加します。
<files wp-config.php>
order allow,deny
deny from all
</files>パスワードを複雑に設定する
簡単なパスワードは第三者にログインされてしまう可能性がありますので、パスワードは以下のように設定しましょう。
- パスワードは英数字に加えて記号を含める
- 文字数は最低でも12字以上を推奨
- 簡単な単語(例:password、admin)は絶対に使わない
- 必ず複雑な文字列にする
ユーザー名は公開しない
初期状態ではWordPressのユーザー名がバレやすいです!
一部テーマによっては、「この記事を書いた人」の名前からユーザー名がばれてしまうこともあります。
必ず、ユーザー名を隠すプラグイン「Edit Author Slug」を導入しておきましょう。
1.「ユーザー」→「プロフィール」の順にクリック。
2.「プロフィール」の下に「投稿者スラッグ編集」項目が表示されますので、「カスタム設定」を選択し、ボックス欄に適当な単語を入れておきましょう。
3.最後に「プロフィールを更新」をクリックするだけで完了です。
「投稿者スラッグ」を変えてしまうと、元のユーザー名も変わっちゃうの?
いやいや、あくまでも「投稿者スラッグ」部分を変えるだけ。元のユーザー名は変更されないので安心だよ!
ログイン時のセキュリティを強化する
さらに、ログイン周りのセキュリティについても絶対必要です。これについては、プラグインで強化しておきましょう。
「SiteGuard WP Plugin」は、WordPressのログインにおけるセキュリティをさらに強化してくれる無料プラグインです。
このプラグインでは、主に以下の機能を設定できます。
- 管理ページへのアクセス制限
- ログインページの変更
- 画像認証の追加
- ログイン詳細エラーメッセージの無効化
- ログインロック
- ログインアラート
- フェールワンス
- XMLRPC機能の防御
- ユーザー名の漏洩を防御
- WAFの例外設定
- 更新通知
- ログイン履歴
「SiteGuard WP Plugin」プラグインを有効化すると、ログインURLページが自動的に変更されますので、必ず「変更後のログインURLページ」をブックマークしてからログインしましょう。
セキュリティに強いサーバーを使う
WordPressのみならず、サイトやブログの改ざんを守るためには、セキュリティに強いサーバーを選ぶことも大事です。
激安サーバーは基本的にセキュリティ面にも弱いので、やや高くてもセキュリティ対策を取っているレンタルサーバーであれば、安心です。
セキュリティに強いレンタルサーバー
- エックスサーバー
- Conoha
まとめ
というわけで、今回は「WordPressにおけるセキュリティ対策」について解説しました。
WordPressでサイトやブログを運営するには、しっかりとしたセキュリティ対策が必要です。大切なデータが第三者に見られないように、しっかりとセキュリティ対策は行っていきましょう!
