皆さんは、WordPressのセキュリティ対策は行っていますか?サイトやブログを安心して長く運営するのではれば、様々なセキュリティ対策が必要になります。
今回は、「WordPressにおけるセキュリティ対策」について、初心者でも分かりやすく解説していきます。
最初に結論から言うと、WordPressにおけるセキュリティ対策方法は、以下の6つだよ。
- PHPをバージョンアップする
- WordPress本体・プラグイン・テーマをアップデートする
- 設定ファイルのアクセスを制限する
- パスワードを複雑に設定する
- 使わないプラグイン・テーマを削除する
- プラグインを使ってセキュリティを強化する
目次
なぜWordPressのセキュリティ対策を行うか
WordPressは世界中で最も使われているCMSですが、WordPressの本体やプラグイン、テーマに何らかの脆弱性(いわゆるセキュリティホール)があると、そこから脆弱性を悪用した攻撃を受けてしまう可能性があります。
そのため、WordPressをインストールしたら、必ずセキュリティ対策を取ることが大切です。
WordPressのセキュリティ対策方法
冒頭にも書きましたが、WordPressのセキュリティ対策は以下の通りとなります。
- PHPをバージョンアップする
- WordPress本体・プラグイン・テーマをアップデートする
- 設定ファイルのアクセスを制限する
- パスワードを複雑に設定する
- 使わないプラグイン・テーマを削除する
- プラグインを使ってセキュリティを強化する
この6つの方法について、次の項目から解説していくよ!
PHPをバージョンアップする
PHPのサポートは、バージョンごとにそれぞれ期限があります。PHP7.1以前の古いバージョンを使っている方は、必ずPHP7.4に切り替えるようにしましょう。
【参考サイト】
PHPのリリース日とサポート期限 – Qiita
WordPress本体・プラグイン・テーマをアップデートする
WordPress本体やプラグイン、テーマは日々アップデートされます。古いバージョンを使い続けていると、セキュリティリスクが高くなる可能性がありますので、アップデートの通知が来たら、必ずアップデートするようにしましょう。
WordPress本体・翻訳の更新
WordPress本体はマイナーアップデートのみ自動更新されますが、本体のメジャーアップデートや翻訳の更新は「ダッシュボード」→「更新」メニューから手動でアップデートすることになります。
アップデート前に必ず、データのバックアップを取ってから「今すぐ更新」をクリックして更新しましょう。
プラグイン・テーマの更新
アップデートしたいプラグイン・テーマにチェックマークを入れ、「プラグイン(テーマ)を更新」をクリックするだけで、プラグイン・テーマが更新されます。
ただし、「プラグインやテーマをアップデートしたら、何らかの不具合が起きてしまった」という事態に備えて、念のためバックアップは取った方が良いです。
設定ファイルのアクセスを制限する
WordPressの設定ファイルの1つである「wp-config.php」のアクセス制限は、非常に重要です。
設定ファイルのアクセス制限の方法としては以下の2つとなります。
- パーミッションの設定する
- htaccessファイルから設定する
パーミッションの設定する
FTPソフトなどでパーミッションの設定を行います。ただし、お使いのレンタルサーバーによっては設定できない場合がありますので、各レンタルサーバーのマニュアルやヘルプページなどで確認しておきましょう。
htaccessファイルから設定する
htaccessファイルでアクセス制限の設定をする場合、以下の記載内容をhtaccessファイルに追加します。
<files wp-config.php>
order allow,deny
deny from all
</files>パスワードを複雑に設定する
簡単なパスワードは第三者にログインされてしまう可能性がありますので、パスワードは以下のように設定しましょう。
- パスワードは英数字に加えて記号を含める
- 文字数は最低でも12字以上を推奨
- 簡単な単語(例:password、admin)は絶対に使わない
- 必ず複雑な文字列にする
使わないプラグイン・テーマを削除する
使わないテーマやプラグインを無効のまま放置しておくと、セキュリティリスクにつながる可能性がありますので、無効化したテーマやプラグインは必ず削除しておくようにします。
プラグインを使ってセキュリティを強化する
さらにプラグインを使って、WordPressのセキュリティ強化をすることもできます。
「JetPack」の保護機能を使う
「JetPack」プラグインには、ブルートフォースアタック(総当たり)による攻撃から防いでくれる機能が無料で搭載されています。
ブロックされた回数は、「JetPack」のダッシュボードにて確認できます。
なお、自宅から会社のパソコンからログインしている場合は、「常時許可されたIPアドレス」に自宅や会社のIPアドレスを追加することで、誤ブロックを防ぐことができます。
「SiteGuard WP Plugin」でログイン周りのセキュリティをさらに強化する
「SiteGuard WP Plugin」は、WordPressのログインにおけるセキュリティをさらに強化してくれる無料プラグインです。
このプラグインでは、主に以下の機能を設定できます。
- 管理ページへのアクセスを制限する
- ログインページを変更する
- ログインページに画像認証を追加する
- ログイン詳細エラーメッセージを無効化し、曖昧なエラーメッセージにする
- ログイン失敗を繰り返した接続元を、一定期間ログインできないようにする
- ログイン成功時、運営者にメールでログイン通知をする
- ログイン成功しても、1度だけログイン失敗と見なす機能
- XMLRPC機能を無効化する
「SiteGuard WP Plugin」プラグインを有効化すると、ログインURLページが自動的に変更されますので、必ず「変更後のログインURLページ」をブックマークし、そこからログインするようにします。
まとめ
というわけで、今回は「WordPressにおけるセキュリティ対策」について解説しました。
WordPressでサイトやブログを運営するには、しっかりとしたセキュリティ対策が必要です。大切なデータが第三者に見られないように、しっかりとセキュリティ対策は行っていきましょう!
