• 2018年4月2日

WordPressのセキュリティを高める12の対策方法 初心者でも簡単!

WordPressのセキュリティを高める12の対策方法 初心者でも簡単!

WordPressのセキュリティを高める12の対策方法 初心者でも簡単! 700 433 パソコン生活サポート Pasonal

WordPressでホームページを運営する上でセキュリティを高めることは絶対に欠かすことのできない対策の一つです。近年ではWordPressのプラグインや脆弱性を利用した攻撃がますます激化しています。

ブルートフォースアタックやリモートを対象にした攻撃など最早日常的に起こるのが当たり前の出来事なのです。

今回は「WordPressのセキュリティを高める12の対策方法」を記事にしたいと思います。

 

中小企業や店舗サイトが危ない

中小企業やサロン・ネイルなどの店舗サイトを構築することが多いのですが、残念ながらほとんどのお客様はセキュリティに対する意識は低いように思われます。総じてそのようなお客様の傾向は以下のような感じです。

  • ホームページを作ってほったらかし
  • セキュリティ対策なんて後回し
  • 費用を出来る限り抑えたいから
  • インターネットの知識に疎い
  • 他人任せ

ある種の統計において、2017年末までに改ざんされたサイトの総数は150万件以上あると言われています。近年ではWordPressを狙った不正アクセスはますます激増しており、増加の一途を辿っています。

中小企業や店舗サイトはより一層、セキュリティ対策に力を入れなければならない状況ですが、現状ではなかなか難しいようです。特に、WordPressは手軽にサイトを管理できるとはいえ、それなりの専門知識が必要になるからです。

万が一、顧客のデータが流出したり、サイトが乗っ取られるようなことがあれば、企業や店舗の信頼は著しく失墜します。

そうなる前に、簡単に実践できることから始めてみましょう。

下記の1~12の対策を実践するだけで、かなり不正アクセスを防ぐことができます。

 

WordPressのセキュリティを高める12の対策方法

ここではWordPressのセキュリティを高める方法を記載しています。簡単に実践できる方法から順番に羅列しているので、1から順番に実践してみてください。1~12までを実践するだけで、セキュリティを大幅に高めることができます。

 

【1】WordPress本体やプラグインは常に最新状態に

何よりもコレが一番大切なことです。WordPress本体はデフォルトでは自動アップデートになっているため、基本的にキチンと更新されているか確認しておきましょう。ただし、何かの原因で更新が上手くされなかったり、自動更新をオフにしているような場合は注意が必要です。

特にホームページを作ってほったらかしの人や、マルチサイトで複数のWordPressを運営している人は要注意です。

これはプラグインも同様です。

しばらく使っていないプラグインは停止するだけではなく、削除しておきましょう。

WordPress本体やプラグインは常に最新状態に

 

 

【2】1年以上更新が止まっているプラグインを利用しない

プラグインは非常に便利な存在ですが、インターネットの情報を鵜呑みにして、訳も分からず使っている人も多いと思います。確かにプラグインはWordPressにとって魅力的なものですが、プラグインの中には、すでに更新を長年停止しているものも多数あるため注意が必要です。

そういったプラグインは脆弱性が改善されることなく放置されている状態であり、悪意ある第三者の格好のターゲットになります。プラグインの情報は公式ページで「リリースノート(履歴)」を必ず確認しておきましょう。

1年以上更新が停止しているプラグインは極力使わないようにすべきです。

1年以上更新が止まっているプラグインを利用しない

 

【3】ニックネームを使用する

これも意外な落とし穴になっています。WordPressをインストールした初期の状態では「ユーザーIDニックネーム」となっています。ユーザーIDとは、WordPressのログイン画面で使用した「WordPressのログインユーザーID」のことです。

これでは「ログインユーザーID」は「ログインパスワード」と同じく非常に重要な情報です。これが第三者に丸見えになっている状態では非常に危険です。以外にニックネームの変更をせずに使用しているユーザーがたくさんいます。

セキュリティを高めるためにも、ニックネームは必ず変更しておきましょう。

ニックネームを使用する

 

 

【4】ログイン情報を複雑にする

これは私のホームページのケースですが、1日におよそ80~100回は不正なアクセスを試みている形跡があります。その多くが「admin」「サイトのドメイン名」のユーザーIDで侵入をしようとしているものが大半でした。

ログイン情報(ユーザーIDとパスワード)は、かなり複雑な羅列にしておくべきです。複雑にしたからといって、絶対に安全という訳ではありませんが、IDとパスワードは複雑なほどセキュリティは高くなります。

単純な数字の羅列や文字の組み合わせは危険なので止めておきましょう。

ログイン情報を複雑にする

※上記のパスワードを使用しているワケではありません。

 

【5】重要な個人情報は極力登録しない

WordPressには氏名・住所・電話番号などを登録する入力フォームがあります。公になっている情報ならともかく、個人情報を入力する際には注意すべきです。どんなに強固なセキュリティ対策をしても、やはり万能とはいえません。

侵入されたときの万が一の場合に備えて、公にしたくない情報は控えましょう。

重要な個人情報は極力登録しない

 

個人情報の入力フォームはどこあるの?
  • WordPress左側メニュー「ユーザー」>「あなたのプロフィール」にあります。

 

 

【6】SiteGuard WP Pluginの導入

WordPressのセキュリティを高めるプラグインは無数に存在しています。ログインのセキュリティを高めたり、データベースを保護したりと色々あります。その多くが、海外で作られたプラグインのため、日本語化されていなかったり、使用が複雑なものもあります。

国産のセキュリティプラグインは非常に数が少ないですが、その中でも「SiteGuard WP Plugin」は非常に役立つプラグインの一つといえます。さして複雑な設定も必要なくセキュリティを高めることができるため、初心者でも気軽に利用できます。

ただしログインを規定回数間違えると、自分自身もロックで締め出されてしまうため注意が必要です。

SiteGuard WP Pluginの導入

 

 

【7】コメントをスパムから守る

WordPressの不正アクセスより多いのが、このコメントスパムです。私の場合は、1ヶ月に50~120件ほどのスパムがあります。大手のサイトに比べたら少ないのかもしれませんが、以前は、コーチやエルメスなどの英語表記の広告のスパムが多くかなり困り果てました。

現在では「Akismit」や「SpamByeBye」などで防いでいますが、それでも多少は漏れてしまいます。

とはいえ、コメントのセキュリティを上げるだけで、厄介なスパムを1つでも多く防ぐことが、WordPress全体のセキュリティにも役立ちます。

コメントをスパムから守る

 

【8】XMLRPCを守る

WordPressにはリモート(メール投稿)でブログを投稿できる機能が最初から備わっています。使っている人には便利な機能ですが、この「XMLRPC」が標的にされた不正アクセスが近年では特に急増しています。

メール投稿機能を使っていない人は、この機能を無効にした方が良いのですが、厄介なのは、一部のプラグインがこの機能を利用して動いていることです。例えば、「JetPack」などがその代表例です。

これはユーザーの環境によってことなるため、一概には言えませんが「XMLRPC」を無効にしたほうが、セキュリティは高くなります。

※プラグイン「SiteGuard WP Plugin」には、XMLRPCに対する防御がデフォルトで付いています。

XMLRPCを守る

 

 

【9】定期的なスパンでログイン情報を変更する

WordPressを初めてからずっとそのままで使っている人も結構多いのではないでしょうか。WordPressには日々、目には見えないだけで、ものすごい数の不正アクセスがあります。よっぽど強固な文字列であれば問題ないのですが、定期的に変更することをおすすめします。

私の場合は、少なくとも6ヶ月に一度ぐらいのペースで、ログインのユーザーIDとパスワードを変更しています。

ただし、管理者ユーザーを変更するにはちょっとしたコツが必要になります。

ログイン情報を定期的に変更するだけで、セキュリティを高めることができるので実践してみましょう。

定期的なスパンでログイン情報を変更する

 

ログインIDとパスワードを変えるためにはどうしたらいいの?

ログインIDとパスワードを変更するためには、以下の手順で変更する必要があります。

  • WordPress左側メニュー「ユーザー」>「新規追加」を選択。
  • 必要事項を入力し、権限グループを「管理者」にする。
  • 一旦ログアウトする
  • 左側メニュー「ユーザー」>「ユーザー一覧」>旧管理者の情報を「削除」
  • 「新しい管理者にすべてデータを移行する」を選択

※実行するまえに、データのバックアップをおすすめします。

 

 

【10】basic認証を利用する

basic認証とは、特定のページにアクセスする際に、あらかじめ設定したIDとパスワードを要求するものです。これは管理画面にログインする際の2段階認証によく使われています。

このbasic認証を設定しておくだけで、管理画面への不正アクセスは明らかに減少するようになります。設定するために専門知識が必要になりますが、WordPressのセキュリティを高めることができます。

basic認証を利用する

 

 

【11】テーブルのプレフィックスを変更する

こちらは賛否両論ある方法ですが、一応記述しておきます。プレフィックスとは、日本語で「接頭辞(せっとうじ)」と呼ばれているものです。WordPressはデータベースにデータを格納することで動いていますが、そのデータを格納する場所をテーブルを呼びます。

例えばブログの文章なら「wp_posts」というテーブルに格納されるわけです。

この「wp_」の部分がプレフィックスと呼ばれる部分です。WordPressをそのまま自動インストールすると、このプレフィックスが「wp1_」となっており、攻撃者からしてみれば、容易に不正アクセスを許してしまうのではないかと言われています。

まぁ間違いではないのですが、私はそこまで気にする必要はないと思っています。

「1~10」を実践するだけで十分セキュリティを高めることができますが、それでも、もっとセキュリティを高めたいのであれば、否定する理由はありません。ただし、プレフィックスを変更することは、WordPress全体に影響を及ぼすため慎重に判断してください。

※必ずバックアップを取ってからプレフィックスを変更してください。

 

【12】ホームページをSSL化する

SSLはデータの送受信を暗号化するための仕組みです。よくホームページのURLが「http://~」と「https://~」があります。後者の「https://~」がSSL化されたアドレスになります。

SSL化することで、ウェブサイトの盗聴・改ざんなどを防ぐ効果があり、SEO対策にとっても有利になるというメリットがあります。しかし、SSLも様々であり、ピンからキリまで存在しています。

いわゆる「グレード」というものです。高いものだと月額料金だけで数万円します。暗号化の強度にそれほど違いはないと思いますが、無料SSLの場合、サポートを受けられなかったり、突然サービスが終了するというリスクを抱えています。

詳細は以下に記述します。

  • 手厚いサポートが受けられない。
  • 無料で取得できるため、フィッシングサイトなどで悪用されることが多い。
  • 自動更新に対応していないレンタルサーバーもある。
  • サービスが突然終了するリスクがある。

SSLは確かにメリットがありますが、すべてのサイトに当てはまるワケではありません。長年「http://~」で運営してきたホームページにとっては、「https://~」にすることで、逆にデメリットが大きくなる場合もあります。

SSLにするとセキュリティを向上させることは可能ですが、このような点も留意しておく必要があります。

ホームページをSSL化する

 

まとめ

WordPressは管理画面がインターネット上にある、いわゆるCMSという形態です。それ故、常に管理画面は危険に晒され続けています。しかし、時代の流れは完全にWordPressが主流となっているので、当分はハッカーとのイタチごっこが続くと思います。

上記の項目をすべて実施するのは大変ですが、1~8まででも確実にセキュリティの効果は高くなります。

転ばぬ先の杖

迫りくる脅威から己自身を守るのは、やっぱり自分以外ないのです。

中小企業や店舗サイトをお持ちで、あまり保守をしていない人は、この機会にぜひ見直してみてください。