この記事では、初心者でも簡単に対策できるWordPressのセキュリティ対策を紹介します。サーバーやファイルをいじる必要のある項目、プラフインのみで対応できるものなど、対策によって難易度は異なりますが、比較的簡単に行える方法です。是非お試しを!
セキュリティ対策一覧 1ページ目
全ての対策を行うのが理想ですが、サイトの運用上、難しい場合には、優先度が高く、難易度が低いものから行うのがオススメです。
| 一覧 | 対策内容 | 重要度 | 難易度 | ページ |
|---|---|---|---|---|
| 対策1 | パスワードの徹底管理 | ★★★ | ★☆☆ | 1 |
| 対策2 | 更新の徹底 | ★★★ | ★☆☆ | – |
| 対策3 | IDを守る | ★★☆ | ★☆☆ | – |
| 対策4 | ログインURLを守る | ★★★ | ★☆☆ | – |
| 対策5 | ログインを守る | ★★★ | ★☆☆ | 2 |
| 対策6 | バーション番号の非表示 | ★☆☆ | ★☆☆ | – |
| 対策7 | 設定ファイルを守る | ★★★ | ★★☆ | – |
| 対策8 | 通信データを守るSSL | ★★★ | ★★☆ | – |
| 対策9 | サイトのデータを守る | ★★★ | ★☆☆ | 3 |
| 対策10 | ログイン履歴 | ★★☆ | ★☆☆ | – |
| 対策11 | データベーステーブル接頭辞 | ★★☆ | ★★☆ | – |
| 対策12 | 利用しないプラグイン・機能の無効化 | ★☆☆ | ★★☆ | – |
【対策1】 パスワードの徹底管理
1つ目は、サーバーのID・パスワード
2つ目は、WordPressのログインI D・パスワード
WordPressのセキュリティ対策以外にも、サーバー自体のID・パスワードの管理も重要です。
盗まれた場合、テーマファイルが改変されたり、データベースの内容が書き換えられてしまう他、メールサーバーの情報も分かるため、迷惑メール送信の踏み台にされることもあります。
初期パスワードは危険
ID・パスワードが、メールで届くサービスが増えてきています。
メール自体が盗み見られる可能性もゼロではないため、初期パスワードは変更することを推奨します。複雑なパスワードは覚えるのが大変なため、パスワード管理ツールを利用するのがオススメです。
安全なパスワード
「推測されやすいパスワード」「覚えやすいパスワード」は危険です。
ドメイン名がapple.comで、覚えやすくIDをapple、パスワードをapplecomのようなケースです。また、数字やアルファベットの羅列も避けましょう。
- 名前などの個人情報からは推測できないこと。
- 英単語などをそのまま使用しないこと。
- アルファベットと数字が混在していること。
- 適切な長さの文字列であること。
- 類推しやすい並び方やその容易な組み合わせにしないこと
IPA独立行政法人 情報処理推進機構によると、パスワード推測ツールなどを使った場合、4桁の大文字小文字の区別のないパスワードの場合、約3秒で推測可能なようです。😱💦
コンピュータの処理速度が向上すると、解読時間がさらに短くなると推測されます。
【対策2】 更新の徹底
WordPressは不具合や脆弱性、昨日の追加が行われると、新しいバージョンが公開されます。確認方法は、管理画面の「更新」から通知されます。「更新ボタン」を押すと、簡単に更新できます。
更新の項目(コアファイル・テンプレート・プラグイン)
新しいバージョンが公開されている場合、更新の可能な項目が3つ表示されます。更新ファイルが公開されている場合は、不具合の解消だけでなく、脆弱性の対応ケースもあるため、更新していない状態は極めて危険です。
「メジャーアップデート」と「マイナーアップデート」
メジャーアップデート:4.9.0→5.0.0「大きな機能追加、変更」
マイナーアップデート:5.1.1→5.1.2「小さいアップデート、自動更新」
テンプレートやプラグイン、カスタマイズした項目が、最新バージョンに対応した内容でなければ、サイトが真っ白になったり、管理画面にアクセスできなくなるなどの不具合が生じる可能性があります。更新前には、バックアップをオススメします。
▶︎見た目の不具合なら、発見が早いのですが、メールフォームなどのプラグインが動かない場合、実際に動作確認をしないと発見できない場合があります。セキュリティのためには、最新バージョンに更新するのが必須ですが、同時に動作確認も怠らないようにしておきましょう!
【対策3】 IDを守る
WordPressは初期設定ではIDが丸見えなので、注意が必要です。
前述したパスワードに加えて、IDまでも分かってしまうと、勝手にログインされる可能性が高まります。テンプレートによって異なりますが、投稿者名としてIDが丸見えの場合があります。
投稿者のニックネームを変更することで見た目上は防ぐことができます。
ニックネームをユーザー名以外のものを入力すると、ブログ上の表示名の選択肢が増えるので、ユーザー名以外の名前を選択します。サイト上ではユーザー名が表示されなくなります。
管理画面 ▶︎ ユーザー ▶︎ ユーザー一覧 ▶︎ 該当ユーザーの編集をクリック(下図)
管理者や投稿者が複数になる場合は、同一のIDで使い回すのは注意が必要です。この場合、誰がいつログインしたのか把握しづらくなり、不正なログインがあっても判別が困難です。
WordPressのサイトにログインするメンバーそれぞれにIDを発行し、行う業務に応じた権限付与をするのが理想的です。各IDとパスワードを慎重に管理するのもお忘れなく!
【対策4】 ログインURLを守る
WordPressは初期設定では、(サイトURL)/wp-login.phpというのが、ログインURLになっています。このログインURLを変更する、もしくはログインURLにID・パスワードを設定したり、特定のIPアドレスからしかアクセス出来ないようにすることで、ログイン時のセキュリティを強化することができます。IDやパスワードが推測できても、ログインURLが分からなければ、管理画面にログインすることはできません。
ログインURLの変更方法(プラグイン)
セキュリティプラグインの中にはログインURLを変更できるプラグインがあります。
ここでは、セキュリティ機能もついていて、日本語に対応しているプラグインでの設定方法を紹介します。
1. 管理画面 ▶︎ プラグイン ▶︎ 新規追加をクリック(下図)
2. 検索枠に「SiteGuard」と入力すると「SiteGuard WP Plugin」が表示される。
3.「今すぐインストール」をクリック ▶︎ 「有効化」をクリック
有効化すると、、
SiteGuard WP Pluginは、有効化した時点でログインURLが変更されるので、有効化後に表示されるメッセージの新しいログインページURLをクリックしてブックマークしておきましょう!URLは後ほど変更も可能です。
管理画面 ▶︎ SiteGuard ▶︎ ログインページ変更
ログインURLを変更後、オプションの「リダイレクトしない」にチェックを入れてから「変更を保存」をクリックしましょう!
ログイン画面に戻ってURLを確認すると、ログインURLが変更されています。
