バズログ BUZZLOG

MENU

2019-09-26ホームページ制作

WordPressのセキュリティ強化を図る!最低限必要な5つの設定項目

かまとりーぬ 4

目次

WordPressのセキュリティ対策について知りたい。

上記のようにお悩みではないでしょうか。

WordPressは機能性が高く世界で最も利用されている代表的なCMSです。
しかしその分、多くの脅威にさらされています。

WordPressを利用する際には、ご自身でセキュリティ対策を施す必要があるのです。
脅威にさらされWebサイトを乗っ取られたり、改ざんされる前に対策をしておきましょう。

今回は、WordPressの最低限必要なセキュリティ対策について紹介していきます。
初心者でも簡単に設定ができるものばかりですので、ぜひ設定してみてください。

1:WordPressはセキュリティ対策必須!3つの脅威と理由

WordPressはセキュリティ対策が必要なのか?
どのようなセキュリティ対策を行えば良いか分からない・・・。

上記のようにWordPressのセキュリティ対策にお悩みであれば、対策を施す前にセキュリティ対策が必要である理由を理解しておきましょう。

セキュリティ対策が必要である理由を理解しておけば、その後にどのような対策をしていけば良いのか把握することが出来ます。

  • WordPressがさらされる脅威と脆弱性(ぜいじゃくせい)
  • WordPressが狙われる理由

上記2つの事について詳しく紹介していきましょう。

1-1:3つの脅威と脆弱性

WordPressの脅威や脆弱性と言われても、どんなものがあるのか想像がつかないですよね。

対策をする前に、どんな危険性が考えられるのか紹介していきます。主に考えられる危険は3つあるのです。

  • WordPressの不正ログイン
  • プログラム脆弱性への攻撃
  • 過剰データの送信アタック

WordPressが悪意あるものに攻撃されると、上記3つの様な危険を伴います。

不正にログインされた後、ページ内容を改ざんされたりページを削除される可能性が考えられるのです。

さらにプログラムの脆弱性を狙った攻撃(SQLインジェクション・OSコマンドインジェクション・クロスサイトスクリプティング)や許容範囲を超える過剰なデータを送信してくるバッファオーバーフロー攻撃などがあるのです。

1-2:WordPressが狙われる3つの理由

なぜWordPressが狙われてしまうのか3つの理由があるのです。

  • 利用しているユーザーが多く、標的になりやすいから
  • 管理画面URLが決まっていて構造がわかりやすいから
  • オープンソースで脆弱性を発見しやすいから

まず第一に利用しているユーザーが世界中に多くいるからという理由が挙げられます。攻撃者が、たった1つの脆弱性を見つければ世界中のユーザーをターゲットとして狙うことが可能です。利用しているユーザーが多い分、攻撃者からしてみれば効率よく攻撃することが出来ます。

またWordPressの管理画面ログインURLは、どんな文字列かなど構造がパターン化されていて攻撃しやすいのです。さらにWordPressのプログラム(ソースコード)は一般に公開されているオープンソースになります。
誰でもプログラムを見ることが出来るので、脆弱性を見つけやすいのです。

初心者でも簡単に利用できるWordPressですが、その分セキュリティリスクがあり対策をする必要があります。

2:必要最低限だけ!WordPress5つのセキュリティ設定

WordPressのセキュリティ対策を行っていきたい!

上記の様な場合のために、本当に必要な5つのセキュリティ設定について紹介していきます。
紹介していく5つの設定だけは、WordPressを利用する上で必要不可欠です。必ず設定をしていきましょう。

  • ユーザー名とパスワードの強化
  • プログラムを最新化する
  • wp-config.phpにアクセスさせない
  • 不要なプラグインの削除
  • バックアップを取る

上記5つのセキュリティ設定について、詳しく紹介していきます。

こんなセキュリティ対策が必要なんだ!という事を理解していきましょう。

2-1:ユーザー名とパスワードの強化

1つ目のセキュリティ対策は、ユーザー名とパスワードの強化です。

WordPress ログイン画面

管理画面へログインする際の、ユーザー名とパスワードを強化しましょう。

ユーザー名はデフォルトの「admin」ではなく、変更する必要があります。
さらにパスワードは、第三者に解読されないような複雑なものにする必要があるのです。

この2つを変更するだけでも、不正ログインを防ぐ大きな役割を担います。

誰でも思いつくような簡単なパスワードではなく、複雑で想像が付かないようなものに変更しておきましょう。

2-2:プログラムを最新化する

2つ目のセキュリティ対策は、プログラムを最新化する設定です。

WordPressの本体プログラムやプラグイン等は、不具合やバグが発生すると随時更新されます。さらに更新後はWordPressに通知が来るので、すぐに更新したプログラムやプラグインを見つけることが可能です。

WordPress 管理画面

最新化しないまま古いものを使っていると、攻撃の標的にされる可能性が高くなります。

更新通知が届いたら、できるだけ早く更新し常に最新の状態を保つようにしましょう。

2-3:wp-config.phpにアクセスさせない

3つ目のセキュリティ対策は、wp-config.phpにアクセスさせない設定です。

WordPressのプログラムの中には「wp-config.php」というファイルがあります。このファイルはWordPressの動作にかかわる様々な設定が記載されており、データベースのID・パスワードが記載されているのです。

つまりこのwp-config.phpが流出してしまうと、重要なデータベースのIDやパスワードを知られてしまう危険性が考えられます。そのような事態を防ぐために2つの方法で外部からのアクセスを拒否する「パーミッション」を正しく設定しておきましょう。方法としては2つあります。

  • wp-config.phpのファイル属性を400に設定
  • .htaccessファイルへ追記する

FTPソフトで設定できるファイルの属性を400にしましょう。
なお共有サーバーの場合で、パーミッションを400にすることが出来ない場合は「wp-config.php」と同じディレクトリにある「.htaccess」というファイルに以下のコードを追記するようにします。

  1. <files wp-config.php>
  2. order allow,deny
  3. deny from all
  4. </files>

2-4:不要なプラグインの削除

4つ目のセキュリティ対策は、不要なプラグインの削除です。

使用していないプラグインや、更新が全くされない(管理されていない)不要なプラグインは削除する様にしましょう。プラグインにおいても脆弱性が存在します。

そういったプラグインを放置していると、攻撃されやすくなってしまうのです。

使用していないプラグインがあれば、もったいぶらず削除しましょう。

2-5:バックアップを取る

5つ目のセキュリティ対策は、バックアップを取るということです。

定期的にWordPressのバックアップを取るようにしましょう。
バックアップをとっておけば、予期せぬハプニングが起きた場合でも元通りに復旧することが可能です。

バックアップを取っておかないと、問題が起こってWebサイトが壊れてしまっても直すことが出来ません。
1からWebサイトを作り直すことになってしまうのです。面倒なことになる前に、バックアップを取っておくことをオススメします。バックアップはサーバーもしくはプラグインで取ることが可能です。

プラグインを使用すれば初心者でも簡単にバックアップを取ることが出来ます。
詳しくは下記の記事にて方法をご覧ください。

関連記事:【永久保存版】WordPressで簡単にバックアップと復元できるプラグイン

3:プラグインで強度を高める!オススメ5選

WordPressの必要最低限のセキュリティ対策について紹介してきました。

これ以上の対策を行うとなると、難しい操作や技術が必要となり初心者では設定できないことが考えられるでしょう。そんな時には、必要なプラグインを入手してセキュリティの強度を高める方法があります。

オススメのセキュリティ強度系のプラグインは5つです。

  •  SiteGuard WP Plugin
  •  All In One WP Security & Firewall
  •  IP Geo Block
  •  WP Security Audit Log
  •  Akismet

上記5つの中でもオススメなのが「SiteGuard WP Plugin」です。
設定項目は全て日本語で使いやすく、管理画面を守り不正ログインをブロックすることが出来ます。

さっそく上記5つのプラグインについて詳しく紹介していきましょう。

3-1:SiteGuard WP Plugin

SiteGuard WP Plugin

SiteGuard WP Pluginhaは、管理画面を守る強力なプラグインです。

SiteGuard WP Pluginを使えば、主に管理画面を様々な角度からセキュリティを強化することが出来ます。

例えば、複数回ログインに失敗するとその接続元からログインができなくなったり、画面認証を追加したりすることが可能です。このプラグインを入れれば、不正なログインをブロックしてWebサイトを守ることが出来ます。強力なセキュリティでブロックしたい!そんな時にはオススメのプラグインでしょう。

SiteGuard WP Pluginhaを見る

3-2:All In One WP Security & Firewall

All In One WP Security & Firewall

All In One WP Security & Firewallは、総合的なセキュリティ対策をすることが出来るプラグインです。

WordPressが攻撃される原因でもある、共通のログインURLを変更したりすることが出来ます。

不正な侵入を防ぐための防御システムとして活用することが可能です。

All In One WP Security & Firewallを見る

3-3:IP Geo Block

IP Geo Block

IP Geo Blockは、海外からの不正アクセスをブロックすることが可能です。

WordPressへの攻撃は海外からのものが多く、このプラグインを使用すれば海外アクセスをブロックすることが出来ます。不正なアクセスを元からブロックしたいという場合には、オススメのプラグインです。

IP Geo Blockを見る

3-4:WP Security Audit Log

WP Security Audit Log

WP Security Audit Logは、WordPressのログイン履歴や管理画面の操作ログを記録することが出来ます。

不正なログインがどのような行動をとったのか、検知することが可能です。
危険性が高まっていないかを事前に検知し、対策を練るにはオススメのプラグインになります。

WP Security Audit Logを見る

3-5:Akismet

Akismet

Akismetは、WordPressにデフォルトで搭載されているプラグインです。

既に内蔵されているので、改めてインストールする必要はありません。
有効化し、設定を行えばすぐに使い始めることが可能です。

そんなAkismetは、スパムコメントに制限をかけることが出来ます。お問合せファーム等で投稿されたコメントから、スパムコメントを検知してブロックすることが可能です。

コメント内に含まれてる可能性のある、悪意のあるリンクやウィルスを開いてしまわない為にもAkismetはコメント管理で必要となるプラグインになります。

Akismetを見る

Akismetの使い方について詳しく知りたい場合には、下記の記事をご覧ください。
関連記事:WordPressで問い合わせフォームを表示する方法とスパム対策

4:セキュリティ診断ができる3つのツール

セキュリティ対策を行う前に、どのくらいのセキュリティ脅威があるのか知りたい。

上記の様な場合には、無料で使えるツールを使ってセキュリティ診断を行ってみましょう。

3つの診断ツールを紹介します。

  • WPdoctor
  • WPScans.com
  • Wordfence Security

上記3つの中でもオススメは「WPdoctor」です。日本語表示で使うことができ、利用しやすくなっています。

さっそく3つの診断ツールについて詳しく紹介していきましょう。

4-1:WPdoctor

WPdoctor

WPdoctorは、Webサイト上でWordPressのセキュリティ脆弱性を診断してくれるツールです。

画面真ん中にある検索バーにURLを入れて「サイトを検査」をクリックするだけで、簡単に脆弱性をチェックすることが出来ます。脆弱性が見つかった項目は、箇条書きで表示してくれるので見やすく使いやすい診断ツールです。

WPdoctorを使ってみる

4-2:WPScans.com

WPScans.com

WPScans.comは、Webサイト上で脆弱性がチェックできる診断ツールです。

Web上で使用することができ、調べたいURLを入力するだけでチェックすることが出来ます。さらに登録しておくと定期的な診断、脆弱性を確認するとプッシュ通知で知らせてくれるのです。

毎回確認するのは面倒だな・・・そんな時には登録しておくと便利に活用することが出来ます。

WPScans.comを使ってみる

4-3:Wordfence Security

Wordfence Security

Wordfence Securityは、WordPressのセキュリティに100%焦点を当てた総合セキュリティ対策のできるプラグインです。

このプラグインを入れておけばファイヤーウォールとして使用することもでき、セキュリティの脆弱性を診断することも出来ます。プラグイン有効化後に「Scan」というボタンをクリックすることで、脆弱性をすぐに診断することが可能です。WordPress内で完結させたい!という場合には、オススメのプラグインです。

Wordfence Securityを見る

まとめ

WordPressのセキュリティ対策について詳しく紹介してきました。

WordPressは初心者でも簡単にWebサイトを作成することができ、機能性の高い代表的なCMSです。
世界中で最も利用されており、利用しているユーザーが多いという特徴もあります。

そのためWordPressは多くの脅威にさらされていることも事実で、利用する際にはご自身でセキュリティ対策を施す必要があるのです。

今回紹介した必要最低限のセキュリティ対策だけでも、WordPressをインストールしたら行っておくことをオススメします。Webサイトが攻撃されてしまう前に対策をしておきましょう。

ぜひ参考にしてみてください。

  • このエントリーをはてなブックマークに追加

  • 4

    • このエントリーをはてなブックマークに追加
    目次

    関連記事

    ページ上部へ