忘れていませんか?WordPressのセキュリティ対策

WordPressのセキュリティ対策

WordPressは一昔前まではブログ代わりに使う方が多かったと思いますが、最近ではその使い勝手の良さに、サイト全体をWordPressで構築する個人や企業も増えてきました。

しかも最近では、管理画面からボタンをクリックするだけで、簡単にWordPressのインストールができるサーバーも多く、初心者でも気軽に使えるようになっています。

このように、WordPressは使い勝手がすごく良くなっているのですが、弱点が一つあります。それはセキュリティの脆弱性です。

WordPressの弱点

なぜWordPressにセキュリティ上の脆弱性があるかというと、オープンソースだからです。オープンソースというのは広く一般公開され、誰でも使えるプログラミング言語のことです。

その扱いやすさゆえに脆弱性が発見されやすく、ハッカーに狙われて、不正改ざんや不正ログインの被害が相次いでいます。ただ、利用者側の工夫次第ではそうした被害を最小限にとどめることはできます。では安心してWordPressを使用するために、どのように使っていけばよいのでしょうか。

WordPressのセキュリティ対策を知ろう! 1.「管理者ユーザー名」

もしかして、WordPressの管理者ユーザー名が、初期設定であるadminのままになっていませんか?もしadminのまま使用しているなら、一刻も早く変更してください!というのもWordPressへの不正改ざん等の攻撃で、まず真っ先に狙われるのがユーザー名をadminにしているサイトなんです。

そう断言しても良いほど、セキュリティ上の危機にさらされています。ちなみになぜadminのままでいると危険なのかというと、adminを使用していると、簡単に不正ログインできてしまうんですね。

ブルートフォースアタックといって、ユーザー名とパスワードを入力し、ログイン成功するまで繰り返す攻撃があります。これを食らってしまうと、あっという間に不正ログイン・不正改ざんされてしまうのです。

WordPressのセキュリティ対策を知ろう! 2.「WordPresのバージョン」

WordPressやプラグインのバージョンは最新にしておくのがベスト。
先ほども述べたとおり、WordPressはオープンソースであるがゆえ、セキュリティ上の脆弱性が発見されやすいという難点があります。

いったん脆弱性が発見されると、その弱点をついた不正アクセスや改ざんが行われるため、被害にあうリスクが高まります。脆弱性が見つかった場合、その脆弱性に対応するためのアップデートが行われます。更新情報をチェックし、アップデートがあった場合は速やかに最新のバージョンにしておくこと。重要な防衛策の一つですね。

WordPressのセキュリティ対策を知ろう! 3.「パスワード」

パスワードは数字とアルファベットを含んだ複雑なものにしておきましょう。覚えやすいからといって、短いパスワードを設定するのはキケンです。

これはWordPressに限らず、どんなパスワードについても共通です。パスワードは必ず数字とアルファベット(記号が設定できる場合は3種類)を含む、長くて複雑なパスワードしておくと安全です。これでも不安という方は、Stealth Login Pageを導入し、パスワードを実質的にもう一つ設定する方法がおすすめ。

やり方は簡単

  1. ダッシュボードの「プラグイン」→「新規追加」検索ウィンドウにStealth Login Pageと入力し検索
  2. Stealth Login Pageが表示されたら「いますぐインストール」を押す
  3. 「プラグインを有効化」を押す
  4. ダッシュボードの「設定」→「Stealth Login Page」を押す
  5. Enter an authorization codeの右に任意のパスワードを入力し、「Save Settings」をクリック

次回のログイン画面にauthorization codeの入力スペースが表示されます。

WordPressのセキュリティ対策を知ろう! 4.「プラグイン」

テーマやプラグインは公式のものを利用するのがベター。多くは一般ユーザーが作ったプラグインの場合、作ってそのまま、あるいは更新されないプラグインやテーマもあります。そういうものは脆弱性をついた攻撃の的になりやすいので、定期的に更新されセキュリティ面が担保されている公式のテーマやプラグインを使用するのが安全でしょう。

WordPressのセキュリティ対策を知ろう! 5.「アクセス制限」

外部からwp-config.phpにアクセスさせないようにしましょう。

wp-config.phpはデータベースに接続するためのアカウント情報が記載されているため、WordPressを使用するうえで最も重要なファイルといっても過言ではありません。このファイルがハッカーの手に渡ってしまわないように、セキュリティ面は万全を期す必要があります。外部からのアクセスができないように設定しましょう。パーミッションを400にしておくと、管理者のみ「読み取り」の権限が与えられますので、忘れずにやっておくと良いでしょう。

まとめ

おそらく5の対策はエンジニアの対応が必要となるため、自社で対応できない場合は、制作会社さんに相談してみましょう。また、1と3については、簡単に設定できるものです。今すぐIDとパスワードを変更し、安全にWordPressを使用できるようにしましょう。

  • このページを共有する