WordPressで行うべきセキュリティ対策

ホームページ制作でよく使われるWordPress。非常に便利なツールですが、知名度が高いオープンソースソフトウェアのため、攻撃の対象になりやすいです。そのため、セキュリティ対策が必須だと言えるでしょう。

ご存じの方も多いと思いますが、WordPressを使えば、ブラウザ上で簡単にホームページを管理することができます。しかし、万が一アカウント情報を他人に知られてしまうと、容易にホームページ内部にアクセスされてしまう恐れがあります。

実際、2019年におけるハッキング等の被害報告で、CMS第1位はWordPressであり、その割合は90％を超えています。

2019 Website Threat Research Report

そこで今回は、ホームページ制作初心者向けに、「WordPressで行うべきセキュリティ対策」を紹介していきます。WordPressに慣れていない方や、WordPressを導入する予定の方は、ぜひ参考にしてみてください。

WordPressで行える対策

早速ですが、WordPressで行えるセキュリティ対策を紹介していきます。

WordPressのバージョンアップ

WordPress等のオープンソースソフトウェアを扱う上で、バージョンアップ（最新版にアップデートすること）は欠かせません。

バージョンアップを行わないと、脆弱性が放置されたままになってしまうので、悪意ある外部からの攻撃、ウイルス感染のリスクが高まります。WordPressを利用する場合は、常に最新のバージョンを保つようにしてください。

テーマやプラグインの更新でセキュリティ強化

WordPressのテーマやプラグインにも、脆弱性が見つかる可能性があります。特に、プラグインが原因で、ホームページ全体に問題が起きるケースは多いです。

WordPress本体の更新だけでなく、テーマやプラグインの更新も忘れないようにしましょう。

WordPressのセキュリティ対策プラグインを導入する

セキュリティ対策用のプラグインを導入することも大切です。代表的なプラグインは、以下の3つです

• SiteGuard WP Plugin
• BackWPup
• Google Authenticator

それぞれのプラグインについて、簡単に説明していきます。

SiteGuard WP Plugin

SiteGuard WP Pluginは、管理画面やログインページの保護に長けたセキュリティ用プラグインです。画像認証機能を追加し、Webスクレイピングによるハッキングを防止することもできます。

基本的なセキュリティ対策であれば、これ1つでOKでしょう。日本語対応しているのもポイントです。

BackWPup

BackWPupは、WordPressで作成したホームページを簡単にバックアップできる、非常に有名なプラグインです。データベース及びサーバー上にあるファイルを、定期的に、自動でバックアップしてくれます。

バックアップをとっていない場合、マルウェア等によるデータの改ざん、あるいは各種ヒューマンエラーに対応できません。大切なホームページを守るためにも、必ずバックアップはとっておくようにしましょう。

Google Authenticator

Google Authenticatorは、Googleが開発した2段階認証機能をWordPressに追加するプラグインです。2段階認証機能を設定することで、不正ログインのリスクを下げることが可能です。

WordPressで作ったホームページを安全に運営していくためにも、ぜひ導入してみてください。

不要なプラグインは削除して、必要である「最低限」の数にする

セキュリティ対策用のプラグインを3つ紹介しましたが、他にも有用なプラグインが数多く存在します。そのため、ついつい様々なプラグインを追加してしまう人も多いはずです。しかし、プラグインの数が増えることで、ホームページのセキュリティが下がってしまうケースがあるので、注意してください。

プラグインにも脆弱性が潜んでおり、普段から使っていないプラグインは特に攻撃の対象にされやすいです。不要なプラグインは削除して、必要最低限の数にとどめましょう。

ホームページ運営上のポイント

ホームページを運営する上で、以下の3点は非常に大切です。

• コメント機能は不要なら外す
• アカウント情報をしっかり管理する
• 管理者IDとパスワードは推測されにくいものにする

それぞれのポイントについて、簡単に解説していきます。

コメント機能は不要なら外す

WordPressのコメント機能は、不要なら外しておきましょう。コメント機能は、記事を読んだユーザーからコメントをもらえる便利な機能ですが、一方で、コメントスパムが送られてくるリスクが高いというデメリットもあります。

アカウント情報をしっかり管理する

アカウント情報の管理も大切です。まず、必要がないアカウントは、安易に増やさないようにしましょう。

また、WordPressの管理者以外には、管理者権限を持つアカウントを与えないようにしてください。社内編集リーダーには「編集者」、外注ライターには「投稿者」など、目的に合わせて権限を与え、アカウントを発行するのが安心です。

管理者IDとパスワードは推測されにくいものにする

当然ですが、管理者IDとパスワードは、推測されにくいものを用意してください。

WordPressでは、デフォルトのユーザー名が「admin」になっています。ゆえに、このまま使用し続けてしまうと、不正アクセスのリスクが高まります。ユーザー名は必ず変更しましょう。

その他の対策

最後に、その他のセキュリティ対策を紹介していきます。具体的には、以下の4つです。

• .htaccessファイルで特定のページへのアクセスにベーシック認証をかける
• IPアドレスによる管理画面接続制限
• レンタルサーバの設定
• 常時SSL化

.htaccessファイルで特定のページへのアクセスにベーシック認証をかける

ベーシック認証とは、「ユーザー名やパスワードを入力しなければアクセスできない」という認証機能のこと。まだ公開したくないページ等があれば、.htaccessファイルを作成し、ベーシック認証をかけておきましょう。

また、wp-config.php / wp-admin.php等のファイルにもベーシック認証を設定しておくことで、WordPressのセキュリティを強化することができます。

IPアドレスによる管理画面接続制限

IPアドレスによる接続制限を行うのも効果的です。管理画面に対して、特定のIPアドレスからしかアクセスできないようにすれば、不正ログインのリスクも減り、セキュリティの向上につながります。お使いのネットワーク環境で固定IPが採用されている方は、必ず制限をかけることをオススメします。

レンタルサーバの設定

レンタルサーバによっては、様々なセキュリティ機能が備わっている場合があります。アクセス制限・ログイン試行回数制限・自動バックアップ等を簡単に設定できるケースも多いので、ぜひお使いのレンタルサーバを確認してみてください。

常時SSL化

常時SSL化を行うのも、非常に大切です。SSL化（通信の暗号化）を行うことで、通信データの盗聴や改ざんを阻止することができます。

近年は、全てのページをSSL化させることが一般的になってきました。皆さんも、常時SSL化していないホームページを運営している場合は、なるべく早く対応するようにしてください。

まとめ

ホームページ制作初心者向けに、「WordPressのセキュリティ対策」を紹介しました。

WordPressは非常に便利なツールですが、有名なオープンソースソフトウェアのため、攻撃に対象になりやすいです。ゆえに、セキュリティ対策が必要不可欠です。

ぜひ当記事を参考にしながら、WordPressのセキュリティ対策について学び、安全性の高いホームページを運営してください。