WordPressサイトを運営する際に、欠かせないセキュリティ対策
『知名度も高くないから大丈夫!』と油断は禁物です
今回は、WordPressのセキュリティ対策の必要性/対策について簡単に紹介しますので是非対策しておきましょう!
こんな方にオススメ
- WordPressのセキュリティ対策の必要性について知りたい
- WordPressの必要最低限のセキュリティ対策方法を知りたい
目次
WordPressでセキュリティ対策をする理由
WordPressは、世界中の多くのサイトで利用されています
その為、Wordpressの脆弱性をつくことで、多くのサイトに攻撃を仕掛けることができます
- スパム
→コメント欄/自動返信メールの悪用など - 不正アクセス など
上記のような攻撃を避けるためにも、対策は必須!
不正アクセスって具体的にどんなこと?
WordPressでは、インストール後そのままの状態にしておくと、サイトHP画面のURL末尾に『/wp-admin/や/login/』などをつけて検索するだけで、誰でもログイン画面への侵入が可能になります
また、ユーザー名も『/?author=1』などで特定可能
ログイン画面とユーザー名を抑えてしまえば、残りはパスワードのみ突破するだけでダッシュボードへ侵入されます
結果的に、データの抜き取り/改ざんなどが行われる危険があります
WordPress改ざん例)
https://www.itmedia.co.jp/enterprise/articles/1702/13/news045.html
WordPressにオススメのセキュリティ対策プラグイン
プラグインは多すぎるとサイトが重くなってしまうので最低限のプラグインを紹介します
推奨プラグイン
【プラグイン】
- SiteGuard WP Plugin
→不正アクセスを防止プラグイン
最悪これだけで、セキュリティ対策はOK - Edit Author Slug
→ユーザー名を隠すプラグイン
好みによりますが導入推奨
SiteGuard WP Pluginの導入方法/基本設定
SiteGuard WP Pluginは、サイトの不正アクセスを防止するためのプラグイン
ブログ運営を行う上で、絶対にいれておくことをオススメします
プラグイン『SiteGuard WP Plugin』のインストール方法は以下の通り
インストール方法
- ダッシュボード→プラグイン→新規追加
- 『SiteGuard WP Plugin』を検索→インストール→有効化
それでは、各種設定について説明していきます
SiteGuard WP Pluginの各種設定
インストールした『SiteGuard WP Plugin』は管理画面左側に配置されます
ダッシュボードをクリックすると、上記画像の通り機能についての画面が出ます
やっておきたい基本設定
- 管理ページアクセス制限
→ログインのないIPからの/admin/以降のフォルダにアクセス制限をかけます
〈使い方〉
OFF→ON後、変更保存 - ログインページ変更
→初期ログインページのURLを変更します
※使い方/注意点は下記にて紹介しています - 画像認証(任意)
→ログインの際に、画像認証を行います
「ひらがな」にしておくだけで、BOT/海外などからの脅威を減らせます
〈使い方〉
OFF→ON 該当欄にチェック後、変更を保存 - ログインアラート(任意)
→ログイン時に自身へメールが届くようにします
〈使い方〉
OFF→ON 受信者,管理人のみにチェック後,変更を保存
ログインページ変更のやり方
ログインページ変更時の手順
- SiteGuard WP Plugin→ログインページの変更
- OFF→ONに変更
- 任意のログインページ名を入力
- 管理者ページからログインページへリダイレクトしないにチェック
- 変更を保存
※ロリポップなどのWAFが有効の場合、できない時があります
その場合は、サーバーで一時的に無効にしてから保存を行ってみて下さい
📝変更後は、ログインページのURLをメモ/一時ログアウト後、即座にブックマークに追加などで自身がログインページに入れるようにしておきましょう
ログインページに行けない/URLを忘れたとき
ログインページへ行けない場合は、サーバーの管理ファイル『.htaccess』の確認をしましょう
RewriteRule ^login_XXXX などの記載があれば、http(s)://~~.~/login_XXX でログインページへ移動できます
Edit Author Slugの導入方法/設定
Edit Author Slugは/?author=1などで、簡単にユーザー名を公開しないようにできるプラグインです
インストール方法
- ダッシュボード→プラグイン→新規追加
- 『Edit Author Slug』を検索→インストール→有効化
Edit Author Slugの設定方法
設定方法
- 有効化→ダッシュボード
- ユーザー→プロフィール
- 投稿者スラッグ変更(下記画像参照)
プラグイン導入以外のセキュリティ対策
プラグイン以外のセキュリティ対策法
- WordPressのテーマ/プラグインを最新版に更新
- 不要テーマ/プラグインの削除
- バックアップの作成
- お問い合わせの自動返信の解除(任意)
- コメント欄の削除(任意)
上記のようなセキュリティ対策について詳しく掘り下げていきます
WordPressのテーマ/プラグインの更新
WordPressのテーマ/プラグインなどは、機能の改善以外にもセキュリティ対策の意味で更新されている為、可能な限り最新版への更新を心掛けましょう
一部、テーマ/プラグインは更新後、動作しないなどもあるので、調べる/バックアップを取るなどの対策をしておきましょう
不要テーマ/プラグインの削除
無効化にしているテーマ/プラグインでも、更新していない状態の脆弱性をつかれる危険があります
また、不要テーマなどはサイトの表示速度などに影響を与える場合もある為、使わないものは削除しましょう
バックアップの作成
万が一、不正アクセスによるデータの改ざんなどの影響を受けた場合の為にバックアップをしておきましょう
また、Wordpressやテーマ等のアップデートに際して、データ破損等が懸念される為、バックアップの準備は必須
お問い合わせ等の自動返信機能解除(任意)
お問い合わせフォームの自動返信機能を使ったスパムメールなどの危険がありますので、気になる方は自動返信機能のみ解除しておきましょう
コメント欄の削除
コメント欄を使用して、記事と無関係なサイトなどのURLや広告を貼り付けられる場合があります
コメント欄がどうしても必要!という方は、『Akismet』などのスパム認証プラグインで対策しましょう
WordPressのセキュリティ対策:まとめ
セキュリティの重要性/対策
【セキュリティ対策が必要な理由】
- WordPress使用者が多く、他サイト同様の攻撃を受けやすい
【セキュリティ対策用プラグイン】
- SiteGuard WP Plugin
→不正アクセスを防止プラグイン
最悪これだけで、セキュリティ対策はOK - Edit Author Slug
→ユーザー名を隠すプラグイン
好みによりますが導入推奨
【プラグイン以外の対策例】
- WordPressのテーマ/プラグインを最新版に更新
- 不要テーマ/プラグインの削除
- バックアップの作成
- お問い合わせの自動返信の解除(任意)
- コメント欄の削除(任意)
セキュリティ対策に万全はありません
しかし、対策済みと未対策では危険度が段違いですので、今回の記事を参考にあなたのサイトでもセキュリティ対策を行ってみましょう!