ワードプレスはオープンソースでコードが公開されているシステムなので、初期設定では非常にセキュリティが低い状態にあります。
そのため、大切に育てたブログが不正アクセスによって一瞬で破壊されたり奪われる恐れがあります。
実際、私はブログを始めた頃にハッキングの被害にあった経験があります。そのときのショックは未だに忘れません。
これから始めようとしている皆様は、被害にあわないようワードプレスのセキュリティ対策を行っておくことを強くおすすめします。
ここでは、WordPressのセキュリティ対策としておすすめのプラグインと各種設定についてご紹介します。
関連記事 GoogleXMLSitemapsとは|設定方法とサーチコンソールへの登録
1.ワードプレスのセキュリティ対策
ワードプレスのセキュリティを強化するために最低限行っておきたい対策は次のとおりです。
2)WordPressのユーザー名を推測されないようにする
3)WordPressに「Edit Author Slug」プラグインを導入する
4)WordPressのログインパスワードを複雑にする
5)IPアドレス制限をかける
6)「wp-config.php」ファイルのパーミッションを変更する
7)WordPressとプラグインを最新バージョンに維持する
8)プラグインを厳選する
上記対策を行うことによってかなりセキュリティを強化することができます。
ただし、セキュリティに100%はないので、加えて日々バックアップを取るようにしましょう。
1)WordPressに「SiteGuard WP Plugin」プラグインを導入する
WordPressのセキュリティプラグインとしておすすめなのは『SiteGuard WP Plugin』というプラグインです。
おすすめする理由は次のとおりです。
・「JP-Secure」という日本のセキュリティ会社が開発したプラグインで安心
・日本語が標準となっていて使いやすい
【「SiteGuard WP Plugin」について】
「SiteGuard WP Plugin」を導入することによって設定できる項目は次のとおりです。
ワードプレスの管理ファイルである/wp-admin/○○ファイルへのアクセス制限をかける設定です。
この制限をかけることで、ワードプレスにログインしていない人は/wp-admin/○○ファイルにアクセスできなくなります。
初期設定では「オフ」になっていますが、自宅やオフィスなど、基本的にいつも同じ場所でブログ更新を行う方は「オン」にしておくといいでしょう。
WordPressのログイン画面は「http://ドメイン/wp-login.php」ファイルと決まっており、推測されやすい状態になっています。
そこで、ログインページのURLを変更することで不正アクセスに対するセキュリティを高めることができます。
「SiteGuard WP Plugin」を導入した時点でURLが変更されるので、ログイン画面のブックマークはURL変更後のページで行いましょう。
なお、変更後のURLはWordPressに登録しているメールアドレス宛に届きます。
なお、私がおすすめしているエックスサーバー を利用している方は問題なく『SiteGuard WP Plugin』を利用することができますが、VPSなどでカスタマイズしてサーバーを構築された方は利用できない、もしくは利用するのに手間がかかる恐れがありますのでご留意ください。
2)WordPressのユーザー名を推測されないようにする
WordPressの管理画面にログインするための情報の1つに「ユーザー名」があります。
「admin」などの推測されやすユーザー名ではセキュリティ的に非常に危険です。
ユーザー名を簡単に推測できてしまうと、あとはパスワードしか防いでくれるものがありません。
攻撃者側からしたらセキュリティが甘く、攻めやすい相手と思われるでしょう。
3)WordPressに「Edit Author Slug」プラグインを導入する
ユーザー名を推測されにくいものに設定しても、次のURLにアクセスすることで誰でも簡単にユーザー名を確認できてしまいます。
※()内についてご自身の環境に合わせてください。
そこで「Edit Author Slug」プラグインを利用することによってユーザー名を隠すことができます。
4)WordPressのログインパスワードを複雑にする
単純ですがログインパスワードを複雑にすることは非常に効果的です。
小文字大文字の英字や数字、記号を含めた上でより長いパスワードに設定するようにしましょう。
攻撃者は機械を使って短時間で様々なパスワードを試すなどの攻撃を仕掛けてきます。
複雑なパスワードを設定しておけばいくら機械でもあっても当てられる可能性を低くすることができます。
【パスワードの変更】
ワードプレスの管理画面の[ユーザー]→[ユーザー一覧]
次に[パスワードを変更するユーザーを選択]
そして画面の下の方にある[パスワードを生成する]→[プロフィールを更新]でパスワードを変更することができます。
5)IPアドレス制限をかける
IPアドレス制限をかけることで指定されたIPアドレス以外のアクセスできないようにすることができます。
つまり、攻撃者はアクセスすらできないため、パスワードの総当たり攻撃などを仕掛けるチャンスもないということです。
なお、いつも違う環境で作業することが想定される場合など、IPアドレスが変わる可能性がある場合には自分もアクセスできなくなってしまいますので注意しましょう。
私はIPアドレス制限をかけていることを忘れてWordPressにアクセスできず焦ることがたまにあります・・・。
IPアドレス制限をかけるべきは「wp-admin」フォルダと「wp-login.php」ファイルですが、「wp-admin」フォルダに関しては「SiteGuard WP Plugin」プラグインの「管理ページアクセス制御」項目をオンにすることで対応できるので、ここではエックスサーバーを利用している場合の「wp-login.php」ファイルに対するIPアドレス制限のかけ方をご説明します。
【IPアドレス制限のかけ方】
「https://www.cman.jp/network/support/go_access.cgi」にて今のIPアドレスを確認します。
「.htaccess」ファイルを編集するためエックスサーバーのサーバーパネルにアクセス→[.htaccess編集]
IPアドレス制限をかけるドメインを[選択する]
そして[.htaccess編集]→[IPアドレス制限に関するコードの追加]→[確認画面へ進む]→[実行する]で完了です。
<files wp-login.php>
order deny,allow
deny from all
allow from xxx.xxx.xxx.xxx
allow from AAA.AAA.AAA.AAA
allow from BBB.BBB.BBB.BBB
allow from CCC.CCC.CCC.CCC
</files>
上記のとおり追加した場合、IPアドレス「xxx.xxx.xxx.xxx」「AAA.AAA.AAA.AAA」「BBB.BBB.BBB.BBB」「CCC.CCC.CCC.CCC」からのアクセスを許可し、それ以外のIPアドレスからのアクセスは拒否することができます。
6)「wp-config.php」ファイルのパーミッションを変更する
「wp-config.php」はワードプレスを扱う中で非常に重要なファイルです。
そのため、編集できないようにパーミッションを変更します。
ここでは、エックスサーバーでのパーミッションの変更についてご説明します。
【「wp-config.php」ファイルのパーミッションの変更】
エックスサーバー契約時に届いた「【Xserver】■重要■サーバーアカウント設定完了のお知らせ[試用期間]」メール内のFTP情報を確認します。
エックスサーバーのファイルマネージャーにアクセス→[「FTPユーザーID」と「FTPパスワード」の入力]→[ログイン]
次に[「ドメイン名」ファイルを選択]
そして[「public_html」ファイルを選択]
そして[「wp-config.php」ファイルにチェック]→[パーミッション変更]
最後に[パーミッションを[400]]→[パーミッション変更]で完了です。
参考 WordPress Codex 日本版-パーミッションの変更
7)WordPressとプラグインを最新バージョンに維持する
WordPressやプラグインがアップデートされて新しいバージョンが公開されたときは随時更新し、最新バージョンを適用するようにしましょう。
WordPressやプラグインはしばしば脆弱性が見つかります。
攻撃者はその脆弱性をついて不正アクセスを仕掛けてきます。
実際、私はプラグインのバージョンを最新版に更新をせず放置していたことでハッキングの被害にあいました・・・。
最新バージョンの維持は簡単なことですが、非常に重要なことです。
8)プラグインを厳選する
プラグインを導入するときは次の点に留意しましょう。
・不必要にプラグインは導入しない
・使用していないプライグインは削除する
悪質なプラグインを導入してしまったり、プラグインに脆弱性があった場合、そこからハッキングの被害にあう恐れがあります。
そのため、よくわからないところからプラグインをインストールしたり、無駄にプラグインを入れまくったりしないようしましょう。
2.まとめ
以上、WordPressセキュリティ対策|プラグインと設定についてでした。
WordPressは非常に便利ですが、危険と隣り合わせにあります。
必ずセキュリティ対策をとってから利用するようにしましょう!
不正アクセスを受けたときのショックは想像以上に大きいです。
皆様はどうか被害にあわれないようセキュリティ対策をしてください!