WordPressセキュリティ対策|プラグインと設定

ワードプレスはオープンソースでコードが公開されているシステムなので、初期設定では非常にセキュリティが低い状態にあります。
そのため、大切に育てたブログが不正アクセスによって一瞬で破壊されたり奪われる恐れがあります。

実際、私はブログを始めた頃にハッキングの被害にあった経験があります。そのときのショックは未だに忘れません。
これから始めようとしている皆様は、被害にあわないようワードプレスのセキュリティ対策を行っておくことを強くおすすめします。

ここでは、WordPressのセキュリティ対策としておすすめのプラグインと各種設定についてご紹介します。

 

関連記事 ブログの作り方|ワードプレスでのブログの始め方

関連記事 GoogleXMLSitemapsとは|設定方法とサーチコンソールへの登録

1.ワードプレスのセキュリティ対策

ワードプレスのセキュリティを強化するために最低限行っておきたい対策は次のとおりです。

1)WordPressに「SiteGuard WP Plugin」プラグインを導入する
2)WordPressのユーザー名を推測されないようにする
3)WordPressに「Edit Author Slug」プラグインを導入する
4)WordPressのログインパスワードを複雑にする
5)IPアドレス制限をかける
6)「wp-config.php」ファイルのパーミッションを変更する
7)WordPressとプラグインを最新バージョンに維持する
8)プラグインを厳選する

上記対策を行うことによってかなりセキュリティを強化することができます。
ただし、セキュリティに100%はないので、加えて日々バックアップを取るようにしましょう。

1)WordPressに「SiteGuard WP Plugin」プラグインを導入する

WordPressのセキュリティプラグインとしておすすめなのは『SiteGuard WP Plugin』というプラグインです。
おすすめする理由は次のとおりです。

・WordPressのセキュリティプラグインとして定番
・「JP-Secure」という日本のセキュリティ会社が開発したプラグインで安心
・日本語が標準となっていて使いやすい

【「SiteGuard WP Plugin」について】
「SiteGuard WP Plugin」を導入することによって設定できる項目は次のとおりです。
SiteGuard WP Plugin

〈管理ページアクセス制御〉
ワードプレスの管理ファイルである/wp-admin/○○ファイルへのアクセス制限をかける設定です。
この制限をかけることで、ワードプレスにログインしていない人は/wp-admin/○○ファイルにアクセスできなくなります。
初期設定では「オフ」になっていますが、自宅やオフィスなど、基本的にいつも同じ場所でブログ更新を行う方は「オン」にしておくといいでしょう。
〈ログインページ変更〉
WordPressのログイン画面は「http://ドメイン/wp-login.php」ファイルと決まっており、推測されやすい状態になっています。
そこで、ログインページのURLを変更することで不正アクセスに対するセキュリティを高めることができます。
「SiteGuard WP Plugin」を導入した時点でURLが変更されるので、ログイン画面のブックマークはURL変更後のページで行いましょう。
なお、変更後のURLはWordPressに登録しているメールアドレス宛に届きます。

なお、私がおすすめしているエックスサーバー を利用している方は問題なく『SiteGuard WP Plugin』を利用することができますが、VPSなどでカスタマイズしてサーバーを構築された方は利用できない、もしくは利用するのに手間がかかる恐れがありますのでご留意ください。

2)WordPressのユーザー名を推測されないようにする

WordPressの管理画面にログインするための情報の1つに「ユーザー名」があります。
「admin」などの推測されやすユーザー名ではセキュリティ的に非常に危険です。

ユーザー名を簡単に推測できてしまうと、あとはパスワードしか防いでくれるものがありません。
攻撃者側からしたらセキュリティが甘く、攻めやすい相手と思われるでしょう。

3)WordPressに「Edit Author Slug」プラグインを導入する

ユーザー名を推測されにくいものに設定しても、次のURLにアクセスすることで誰でも簡単にユーザー名を確認できてしまいます。

『http://(WordPressのURL)/?author=1』
※()内についてご自身の環境に合わせてください。
具体的に、「http://esperiding.com/?author=1」というURLにアクセスすることで私のユーザー名が表示されてしまいます。
そこで「Edit Author Slug」プラグインを利用することによってユーザー名を隠すことができます。
「Edit Author Slug」プラグインは、WordPressの公式サイトでも紹介しているプラグインなので安心して利用することができます。
なお、「Edit Author Slug」プラグインの詳細な設定方法は「Edit Author Slugプラグイン|設定方法ついて」をご覧ください。

4)WordPressのログインパスワードを複雑にする

単純ですがログインパスワードを複雑にすることは非常に効果的です。
小文字大文字の英字や数字、記号を含めた上でより長いパスワードに設定するようにしましょう。

攻撃者は機械を使って短時間で様々なパスワードを試すなどの攻撃を仕掛けてきます。
複雑なパスワードを設定しておけばいくら機械でもあっても当てられる可能性を低くすることができます。

【パスワードの変更】
ワードプレスの管理画面の[ユーザー]→[ユーザー一覧]WordPressのログインパスワードの複雑化

次に[パスワードを変更するユーザーを選択]WordPressのログインパスワードの複雑化

そして画面の下の方にある[パスワードを生成する]→[プロフィールを更新]でパスワードを変更することができます。
WordPressのログインパスワードの複雑化

5)IPアドレス制限をかける

IPアドレス制限をかけることで指定されたIPアドレス以外のアクセスできないようにすることができます。
つまり、攻撃者はアクセスすらできないため、パスワードの総当たり攻撃などを仕掛けるチャンスもないということです。

なお、いつも違う環境で作業することが想定される場合など、IPアドレスが変わる可能性がある場合には自分もアクセスできなくなってしまいますので注意しましょう。
私はIPアドレス制限をかけていることを忘れてWordPressにアクセスできず焦ることがたまにあります・・・。

IPアドレス制限をかけるべきは「wp-admin」フォルダと「wp-login.php」ファイルですが、「wp-admin」フォルダに関しては「SiteGuard WP Plugin」プラグインの「管理ページアクセス制御」項目をオンにすることで対応できるので、ここではエックスサーバーを利用している場合の「wp-login.php」ファイルに対するIPアドレス制限のかけ方をご説明します。

【IPアドレス制限のかけ方】
https://www.cman.jp/network/support/go_access.cgi」にて今のIPアドレスを確認します。
IPアドレス制限のかけ方

「.htaccess」ファイルを編集するためエックスサーバーのサーバーパネルにアクセス→[.htaccess編集]IPアドレス制限のかけ方

IPアドレス制限をかけるドメインを[選択する]IPアドレス制限のかけ方

そして[.htaccess編集]→[IPアドレス制限に関するコードの追加]→[確認画面へ進む]→[実行する]で完了です。

次のコードをそのままコピーして「#BEGIN WordPress」より上の位置に貼り付けましょう。
<files wp-login.php>
order deny,allow
deny from all
allow from xxx.xxx.xxx.xxx
allow from AAA.AAA.AAA.AAA
allow from BBB.BBB.BBB.BBB
allow from CCC.CCC.CCC.CCC
</files>
上記のとおり追加した場合、IPアドレス「xxx.xxx.xxx.xxx」「AAA.AAA.AAA.AAA」「BBB.BBB.BBB.BBB」「CCC.CCC.CCC.CCC」からのアクセスを許可し、それ以外のIPアドレスからのアクセスは拒否することができます。

6)「wp-config.php」ファイルのパーミッションを変更する

「wp-config.php」はワードプレスを扱う中で非常に重要なファイルです。
そのため、編集できないようにパーミッションを変更します。

ここでは、エックスサーバーでのパーミッションの変更についてご説明します。

【「wp-config.php」ファイルのパーミッションの変更】
エックスサーバー契約時に届いた「【Xserver】■重要■サーバーアカウント設定完了のお知らせ[試用期間]」メール内のFTP情報を確認します。
「wp-config.php」ファイルのパーミッションの変更

エックスサーバーのファイルマネージャーにアクセス→[「FTPユーザーID」と「FTPパスワード」の入力]→[ログイン]「wp-config.php」ファイルのパーミッションの変更

次に[「ドメイン名」ファイルを選択]「wp-config.php」ファイルのパーミッションの変更

そして[「public_html」ファイルを選択]「wp-config.php」ファイルのパーミッションの変更

そして[「wp-config.php」ファイルにチェック]→[パーミッション変更]「wp-config.php」ファイルのパーミッションの変更

最後に[パーミッションを[400]]→[パーミッション変更]で完了です。
「wp-config.php」ファイルのパーミッションの変更

参考 WordPress Codex 日本版-パーミッションの変更

7)WordPressとプラグインを最新バージョンに維持する

WordPressやプラグインがアップデートされて新しいバージョンが公開されたときは随時更新し、最新バージョンを適用するようにしましょう。

WordPressやプラグインはしばしば脆弱性が見つかります。
攻撃者はその脆弱性をついて不正アクセスを仕掛けてきます。

実際、私はプラグインのバージョンを最新版に更新をせず放置していたことでハッキングの被害にあいました・・・。
最新バージョンの維持は簡単なことですが、非常に重要なことです。

WordPressやプラグインを更新するときは念のためバックアップをとってからにしましょう!

8)プラグインを厳選する

プラグインを導入するときは次の点に留意しましょう。

・WordPressの公式で公開されているプラグインを使用する
・不必要にプラグインは導入しない
・使用していないプライグインは削除する

悪質なプラグインを導入してしまったり、プラグインに脆弱性があった場合、そこからハッキングの被害にあう恐れがあります。
そのため、よくわからないところからプラグインをインストールしたり、無駄にプラグインを入れまくったりしないようしましょう。

2.まとめ

以上、WordPressセキュリティ対策|プラグインと設定についてでした。

WordPressは非常に便利ですが、危険と隣り合わせにあります。
必ずセキュリティ対策をとってから利用するようにしましょう!

不正アクセスを受けたときのショックは想像以上に大きいです。
皆様はどうか被害にあわれないようセキュリティ対策をしてください!

Twitterで更新情報などつぶやいています!