WordPressのセキュリティ対策|サイトを守るために自分でできる対策5つ
WordPressで作った自社コーポレートサイトのセキュリティ対策。
皆さんの会社ではどのようにされていますか?
『気にはなるけど、実際には特別な対策は行っていない』
管理運営を自社内だけで行っている会社様ですと、こういったケースが多いのでは無いでしょうか。
前提として、
『ハッキングの対象になるのは、大手企業なんでしょ?』
『万が一侵入されても、すぐに被害が出るようなサイトでもないし』
こんな間違った認識があるのかもしれませんね。
2019年の1年間で、日本国内でサイバー犯罪の被害にあった人、2460万人。
これは、セキュリティソフトで有名な米企業ノートンライフロック社(旧社名 シマンテック)が発表したデータです。
(参照:ノートンライフロック サイバーセーフティ インサイトレポート 2019)
また、悪意あるハッカーの低年齢化や愉快犯の増加などもあいまって、中小企業のサイトと言えど、対岸の火事では済まない時代になりました。
さらに言えば、ハッキングされても、被害があなたの会社だけで済めば幸運かもしれません。
あなたが管理するサイトに、訪問者をフィッシングサイトやマルウェアサイトに自動的に移動(リダイレクト)させるコードを埋め込まれたら?
直接的な被害が、あなたのサイトの訪問者様にまで発生してしまうような事態にもなりかねません。
WordPressサイトへの攻撃は、一説によれば1日に5,000万回以上も観測されているそうです。
セキュリティ対策は、時間のあるときに考えれば良いような悠長なことではありません。
この記事を参考に、優先順位を高め、迅速な対応をしていきましょう。
WordPressのセキュリティ対策
これから記事タイトルの通り、ご自分ですぐに出来るセキュリティ対策を5つお話していきます。
とは言え、難解な内容ではありませんので、どうぞご安心を。
WordPressブログを立ち上げられた方なら、問題なくご理解頂ける内容ですので、一つ一つチェックしながら読んで下さいね。
WordPressは最新版にアップデート
WordPressはいわゆるオープンソースソフトウェアです。
ソースコードをオープンにすることで誰もが改良することが出来る反面、セキュリティホールも発見されやすいリスクもあります。
その穴が、悪意あるハッカーの攻撃対象となってしまうケースが跡を絶たないのです。
そういったセキュリティホールを塞ぐ目的もあって、WordPressは頻繁にバージョンアップを繰り返しています。
セキュリティ的には、最新版が一番安全。
ですから、最新版へのアップデートが必要なのです。
『あれ?WordPressって自動的に更新されてなかったっけ?』
とお思いの方、確かにWordPressはセキュリティに関する軽微なバージョナップ(ビルドバージョン)はデフォルトで自動更新される設定です。
ですが、その他にバージョンアップが必要なもの、
- テーマ
- プラグイン
については、デフォルトでは自動更新されない設定になっています。
それぞれの設定画面で、自動更新を有効にしましょう。
プラグイン、テーマ、いずれも画像の赤枠内部分で設定が可能です。
それと、もうひとつ更新が必要な項目がPHP。
管理画面で「PHPの更新が必要です」と表示されたら、セキュリティのためアップデート作業を実施して下さい。
ただし、PHPはWordPressの管理画面では操作することが出来ません。
契約されているレンタルサーバーの管理画面にログインしての作業となります。
ご不明の際は、サーバー会社のヘルプを参照するか、サポートへご相談を。
テーマ選び・プラグイン選びは慎重に
テーマ、プラグインにもセキュリティホールは存在し、内容によっては攻撃対象となり得ることはご存知の通りです。そのうえで、テーマ、プラグインによってセキュリティリスクが異なることに注意しなければなりません。
製作者の技術レベルや、バージョン更新の頻度が、それぞれまちまちだからです。
選び方のポイントは、無料版であれば、どちらも公式のものを使用することです。
『公式』とはWordPressの管理画面で公開されていて、直接インストール・適用出来るもの。
公式なら、ある程度は信頼しても問題ありません。
WordPressを管理する、WordPressファウンデーションが厳正な審査のうえで公開しているからです。
(公開後の更新期間については、注意が必要です)
ただし、これは無料版に限った話。
よりセキュリティを強固にしたいのであれば、信頼性の高い有料テーマを選ぶことも大きな選択肢の一つ。
選び方を間違えなければ、無料版とは桁違いのセキュリティ環境が手に入ります。
さらに、無料版にはない機能性の高さにより、プラグインを大量に使用する必要もなくなります。
プラグインの使用数を減らすことは、セキュリティリスクの軽減に繋がります。
有料版テーマを選ぶなら、国内メーカー製のもので、定期的なアップデートをおこない、導入事例の多いものをチョイスすべき。
弊社テーマの New Standard も、自信をもってお勧めできる有料テーマのひとつです。
無料テーマをご利用でしたら、ぜひ一度 14日間のお試し体験 で、内容をご確認下さい。
管理画面へのユーザー名・パスワードを強化
- ユーザー名
- パスワード
- 管理画面のログインURL
当然ではありますが、これらの情報を悪意あるハッカーに知られてはいけません。
この3点セットがあれば、サイトを乗っ取られてしまうかもしれないのです。
一笑に付してはいけません。
こんな肝心なことが、おろそかになっているケース、普通にあるんです。
一つ一つ見ていきましょう。
- ユーザー名
ユーザー名を、『admin』『Administrator』などにしていませんか?
以前はインストール時に自動的にユーザー名の候補としてadminが表示されていたこともあり、何となく使っている方も多いのでは。
多数の人が使っているということは、真っ先に攻撃候補となってしまうということ。
すでに使用してしまっているなら、別のユーザー名への速やかな変更を。
標準ではユーザー名は変更することが出来ません。
プラグインもありますが、アカウントの作り直しでの対応をお勧めします。
ユーザー名を変更するプラグインといえば、
こちらのUsername Changerがよく紹介されていますが、上記画像(公式より引用)の通りの状態となっています。
セキュリティ対策をしているのですから、セキュリティ上問題のあるプラグインを使うのはいかがなものでしょう。
アカウントを作り直しさえすれば済む話ですし、ここはプラグイン無しでの対応を。
- パスワード
WordPressに限らず、複雑で推測されにくいパスワードに変更し、定期的に新しいものへのチェンジを。
管理画面の ユーザー>プロフィール>アカウント管理>新しいパスワード で更新出来ます。
余計なことは考えず、WordPressが準備してくれた強固なパスワードを使用しましょう。
また、プラグインの利用でログイン時に二段階認証を採用するのもお勧めです。
こちらは別記事で詳細をまとめますので、お時間のある際にはさらなるセキュリティ強化を。
※代表的な二段階認証機能追加プラグイン
- 管理画面のログインURL
WordPressのログイン画面アドレスは、サイトアドレスに「/wp-login.php」「/wp-admin」をつけたもの。
おそらく、あなたが管理するサイトも、このアドレスでログインしているものと思います。
特に変更しなければ世界中のWordPressサイトは、このアドレスを使用しています。
もう、お分かりですね。
セキュリティ対策としては、アドレスの変更が必須です。
※代表的なログイン画面アドレス変更プラグイン
レンタルサーバーのWordPressセキュリティ機能を確認
主なレンタルサーバーでは、WordPressのセキュリティ機能が準備されています。
詳細は各社異なりますので、ご自分が契約されているサーバーの状態について、確認をお願いします。
ちなみに、セキュリティ機能として「WAF」を実装しているサーバが多いようですね。
WAFは、「Web Application Firewall(ウェブ・アプリケーション・ファイアウォール)」の略。
簡単に言ってしまうと、WordPressの脆弱性を悪用した攻撃を検出し、防御する盾のような存在になります。
セキュリティ対策には有効な手段ですので、基本はオンにするのが推奨されます。
ですが、オンにする事でWordPress管理画面の操作に支障が出る事もあるようなので、その場合は一時的にオフにするなどで対処して下さい。
セキュリティ対策完了!と思ったら
セキュリティについて相談出来る人がいない場合は、オンライン上でのセキュリティチェックを。
お勧めは、WordPress Security KYUBI
こちらでしたら、メールアドレスと名前を登録するだけで、WordPress本体、プラグイン、テーマに関する無料セキュリティ診断を受けられます。
(無料コースは月一回の診断が可能。それ以上は有料のコースになります。)
診断すると、こんな結果を表示してくれます。
画像の脆弱性の詳細部分では、対策方法なども示されますので、急いで対応して下さいね。
お困りの際はご相談を承ります
いかがだったでしょうか?
WordPressのセキュリティ対策について、代表的なところをお話させて頂きました。
セキュリティ対策は、やり始めると際限がありません。
ですが、この記事を参考にして頂ければ、当面安心と言えるレベルにはなるでしょう。
あなたが管理するコーポレートサイトに訪問して来られるのは、全員がお客様です。
お客様へご迷惑をおかけし、信頼を損なうことのないよう、迅速にセキュリティ対策を開始して下さい。
ただその上で、
『自分だけで抱えるには問題が大きすぎる』
『詳しい相談が出来る人もいないので、不安だ』
そうお感じになるのなら、テクニカルサポートで質問を受け付けていますが、自分での解決が難しい場合は別途料金は必要ですが弊社での対応も可能です。
お客様の環境に応じてお見積りいたしますので、下記リンクよりお気軽にご相談ください。