「Wordpressのセキュリティは脆弱と聞いて心配!」
「セキュリティ対策に取り組みたいけど難しいのはできるか不安……。」
「簡単で初心者でもできるようなセキュリティ対策はないの?」
このようにWordpressのセキュリティ対策についてお悩みではありませんか?
本記事では、Wordpressのセキュリティ対策について初心者でも簡単にできるセキュリティ対策のポイントを解説しています。
初心者は勿論のこと、長年Wordpressを運営している方の見直しポイントにもなる内容なので、WordPressのセキュリティ対策で悩まれている&安全なサイト運営をしたいなら是非参考にしてください。
誰でもできる!Wordpressのセキュリティ対策
WordPressのセキュリティ対策は大きく2つ、自分でできる対策とプラグインに頼る対策に分けられます。
できるだけ自分でできる対策・プラグインに頼る対策両方に取り組んでみましょう。
とはいえ、どちらも時間もかかりませんし手間も然程ありませんのでご安心を。
それぞれどのような対策があるか、分けて解説します。
自分でできるWordpressセキュリティ対策
- WordPressのバージョンを最新版にアップデート
- テーマやプラグインのバージョンを最新版にアップデート
- パスワードは意味のない文字列に変更(パスワード生成サイトなどを利用)
- 更新されていないプラグインは使わない
- 使っていないプラグインは削除
- 公式に認められてないプラグインは使わない
- 定期的にサイトヘルスをチェック
- ピンバックを無効化
プラグインなどに頼らず、自分でできるセキュリティ対策は上の通りです。
それぞれ解説します。
WPセキュリティ対策①Wordpressのバージョンを最新版にアップデート
WordPressは頻繁に最新版がリリースされています。
できるだけ気づいた時にWordPress最新版にアップデートしておくようにしましょう。
WordPressは脆弱な部分があると公式も認めております。
現在も脆弱性が見つかり次第報告されていて、弱い部分を補うために頻繁にアップデートがあるわけですね。
ですから、アップデートをさぼればさぼるほど、セキュリティ的に甘いWordpressサイトとなってしまうので、Wordpressのセキュリティ対策としてまず第一にWordpressのバージョンを最新版にアップデートしておきたいのです。
WordPressの最新版がリリースされているかどうかは、管理画面で確認できます。
- 管理画面のダッシュボードをクリック
- 最新「Wordpress○○が利用可能です!今すぐ更新してください。」という文字列があったら「今すぐ更新してください。」をクリックして最新版にアップデート
WPセキュリティ対策②テーマやプラグインのバージョンを最新版にアップデート
よく見落とされがちなテーマやプラグインも常に最新版にアップデートしておきましょう。
こちらもWordpress最新版と同様の理由で、さぼればさぼるほど脆弱性が増します。
現在のWordpressのバージョンとテーマ・プラグインのバージョンがかけ離れていると互換性も不確かになりますので、セキュリティ面以外の不具合も起きやすくなりますから、バージョンアップは欠かさず行ってください。
テーマが最新バージョンが確認する方法
テーマが最新バージョンであるかどうかは、管理画面で確認できます。
テーマによっては、Wordpressの管理画面の中にあるダッシュボード内に最新バージョンをお知らせしてくれるものもありますので、こちらを小まめにチェックするようにしてください。
または、以下の方法でテーマが最新のものかチェックすることも可能です。
1.管理画面の更新をクリック。
2.下の方にスクロールすると「テーマ」の箇所があるので更新可能なテーマがないか確認する(ない場合は「お使いのテーマはすべて最新版です。」と表示されています。)。更新できるテーマがある場合は更新する。
プラグインが最新バージョンか確認する方法
プラグインは、管理画面のプラグインの箇所に赤い丸で囲まれた数字が表示されているか否かで更新可能なプラグインがあるかどうかをチェックできます。
もし更新可能なプラグインがあれば更新しておき、できれば自動更新を有効化しておきましょう。
自動更新を有効化するなら以下の方法をお試しください。
- 管理画面のプラグインをクリック
- プラグイン一覧の、画面右のほうにプラグインひとつひとつに「自動更新を有効化する」とあるのでクリック
更新したくないプラグインはどうしたらいい?
中にはプラグインを更新することで不都合な場合もありますよね。
そんな時は、プラグインを利用するときだけプラグインを入れるようにするなど対策しましょう。
常駐させておきたいプラグインをアップデートしたくない場合は、脆弱性が上がることは理解した上でアップデートしない選択をしてください。
WPセキュリティ対策③パスワードは意味のない文字列に変更(パスワード生成サイトなどを利用)
WordPressにログインする際のパスワードを意味のない文字列に変更しましょう。
意味のある文字列は覚えやすく管理しやすいので意味のあるパスワードのままにしている人は多いです。
ですが意味のあるパスワードは大体が自分に何かしら関連する文字列であり、わかる人からみればわかってしまうのです。
パスワードを突破されるということはサイト改ざんのリスクが高いということでもありますので、Wordpressのパスワードはできるだけ意味のない文字列に変更しましょう。
意味のない文字列を自分で考えるのは大変難しいので、そんな時は以下のサイトを利用しましょう。
こちらのサイトでは簡単に最強のパスワードを生成できます。
最強のパスワードを生成するためには、強度を最強に設定し文字数を12個にして生成をクリックします。
これだけで簡単に最強のパスワードを生成できます。
WPセキュリティ対策④更新されていないプラグインは使わない
プラグインをインストールする際、最終更新がいつかチェックしていますか?
チェックしていない方は、インストールの際にアイコンの右側を是非チェックしてください。
最終更新があまりにも前すぎる、「使用中のWordpressバージョンで未検証」と表示されている場合は使用しないほうがセキュリティ的にも安心です。
WordPressは現在も脆弱性が発見され頻繁にアップデートが行われているツールです。
しかしWordpressのアップデートについてこれていないプラグインがあると、その隙をついて攻撃される恐れがあります。
ですので、よほどの事情がない限りは更新されていないプラグインは避けるようにしてください。
WPセキュリティ対策⑤使っていないプラグインは削除
つい、使っていないプラグインをそのまま置きがちですが、思い切って使っていないプラグインは削除してください。
プラグインはあればあるほどサイトが重くなるうえに、プラグインひとつひとつに何かしらの脆弱性が秘められている可能性があるため、攻撃者に隙を与えることになります。
特に使っていないプラグインは削除して、隙のないサイト運営をしましょう。
WPセキュリティ対策⑥公式に認められてないプラグインは使わない
WordPressのプラグインにも、公式のものと非公式のものとが存在します。
例えば管理画面のプラグインの項目で検索できるものは全て公式のプラグインですが、管理画面のプラグインの項で検索してもヒットせず、サイトなどでダウンロードするしかないものは非公式のプラグインです。
非公式のプラグインは、Wordpress公式がチェックしていないプラグインなので、気を付けるにこしたことはありません。
使っているテーマの公式が出しているプラグインである場合などは問題ないですが、ただ単によさげな機能というだけで非公式のプラグインを利用するのはリスクが高すぎます。
現に非公式プラグインを利用してマルウェアがサイトに仕込まれた例もありますので、無料で高機能の運営者が誰かわからない非公式プラグインほど気を付けたいですね。
WPセキュリティ対策⑦定期的にサイトヘルスをチェック
実はWordpressにはサイトヘルスという機能が存在しています。
この機能はサイトのセキュリティをチェックする機能で、Wordpress5.2から実装されました。
セキュリティリスクやどのようなことに注意したいかのアドバイスを表示してくれる機能でもあるので、定期的にチェックしてセキュリティリスクを回避していきましょう。
サイトヘルスチェックは以下の手順で行います。
1.管理画面のツールの中にある「サイトヘルス」をクリック
2.表示された情報を元にセキュリティ見直しを行う
クリックすると詳しい情報が表示されます。
WPセキュリティ対策⑧ピンバックを無効化
WordPressの機能の一つに「ピンバック」というものがあります。
この機能は、内部リンクを設置したときにお知らせしてくれる機能なのですが、正直特に必要ない機能でもあるんですよね。
更にはこのピンバック機能で使われているphpは攻撃に使われやすいという弱点もあるため、特に必要ないのであれば外しておくに越したことはありません。
以下の手順でピンバック機能を無効化できます。
1.管理画面の設定から「ディスカッション」を選ぶ
2.「新しい投稿に対し他のブログからの通知 (ピンバック・トラックバック) を受け付ける」のチェックを外し下の「変更を保存」ボタンを押す
プラグイン「SiteGuard WP Plugin」でできるWordpressセキュリティ対策
自分でできるWPセキュリティ対策の他に、プラグインの力を借りてできるセキュリティ対策も紹介します。
セキュリティ対策プラグインはいくつもありますが、ここではその中でも特に優秀なプラグイン「SiteGuard WP Plugin」の導入方法、何故おすすめなのかを解説します。
なぜSiteGuard WP Pluginがセキュリティ対策でおすすめなの?
何故様々あるセキュリティ対策プラグインの中でSiteGuard WP Pluginをおすすめできるのかというと、シンプルに高機能で使い方も簡単だからです。
WordPressの不正アクセスは、ログイン画面から始まります。
ログイン画面に入り、ユーザー名を探し出しログインパスワードを特定して不正アクセスするわけですが、SiteGuard WP Pluginはそもそもログイン画面を簡単に特定させない・ログイン画面にアクセスできるユーザーを限定するといった機能が備わっています。
不正ログインする攻撃者の手間をSiteGuard WP Pluginは作ってくれるというわけですね。
攻撃する際の手間があればあるほど、サイトのセキュリティは堅牢と言えますからSiteGuard WP Pluginでしっかりセキュリティ対策を行ってみましょう。
SiteGuard WP Pluginの機能一覧
| 機能 | 機能の説明 |
|---|---|
| 管理ページアクセス制限 | ログインしていないユーザーが管理ページへアクセスできないよう守る |
| ログインページ変更 | ログインURL変更 |
| 画像認証 | ログインページやコメント投稿に画像認証(ひらがなや英数字を表示し何が表示されているか入力する認証方法)を追加 |
| ログイン詳細エラーメッセージ無効 | ログインを失敗した際にエラーメッセージを簡素化 エラー原因を特定されない効果がある |
| ログインロック | ログイン失敗を繰り返したユーザーを一定期間ロック |
| ログインアラート | ログインがあった際にメール通知 |
| フェールワンス | 正しいログインをしてもログイン失敗画面が一度表示される |
| XMLRPC防御 | ピンバックを利用した攻撃やXMLRPC利用の攻撃から防御 |
| ユーザー名漏洩防御 | ログインに必要なユーザー名漏洩を防御 |
| 更新通知 | WordPressやプラグイン・テーマの更新をメールで通知 |
| WAFチューニングサポート | 誤検出を回避するためのルール作成機能 |
不正ログインさせないための機能の他、Wordpressやテーマの更新をメール通知してくれるので安心できますね。
SiteGuard WP Plugin導入から設定まで
管理画面の左側「①プラグイン」の中にある「②新規追加」をクリック、「③検索バー」に【SiteGuard WP Plugin】と入力したら「④SiteGuard WP Plugin」が出てきます。
SiteGuard WP Pluginの「①今すぐインストール」をクリックしてしばらくしたら「②有効化」と出るのでこちらもクリックしてください。
管理画面の左側に「SiteGuard」が出現しているのでクリックします。
するとSiteGuard WP Pluginの機能一覧が表示されます。
ログインページ変更はデフォルトでONになっていますが、任意の文字列に変更しておきましょう。
英数字・ハイフン・アンダーバー使用であればどんな文字列でも構いません。
好きな文字列を入力した後に、「変更を保存」をクリックします。
ログインページ名(URL)を忘れてしまうとログインできなくなるのでこの点は注意してください。
ログイン名をブックマークするために、ログインページ名を変更後にログインページ名をコピーしておいてログアウト、ログイン画面にアクセスしログイン画面自体をブックマークしておくようにしてください。
サイトURL/ログインページ名で設定した文字列
↑こちらでログインページに入ることができます。
SiteGuard WP Pluginの機能一覧で、チェックマークが緑色のものは全てONになっているものですので、ONになっているものは特に理由がなければそのままONにしておきましょう。
フェールワンスは一度正しいログインをしてもエラーが返ってくる設定です。
エラー5秒後、60秒以内に再度ログイン情報を入力することでログインできる設定ですね。
手間は増えますが、攻撃者の身になって考えると正しいログイン情報を入力してもエラーが返ってきたら「ログイン情報が違う」と考えますよね。
ログインを諦めさせる点では有能な機能なのでできるだけONにしておきましょう。
またはログイン履歴(SiteGuard WP Pluginの機能一覧一番下にあります)で不正ログインされそうになっていた場合にONにするといった方法をとるのも良いでしょう。
ログイン情報のひとつ、ユーザー名を特定されるとあとはパスワードだけという状態になっちゃうので、ユーザー名もできるだけ特定されないほうが吉です。
ですので、特に不都合がなければこちらもONにしておくと安心ですね。
まとめ
WordPressはシェア率が高く誰でも簡単に運営しやすいメリットがある反面、攻撃者に狙われやすいデメリットもあります。
しかしサイトのオーナーがしっかり対策することでセキュリティリスクを低くもできるので、この機会にセキュリティ対策の見直しをおすすめします。
サイトヘルスは定期的に行い、ログインページやログイン情報を攻撃者に特定されない仕組みを作っていきましょう。
万が一の時のために、定期的にバックアップを取るのもおすすめします。
本記事では誰でも簡単にできるセキュリティ対策をお伝えしましたが、簡単でなおかつ効果的でもあるので是非参考にしてください。