WordPressセキュリティ対策14選。Webが苦手な人でも自分で出来るもと出来ないもの。

WordPressに関しては、世界で一番利用されているCMSということもあり、狙われやすくなっています。

ただ、多くの方はセキュリティに関して、あまり把握しておらず対策を行っていません。

そこで今回は、Wordpressで出来るセキュリティ対策を「Webを専門としていない人でも出来るか?出来ないか?」の視点でをまとめましたので参考にしてください。

管理画面を守る

ユーザID、パスワードをきちんと管理し、難しいものを利用する(自分で)

これがまず基本です。
ユーザID、パスワードをきちんと管理し、難しくしましょう。

Webが苦手な方ほど、

  • ユーザID:自分の名前
  • パスワード:自分の名前+誕生日(携帯の下四桁)

などを設定しがちですが、このようなユーザIDとパスワードだと簡単に管理画面にはいられてしまいます。

そのため、出来るだけ難しく設定してください。
パスワードに関しては、WordPressが自動生成するものが良いと思います。

また、

  • 利用者毎にかならず別のユーザを利用する
  • 必要に応じた権限の付与

を行うようきちんと管理をしましょう。

ログインページのURLを変更する(自分で)

初期設定のままだと、

  • 〇〇.com/wp-admin
  • 〇〇.com/wp-login.php

で管理画面へのログインページが表示されてしまいます。

そのため、プラグイン(SiteGuard WP Plugin)を利用し、ログインページのURLを変更するようにしましょう。

ログイン画面で認証内容を増やす(自分で)

初期設定では、ユーザIDとパスワードのみの入力で、ログインができるようになっています。

このままでは、機械的に複数パターンを実施する事で、ログイン出来てしまう可能性があるので、画像認証(表示されてる文字を人が入力)を利用する事で、機械的な攻撃から守る事が出来ます。

こちらも、プラグイン(SiteGuard WP Plugin)を利用する事で実施出来ます。

ログイン施行回数制限(自分で)

機械的にログイン認証を突破しようとする場合には、簡単にいうと大量のパターンを機械的に入力し、なんどもログインを試行します。

そのため、ある一定回数、ログインを試行した場合に、数分間はアクセスできないように設定する事で、機械的な攻撃から守る事が出来ます。

こちらも、プラグイン(SiteGuard WP Plugin)を利用する事で実施出来ます。

ログイン画面にBasic認証を設定する(自分で)

ベーシック認証とは、特定のページにユーザID・パスワードで鍵を掛け、見れなくするものです。

この設定を管理画面へのログインページに行う事で、ユーザID・パスワードを2重で設定する形に出来ます。

エックスサーバ、サクラサーバ、ロリポップなどの場合には、サーバの設定で設定が可能です。

参考記事

ベーシック認証の設定方法に関しては、以下ページを参考にしてください。

WordPress管理画面のセキュリティを2重に。Basic認証の設定方法

ログイン画面のアクセスを接続元のIPで制限する(プロに依頼)

管理画面に特定のネット回線からしかアクセス出来ないようにするための設定になります。

ただ、これを実現するためには、

  • 固定IPというものを別途契約する必要があります。(Wifiや家庭用のネット回線では、この機能は使えません。)
  • .htacsessという設定ファイル(記載を間違えるとすぐに真っ白になる)を修正する

といった作業が必要なため、無理にやるべきものではありません。

参考記事

IPアクセス制限の設定方法に関しては、以下ページを参考にしてください。

WordPressの管理画面のIPアドレス制限。特定のネットワークからしかアクセス出来ないようにする方法。

WordPressを最新の状況に保つ

各種バージョンアップ(自分で出来る部分と、やらない方が良い部分)

WordPressで利用されているもので更新が必要なものとしては、

  • WordPressそのもの
  • プラグイン
  • テーマ(theme)
  • php
  • MySQL

などがあります。

各バージョンアップに関しては、機能の最新化もありますが、セキュリティ対策の最新化の目的も大きくありますので、状況を見ながら必ずバージョンアップを行い、最新にしてください。

不要なテーマ、プラグインを削除する(自分で)

プラグインやテーマなどは非常に便利なのですが、「1つ使う」「1つ残す」という事は、セキュリティ上の穴を残す形になります。

そのため、定期的にテーマやプラグインを確認し、

  • 機能として利用していないものは停止し、削除
  • すでに停止しているものに関しては削除
  • 開発元でバージョンアップ開発がされていないものに関しては、別のものに置き換える

などを行ってください。

その他

DBの接頭辞を変える(プロに依頼)

一昔前だと、レンタルサーバの簡単インストール機能を利用し、インストールを行った場合には、データベースの接頭辞が必ず「wp_」になっていました。(最近はランダムな文字がつくようになっているサーバ会社が多くなっています。)

そのため、機械的にアクセスを試行出来るため、変える事を推奨しています。

この設定に関しては、基本的に初期インストール時に実施します。

あとから変更する場合には、データベースを直接修正するか、プラグインを利用する事で実施出来るのですが、影響範囲やトラブルがあった際の対応の難しさがあるので、初期で設定していない場合には、プロに依頼するようにしてください。

WordPressのバージョン情報を隠す(プロに依頼)

WordPressを利用する際に多くの場合、HTMLのソースコードなどの自動でWordPressのバージョン情報が表示されてしまいます。

バージョン情報が見られてしまうと、そのバージョンに対しての脆弱性が発見された際に、ピンポイントで攻撃され被害が出てしまうリスクが大きくなります。

設定にあたり、function.phpというファイルを修正する必要があるため、必要な場合にはプロに依頼する事をおすすめします。

参考記事

WordPressのバージョン情報を隠す方法に関しては、以下を参考にしてください。

WordPressのバージョンを外部から見れなくする方法

WordPressの設定ファイルへのアクセスを制限する(プロに依頼)

サーバの中で利用されているファイルは全て、アクセスに対して制限を掛ける事が出来ます。

そのため、重要となる設定ファイルに関しては、権限を変更し改ざん出来ないようにしましょう。

  • .htaccess:パーミッションを「604」(読み込み可能、ファイルの所有者のみ変更可能)
  • wp-config.php:パーミッションは「600」(ファイルの所有者のみ読み込みと変更可能)

ユーザIDを表示しないようにする(自分で)

標準のWordPressでは、「ユーザID」と「パスワード」で管理画面にログイン出来るようになっています。
しかし、意図的に隠す設定を行っておかなければ、ブログの中でユーザIDは確認出来てしまいます。

そうなってしまっては、セキュリティの半分は突破されてしまっている状況です。

そのため、ユーザの設定やプラグインの利用でユーザIDがわからないようにしておきましょう。

参考記事

ユーザIDを表示しないようにする設定は以下を参考にしてください。

WordPressのブログからユーザIDが特定できないようにする方法

xmlrpc.phpの無効化(自分で)

xmlrpc.phpは、スマホなどの外部から投稿をおこなったりするための機能です。
過去にこの機能を介したサイトの改ざんなどもありますので、利用しない場合には、機能事態を停止するようにしましょう。

こちらも、プラグイン(SiteGuard WP Plugin)を利用する事で実施出来ます。

SSL対応

SSLとは、パソコン、サーバのやり取りを暗号化し、他から盗み見をしたり改ざんされたりしないようにするらけのセキュリティ対策です。
(もしかしたら、「SSLってよくわからないけど、Googleも推奨してるからとりあえずやらなきゃ…」って方も多いかと思います。)

もちろん、Googleの検索や、ページを表示した時に「安全ではない」と表示されるため、対応しないとと考えている方も多いとは思いますが、セキュリティ的にもきちんと対応しておきましょう。

セキュリティ対策は必須。ただし、サイトの状況に合わせて。

今回ご紹介した対策を全て行えば、ほとんどの場合でサイトを守る事が出来ます。

しかし、

  • プラグインを多く利用していればサイトは重くなり使い勝手が悪くなる
  • 全てプロに依頼をすると費用の心配が

など、あると思いますので、ご自身のサイトの状況に合わせて実施してください。

しかし、WordPressに関しては、世界で一番利用されているCMSということもあり、狙われやすくなっています。

そのため、セキュリティ対策はしっかりと行うようにしましょう。

そして、WordPressがハッキングやクラッキングされる際の方法として、管理画面のID、パスワードを解除されてしまう事が多く挙げられますので、ユーザIDとパスワードの管理(基本)だけはきちんと行ってください。

自分では難しいという方へ

  • 自分で作ったけど、システム関係をどうしたら良いからず放置してしまっているわからない。
  • 作ってくれた制作会社や、フリーランスと連絡が取れなくなってしまい、放置してしまっている。
  • 社内に詳しい人がおらず、どの様にしたら良いかわからない。
  • 担当者が辞めてしまい、詳しい人が詳しい人がいなくなってしまった。

など…ホームページの重要性は把握しているが、

  • 出来る人がいない
  • 外部にお願いするにしても初期費用数万円+毎月数万円と費用的に難しい

という方向けに、現在は5,000円で、「バックアップ」や「各種バージョンアップ」を承っております。(5,000円に関しては10社限定)

実施内容などの詳細は、以下ページに記載させて頂いております。
もし「ご自身では難しい…」などございましたら、ご相談ください。

投稿者プロフィール

中島 達(Nakajima Satoru)
中島 達(Nakajima Satoru)
株式会社Synround 代表取締役

「続ける。 」をコンセプトに、Webマーケティングにおける戦略立案/サイト制作/システム保守/コンテンツ制作を実施。

web、動画は作っただけでは意味が無くて、そこから育てて行く物。ただ、中小企業、小規模税理士事務所では人や費用により続けることが難しいため、続けるための環境作りをしてます。

過去の事業:Webサービス×2、レンタルスペース5店舗

ABOUTこの記事をかいた人

株式会社Synround 代表取締役 「続ける。 」をコンセプトに、Webマーケティングにおける戦略立案/サイト制作/システム保守/コンテンツ制作を実施。 web、動画は作っただけでは意味が無くて、そこから育てて行く物。ただ、中小企業、小規模税理士事務所では人や費用により続けることが難しいため、続けるための環境作りをしてます。 過去の事業:Webサービス×2、レンタルスペース5店舗