WordPressのセキュリティを高めて安全に運用する方法

WordPressのセキュリティって本当に安全？

もし、あなたがWordPressの不正ログイン・サイト改ざん・ウイルス・クラッキングで、一生懸命作った記事やサイトが破壊されてしまう脅威にさらされていて毎日眠れない日々を過ごしているのだとしたら、WordPressセキュリティを高めて安全に長期的に運用する方法を知ることで、安心して長期的に収益を生み出し続るためにこの記事が役に立つかもしれません。

WordPressを安全に、安心して使いたい。

こんな人はいませんか？

☑︎WordPressを使っている

☑︎WordPressのセキュリティを高めたい

☑︎WordPressで記事を量産している

☑︎WordPressで作ったホームページ/ブログがある

☑︎WordPressサイトの広告収益（アドセンス等）で生活している

☑︎WordPressを安全に安心して運用していきたい

あなたがこれらに１つでも当てはまっていたら、この記事を読みすすめてみてください。

WordPressとセキュリティ対策

WordPressは、世界中で使われている最も有名なオープンソースののブログ作成ツールのひとつです。CMSとしても使われています。しかし、オープンソースなので、脆弱性が発見されやすく、ハッカーの標的になりやすい特徴もあります。WordPressではセキュリティ面の強化改善を日々行っていますが、それでも完璧ではありません。

例えば、2013年に日本で起きたWordPressへの大規模なハッキング事件（参考文献）では、某レンタルサーバーサービス提供企業から8,438件の被害が発生しました。それぞれのユーザーがWordPressで公開していたサイトに不正ログインされ公開情報を改ざんされた被害でした。

人が作ったものには、必ずどこかに欠陥が存在します。

特に、それが複雑になればなるほど欠陥が存在する確率は高まっていきます。

ですが、せっかく一生懸命作った記事やサイトがたった一瞬のうちに壊されてしまうのは本当につらいですよね。

WordPressを使っている人自身が、自分でセキュリティを高める方法を知って対策をしておくことで、大切な情報資産を守ることができるのです。

パスワードを変更する

パスワードが簡単だと、ブルートフォースアタック（ユーザーとパスワードのパターンを片っ端から試していくハッキングのこと）に狙われてセキュリティが弱くなってしまいます。英語と数字と記号を混ぜたものにするなどパスワードを工夫しましょう。また、他の解決方法としては「二段階認証」「ワンタイムパスワード」「画像認証」を使うことでセキュリティが高まります。

WordPress定期的にアップデートをチェック

公式のWordPressテーマ・プラグインを利用する

WordPressで公式に提供されているテーマやプラグインは、審査されそれに通過したものなので比較的脆弱性やバグが少ない傾向にあります。ただし、すべてのテーマとプラグインに対して絶対に安全と言い切れるわけではありません。

こんなテーマ・プラグインに注意！

・公式で配布されていない非公式テーマ・プラグイン

・WordPressファイルへアクセス要求するテーマ・プラグイン

・更新が止まっているもの

しかし、WordPressの審査は非常に厳しいため、非公式のまま配布販売している方が日本海外共に多く存在しているのも事実です。非公式テーマでも高性能でしっかりと作り込まれたものもたくさんあります。バージョンアップが定期的にされていたり制作者の情報がしっかりわかるものをなるべく利用するようにしましょう。

使わないプラグインは削除する

使っていないプラグインをそのまま停止して残していると、停止しているプラグインの脆弱性を狙われてクラッキングされる可能性があるので使わないプラグインは削除するようにしましょう。

OSのアップデート方法

Macのアップデート方法

Windowsのアップデート方法

ブラウザのアップデート方法

Google Chromeのアップデート方法

Firefoxのアップデート方法

Internet Explorerのアップデート方法

Safariのアップデート方法

WordPress・プラグイン・テーマのアップデートについて

※最新バージョンに更新すると、まれにWordPress本体・プラグインの相性の問題で不具合を引き起こすことがあります。

WordPressのバックアップ方法

定期的にWordPressのデータのバックアップをとるようにしましょう。

セキュリティをいくら高めたとはいえ、人間がつくったものには必ずどこかに欠陥が存在するものです。

万が一、あなたのウェブサイトが被害を受けたとしてもバックアップをとっていればデータを復元できるので、海松状態は免れる。

WordPressバックアップが自動で簡単にできるプラグインBackWPup

・サーバー上のデータのバックアップ（画像ファイル・テーマ・プラグインなど）

・データベース上のデータのバックアップ（記事・カテゴリ・コメント・管理画面設定情報など）

WordPressをバックアップするには、「サーバー上のデータ」と「データベース上のデータ」をバックアップする必要があります。

WordPressプラグインの「BackWPup」を使うと、この２つのデータのバックアップができます。

このプラグインを使うと、自動で定期的にバックアップをとることもできます。手動でのバックアップも可能です。

→　WordPressプラグインで簡単にできるバックアップ方法 BackWPup

WordPress編集者用のユーザーを使う

WordPress管理画面＞ユーザー＞新規追加

WordPressの管理画面に「ユーザー」という項目があります。

ユーザーには様々な役割を与えることができ、管理者、編集者、投稿者、寄稿者、購読者など５種類の役割を与えることができますが、デフォルトの状態では管理者ユーザーとして投稿することになっています。

これを管理者ユーザーとは別に「編集者」ユーザーを新規作成して、編集者用のユーザーアカウントでログインして記事を書いていきます。（cssなどサイトのテーマをカスタマイズなどデザインを変更したりする場合は、管理者のユーザーアカウントでログインし直してから変更を行います。）

テーマによっても違うのですが、記事を公開した時に記事の作成者名が表示されます。これによって、管理者のユーザー名が第三者に知らされてしまうといった情報漏洩のリスクを減らすことができます。

ユーザー名adminを変更する

adminはWordPressを管理するデフォルトのユーザー名なので、誰にでもわかってしまいます。

このadminを別のIDに変えておくことでセキュリティを高めることができます。

※「.htaccess」などファイルの内容をいじる場合は必ず、バックアップをとりローカル環境で試すなど慎重に行うようにしましょう。

データベースへのアクセス制御

WordPressのファイル「wp-config.php」の中には、データベースにアクセスするためのログイン情報が書かれています。この情報が漏洩してしまうとデータベースのアクセスを許してしまうことになってしまうので、このファイルを外部から見えなくする設定をしてセキュリティ対策を行います。

（例）「.htaccess」ファイルをテキストエディタで開き、下記のソースコードを一番上にコピペします。

<files wp-config.php>
order allow,deny
deny from all
</files>

また、アクセス制限する方法は「IP制限」「Basic認証」「Apache」「Nginx」で制限するなど様々な方法があります。ウェブサイトに合う方法で制限していきましょう。

パーミッションの設定

ファイルやディレクトリのアクセス権を設定します。

wp-config.phpのパーミッション「400」

.htaccessのパーミッション「404」

WordPressのバージョン情報を削除

WordPressは新しいバージョンが使えるようになると、前のバージョンの脆弱性とクラッキングなど悪用に関する情報もいっしょに公開されます。

よって、WordPressのバージョン情報が誰でも見える状態になっていると悪質なユーザーの対象になってしまうリスクが高くなります。

よって、WordPressのバージョン情報を非表示にしておくことでセキュリティを高めることができます。

具体的には、Head Cleanerなどのプラグインを利用することで、WordPressのバージョン情報を非表示にすることができます。

サーバーのアクセス制限

・サーバーへアクセスする際はSSHにする

・FTPソフトを使う場合はSFTPかFTPSで接続する

・レンタルサーバーを選ぶ時はSFTPかFTPSを提供しているサーバー使う

WordPressをSSL化する

WordPressをSSL化することで暗号化されセキュリティが高まります。SSL化するとURLのhttp://がhttps://となります。

セキュリティを高めるWordPressプラグイン

Google Authenticator

このプラグインでGoogleの２段階認証システムを利用して、自分のサイトに２段階認証システムを導入することができます。ただし、ログイン時に毎回パスワードと認証コードを入力する手間がかかってきます。セキュリティー対策としては安心できるプラグインになります。

Login rebuilder

このプラグインは、WordPressのログインURL「wp-login.php」を簡単に任意のファイル名に変更することができます。不正ログイン防止として使えるWordPress公式プラグイン。

All In One WP Security & Firewall

WordPressのセキュリティを総合的に管理できるプラグインです。

非常に高機能なセキュリティソフトで、スパムコメントやブラックリスト管理など機能も豊富です。

SiteGuard WP Plugin

不正ログインからサイトを守ってくれたりクラッカーからのアクセスを低減してくれるプラグインです。日本語対応のプラグインなので設定も容易で、プラグインを有効化するだけでセキュリティーを高められます。

Wordfence Security

今のサイトのセキュリティー状態をチェックすることができるプラグインです。プラグインを有効化してボタンを１つ押すだけで現状と対策を知ることができます。

いいね、シェア、フォロー歓迎！2020テーマは「自然から学び自然と共に生きる」

@evahks

FX未経験・初心者の人が初めの一歩を踏み出せるように、準備するものと手順をまとめたページを作りました。参考にしてください。

→　FXのはじめかた［準備編］

私がFXを始めたばかりの頃を思い出して、何を準備すればFXを始めることができるのかまとめたページ。順不同になっているけど、これを読めばFXを始めるために準備するものと手順も分かるはず。質問はコメント欄から頼む。

→　FXを始めるために準備するもの

こっちの記事は分かりやすいと思う。用意するもの全６個と解説を端的にまとめている。文章ボリュームも少ないので、文章を読むのが苦手な方もとっつきやすいと思う。

最後まで読んでいただき、ありがとうございます。

EVAHKS（エヴァークス）は、自由に生きるための投資と暮らしの総合情報サイトです。

2020は語呂がいい！ということで、お年玉キャンペーンで「期間限定無料FXトレード講座」を好評開催中。当サイト、FXカテゴリーを選ぶだけでいつでも自由に学習可能です。感想や質問はコメント欄をご利用ください。

ブログランキングに参加中なので、バナーボタンを応援クリックしてもらえると嬉しいです＾＾

下のボタンからシェア歓迎！

No comments yet. Be the first one to leave a thought.

月	火	水	木	金	土	日
					1	2
3	4	5	6	7	8	9
10	11	12	13	14	15	16
17	18	19	20	21	22	23
24	25	26	27	28	29	30
31