もくじ
WordPressのセキュリティって本当に安全?
もし、あなたがWordPressの不正ログイン・サイト改ざん・ウイルス・クラッキングで、一生懸命作った記事やサイトが破壊されてしまう脅威にさらされていて毎日眠れない日々を過ごしているのだとしたら、WordPressセキュリティを高めて安全に長期的に運用する方法を知ることで、安心して長期的に収益を生み出し続るためにこの記事が役に立つかもしれません。
WordPressを安全に、安心して使いたい。
こんな人はいませんか?
☑︎WordPressを使っている
☑︎WordPressのセキュリティを高めたい
☑︎WordPressで記事を量産している
☑︎WordPressで作ったホームページ/ブログがある
☑︎WordPressサイトの広告収益(アドセンス等)で生活している
☑︎WordPressを安全に安心して運用していきたい
あなたがこれらに1つでも当てはまっていたら、この記事を読みすすめてみてください。
WordPressとセキュリティ対策
WordPressは、世界中で使われている最も有名なオープンソースののブログ作成ツールのひとつです。CMSとしても使われています。しかし、オープンソースなので、脆弱性が発見されやすく、ハッカーの標的になりやすい特徴もあります。WordPressではセキュリティ面の強化改善を日々行っていますが、それでも完璧ではありません。
例えば、2013年に日本で起きたWordPressへの大規模なハッキング事件(参考文献)では、某レンタルサーバーサービス提供企業から8,438件の被害が発生しました。それぞれのユーザーがWordPressで公開していたサイトに不正ログインされ公開情報を改ざんされた被害でした。
人が作ったものには、必ずどこかに欠陥が存在します。
特に、それが複雑になればなるほど欠陥が存在する確率は高まっていきます。
ですが、せっかく一生懸命作った記事やサイトがたった一瞬のうちに壊されてしまうのは本当につらいですよね。
WordPressを使っている人自身が、自分でセキュリティを高める方法を知って対策をしておくことで、大切な情報資産を守ることができるのです。
パスワードを変更する
パスワードが簡単だと、ブルートフォースアタック(ユーザーとパスワードのパターンを片っ端から試していくハッキングのこと)に狙われてセキュリティが弱くなってしまいます。英語と数字と記号を混ぜたものにするなどパスワードを工夫しましょう。また、他の解決方法としては「二段階認証」「ワンタイムパスワード」「画像認証」を使うことでセキュリティが高まります。
WordPress定期的にアップデートをチェック
公式のWordPressテーマ・プラグインを利用する
WordPressで公式に提供されているテーマやプラグインは、審査されそれに通過したものなので比較的脆弱性やバグが少ない傾向にあります。ただし、すべてのテーマとプラグインに対して絶対に安全と言い切れるわけではありません。
こんなテーマ・プラグインに注意!
・公式で配布されていない非公式テーマ・プラグイン
・WordPressファイルへアクセス要求するテーマ・プラグイン
・更新が止まっているもの
しかし、WordPressの審査は非常に厳しいため、非公式のまま配布販売している方が日本海外共に多く存在しているのも事実です。非公式テーマでも高性能でしっかりと作り込まれたものもたくさんあります。バージョンアップが定期的にされていたり制作者の情報がしっかりわかるものをなるべく利用するようにしましょう。
使わないプラグインは削除する
使っていないプラグインをそのまま停止して残していると、停止しているプラグインの脆弱性を狙われてクラッキングされる可能性があるので使わないプラグインは削除するようにしましょう。
最新バージョンにアップデートする
いつも使ってるパソコンやスマートフォンなどのデバイスやブラウザを最新バージョンにアップデートします。WordPress本体、プラグイン、テーマも常に最新バージョンにアップデートしておきましょう。最新版にアップデートされるたびにクラッカーに狙われるソフトウェアのバグが修正されるので、セキュリティが高まります。
最新バージョンのアップデートができるようになると、アップデートできることそ知らせてくれる通知が自動で入るので見逃さないように定期的にチェックしましょう。
OSのアップデート方法
ブラウザのアップデート方法
WordPress・プラグイン・テーマのアップデートについて
※最新バージョンに更新すると、まれにWordPress本体・プラグインの相性の問題で不具合を引き起こすことがあります。
WordPressのバックアップ方法
定期的にWordPressのデータのバックアップをとるようにしましょう。
セキュリティをいくら高めたとはいえ、人間がつくったものには必ずどこかに欠陥が存在するものです。
万が一、あなたのウェブサイトが被害を受けたとしてもバックアップをとっていればデータを復元できるので、海松状態は免れる。
WordPressバックアップが自動で簡単にできるプラグインBackWPup
・サーバー上のデータのバックアップ(画像ファイル・テーマ・プラグインなど)
・データベース上のデータのバックアップ(記事・カテゴリ・コメント・管理画面設定情報など)
WordPressをバックアップするには、「サーバー上のデータ」と「データベース上のデータ」をバックアップする必要があります。
WordPressプラグインの「BackWPup」を使うと、この2つのデータのバックアップができます。
このプラグインを使うと、自動で定期的にバックアップをとることもできます。手動でのバックアップも可能です。
→ WordPressプラグインで簡単にできるバックアップ方法 BackWPup
WordPress編集者用のユーザーを使う
WordPress管理画面>ユーザー>新規追加
WordPressの管理画面に「ユーザー」という項目があります。
ユーザーには様々な役割を与えることができ、管理者、編集者、投稿者、寄稿者、購読者など5種類の役割を与えることができますが、デフォルトの状態では管理者ユーザーとして投稿することになっています。
これを管理者ユーザーとは別に「編集者」ユーザーを新規作成して、編集者用のユーザーアカウントでログインして記事を書いていきます。(cssなどサイトのテーマをカスタマイズなどデザインを変更したりする場合は、管理者のユーザーアカウントでログインし直してから変更を行います。)
テーマによっても違うのですが、記事を公開した時に記事の作成者名が表示されます。これによって、管理者のユーザー名が第三者に知らされてしまうといった情報漏洩のリスクを減らすことができます。
ユーザー名adminを変更する
adminはWordPressを管理するデフォルトのユーザー名なので、誰にでもわかってしまいます。
このadminを別のIDに変えておくことでセキュリティを高めることができます。
※「.htaccess」などファイルの内容をいじる場合は必ず、バックアップをとりローカル環境で試すなど慎重に行うようにしましょう。
データベースへのアクセス制御
WordPressのファイル「wp-config.php」の中には、データベースにアクセスするためのログイン情報が書かれています。この情報が漏洩してしまうとデータベースのアクセスを許してしまうことになってしまうので、このファイルを外部から見えなくする設定をしてセキュリティ対策を行います。
(例)「.htaccess」ファイルをテキストエディタで開き、下記のソースコードを一番上にコピペします。
<files wp-config.php> order allow,deny deny from all </files>
また、アクセス制限する方法は「IP制限」「Basic認証」「Apache」「Nginx」で制限するなど様々な方法があります。ウェブサイトに合う方法で制限していきましょう。
パーミッションの設定
ファイルやディレクトリのアクセス権を設定します。
wp-config.phpのパーミッション「400」
.htaccessのパーミッション「404」
WordPressのバージョン情報を削除
WordPressは新しいバージョンが使えるようになると、前のバージョンの脆弱性とクラッキングなど悪用に関する情報もいっしょに公開されます。
よって、WordPressのバージョン情報が誰でも見える状態になっていると悪質なユーザーの対象になってしまうリスクが高くなります。
よって、WordPressのバージョン情報を非表示にしておくことでセキュリティを高めることができます。
具体的には、Head Cleanerなどのプラグインを利用することで、WordPressのバージョン情報を非表示にすることができます。
サーバーのアクセス制限
・サーバーへアクセスする際はSSHにする
・FTPソフトを使う場合はSFTPかFTPSで接続する
・レンタルサーバーを選ぶ時はSFTPかFTPSを提供しているサーバー使う
WordPressをSSL化する
WordPressをSSL化することで暗号化されセキュリティが高まります。SSL化するとURLのhttp://がhttps://となります。
セキュリティを高めるWordPressプラグイン
Google Authenticator
このプラグインでGoogleの2段階認証システムを利用して、自分のサイトに2段階認証システムを導入することができます。ただし、ログイン時に毎回パスワードと認証コードを入力する手間がかかってきます。セキュリティー対策としては安心できるプラグインになります。
Login rebuilder
このプラグインは、WordPressのログインURL「wp-login.php」を簡単に任意のファイル名に変更することができます。不正ログイン防止として使えるWordPress公式プラグイン。
All In One WP Security & Firewall
WordPressのセキュリティを総合的に管理できるプラグインです。
非常に高機能なセキュリティソフトで、スパムコメントやブラックリスト管理など機能も豊富です。
SiteGuard WP Plugin
不正ログインからサイトを守ってくれたりクラッカーからのアクセスを低減してくれるプラグインです。日本語対応のプラグインなので設定も容易で、プラグインを有効化するだけでセキュリティーを高められます。
Wordfence Security
今のサイトのセキュリティー状態をチェックすることができるプラグインです。プラグインを有効化してボタンを1つ押すだけで現状と対策を知ることができます。