WordPressは世界で最も人気のあるCMSであるが故、悪意のある攻撃に狙われるリスクがあります。
個人ブログはもちろん法人サイトであればセキュリティ対策は非常に重要であり、最低限の対策を行うことでリスクを軽減できます。
この記事では、特別な知識がない初心者でもすぐにできる、WoWordPressのセキュリティ対策、保守管理の方法をまとめています。
知識不要・これだけはやっておきたいWordPrssのセキュリティ対策
- WordPress・プラグイン・テーマを最新の状態にする
- 使用していないプラグイン・テーマは削除する
- 管理者アカウントの管理、セキュアなパスワードを使う
- レンタルサーバーのセキュリティ設定を活用する
- 定期的なバックアップ
WordPress・プラグイン・テーマを最新の状態にする
WordPressはセキュリティの脆弱性を修正するために定期的にアップデートをリリースしています。
常に最新のバージョンを使用することで、最新のセキュリティパッチが適用されるため、セキュリティリスクを最小限に抑えることができます。
プラグイン・テーマも同様です。
プラグインやテーマ開発者はセキュリティの問題を修正したり、新機能を追加したりするため、最新版を使うことが推奨されます。
使用していないプラグイン・テーマは削除する
使っていないプラグインやテーマを放置しておくと、脆弱性が見つかった場合、セキュリティの穴が開てしまう可能性があります。
サイトのパフォーマンスにも影響を与える可能性があります。
使用していない場合は削除してしまいしょう。
管理者アカウントの管理・セキュアなパスワードを使う
管理者アカウントの管理
WordPressの管理者権限を持つユーザーの管理も重要です。
- ユーザー名adminは使わない
- 使っていないユーザーは削除する
WordPressのデフォルト管理者ユーザで"admin"といったよく使われるユーザー名は、攻撃者にとって推測しやすいため変更しましょう。
使用していない管理者アカウントがあるなら削除します。攻撃者は、アカウントが存在することでセキュリティの穴を突くことができるため、必要ないアカウントは削除しましょう。
セキュアなパスワードの設定
WordPrssのセキュリティ対策の一つとして、セキュアなパスワードの設定が非常に重要です。
強力なパスワードはブルートフォースアタックと呼ばれる攻撃手法に対して強固な防御になるからです。
ブルートフォースアタックは、自動化されたプログラムを使用して、さまざまな組み合わせのパスワードを短時間で試すことでアカウントに不正アクセスを試みる攻撃です。
ついつい覚えやすい簡単なパスワードを設置しがちですが、強力なパスワードを使用することで、攻撃者がパスワードを当てることは非常に困難になります。
複雑なパスワードの生成・管理には、1Password 
のようなパスワード管理ツールを活用すると劇的にア管理しやすくなります。
ログインセキュリティをもっと強化するなら2要素認証(2FA)も有効です。
レンタルサーバーのセキュリティ設定を活用する
レンタルサーバーでもWordPressのセキュリティ機能を提供している場合があります。
エックスサーバー 
、ConoHa WING
ではWordPress関連の機能が充実しています。
また、スターサーバー
では月額200円でWordPressが使える格安レンタルサーバーですがエックスサーバーグループだからか、エックスサーバーと同様のWordPressセキュリティ設定が利用可能です。
レンタルサーバーのWordPressセキュリティ機能
- 国外IPアクセス制限設定
日本以外のIPアドレスからwp-adminディレクトリ 、wp-login.phpへのアクセスを制限、XML-RPC、REST APIへのアクセスを制限します - ログイン試行回数制限設定
ブルートフォースアタックによる不正アクセス防止対策 - コメント・トラックバック制限設定
大量のコメント、トラックバックなどのスパム行為の防止対策
定期的なバックアップ
WordPressを定期的にバックアップしておくことは非常に大切です。
不測の事態が起こってもバックアップから復旧することができるのです。自分のPCも同じですよね。
静的サイトであれば、ローカルPCからアップするだけでOKですが、WordPressの場合は最新データはサーバー上に存在します。
またWordPressはファイルだけでなくデータベースのバックアップも必須です。
WordPressを定期的にバックアップするには2つの方法があります。
- レンタルサーバーのバックアップ機能
- プラグインを利用したバックアップ
レンタルサーバーのバックアップ機能
最近のレンタルサーバーでは、自動バックアップ機能を提供している会社も多いです。
| レンタルサーバー | バックアップ対象 | バックアップ世代数 | もっと詳しく |
|---|---|---|---|
| エックスサーバー | Web、メール、MySQL | 14日 1日1回の自動バックアップのほか手動でも可能 | |
| ConoHa WING | Web、メール、MySQL | 14日 1日1回の自動バックアップ | |
| mixhost | Web、メール、MySQL | 14日 1日1回,遠隔地域バックアップ | |
カラフルボックス | Web、メール、MySQL | 14日 1日1回,遠隔地域バックアップ | |
CPIシェアードプラン | Web、DB | 30日 1日1回 | |
| ラッコサーバー | Web、メール、MySQL | 14日 1日1回の自動バックアップ |
プラグインを利用してバックアップする
レンタルサーバーにバックアップがない場合は、プラグインで対応することになります。
- UpdraftPlus
バックアップ&復元ができるプラグイン。
スケジュールバックアップ、バックアップ先をGoogle Drive・Dropboxへ指定可能 - BackWPup
無料ではバックアップのみ。
Dropbox, Amazon S3, FTPへバックアップ、スケジュールバックアップ対応。
追加でやっておくと安心なWordPressのセキュリティ対策
2要素認証(2FA)を導入する
パスワードの安全性を向上させるなら2要素認証(2FA)の導入が有効です。
2要素認証は、WordPressログイン時に、通常のパスワードに加え、追加の認証要素(認証アプリ経由の承認など)を要求します。
アカウントへの不正アクセスを防ぐのに、非常に有効な手段です。
WordPressに2要素認証(2FA)を導入できるプラグイン
- Two Factor Authentication
WordPressバックアップ復元プラグインUpdraftPlusの作者による2要素認証 - WP 2FA
WordPressセキュリティ関連のプラグインを開発しているWP White Securityが提供する簡単に導入できる2段階認証 - Jetpack
有効インストール数500万以上、セキュリティ、パフォーマンス、マーケティングが一元管理できるプラグイン - Wordfence Security
有効インストール数400万以上、WPのセキュリティ管理プラグイン - All-In-One Security (AIOS)
有効インストール数100万以上、総合的なセキュリティ管理プラグインのAll-In-One Securityでも2FAが導入されました
セキュリティプラグインの導入
セキュリティプラグインは、WordPressのセキュリティ対策を補完し、追加の保護機能や管理機能を提供してくれます。
前述の2要素認証に加え、総合的にセキュリティを強化できます。
追加のセキュリティ機能
- 不正なログイン試行をブロックする機能、
- マルウェアスキャンやウイルス対策、
- 侵入防止システム(IPS)、ファイヤーウォールなど。
これらの機能によって、セキュリティレベルを強化することができます。
自動アップデートと脆弱性の監視
セキュリティプラグインの中には、WordPressのコアファイルやプラグイン、テーマなどのアップデートを自動的に管理するものもあります。
また、新たに発見された脆弱性やセキュリティの問題に関してアラートを出してくれる場合もあります。
この機能により、最新のセキュリティパッチを適用や脆弱性への対応を迅速に行うことができます。
ログと監視
セキュリティプラグインでは、不審なアクティビティやサイトへ攻撃ログを取得しウェブサイトの監視を行うことができます。これにより、異常なアクセスや攻撃の早期検知が可能となります。
ユーザー管理とアクセス制御
セキュリティプラグインの機能の中にはユーザーのアクセス権限を管理するものがあります。
特権ユーザーの管理や不要なユーザーアカウントの削除、アクセス制御の設定などを行うことができ、セキュリティリスクを減らすことができます。
セキュリティ関連のプラグインはたくさんあります。先に挙げたプラグインの中でもWordfence Security、All-In-One Security (AIOS)などはトータル的にセキュリティ対策ができるプラグインです。
WordPress 保守管理は結構大変 → プロに委託する
以上のようにWordPressを常に最新の状態にしておくことは、ハッキングや不正アクセスのリスクを減らすためにも重要になります。
しかしWordPressコア(本体)、プラグイン、テーマとそれぞれのアップデートに日々対応するのはなかなか難しい作業です。
WordPressには自動アップデート機能もありますが、アップデートによりサイトに不具合が起きる可能性もあるのも事実。
日々の保守管理に時間を裂けない場合は、プロに管理を委託するという手段もあります。
ウェブサイトの移転(引越し)を専門で行っているWordPress専門のサーバー移転代行「サイト引越し屋さん」では、中小規模サイト向けにWordPressの保守管理サービスも行っています。
- 24時間365日サイト監視
- 独立環境での定期バックアップ
- 事故が起きたときの復旧対応
- WordPress月次メンテナンス(WordPress,プラグインのバージョンアップ)
- 既存コンテンツ修正対応
- PR宣伝協力(バックリンクつき)
プラン価格も他社に比べてリーズナブル。(月額5500円〜)
複数サイト、長期契約などによる割引サービスもあり。