WordPress Tips

WordPress 初心者でもすぐにできるセキュリティ対策

本ページにはプロモーションが含まれています

WordPress 初心者でもすぐにできるセキュリティ対策

WordPressは世界で最も人気のあるCMSであるが故、悪意のある攻撃に狙われるリスクがあります。

WordPressが狙われやすい理由

  • 人気の高いCMS(世界のサイトの40%以上がWordPressで作られている)
  • 無償のオープンソースのためコードを誰でも見ることができる

個人ブログはもちろん法人サイトであればセキュリティ対策は非常に重要であり、最低限の対策を行うことでリスクを軽減できます。

この記事では、特別な知識がない初心者でもすぐにできる、WoWordPressのセキュリティ対策、保守管理の方法をまとめています。

知識不要・これだけはやっておきたいWordPrssのセキュリティ対策

  • WordPress・プラグイン・テーマを最新の状態にする
  • 使用していないプラグイン・テーマは削除する
  • セキュアなパスワードの設定
  • 管理者アカウントのセキュリティ
  • レンタルサーバーのセキュリティ設定

WordPress・プラグイン・テーマを最新の状態にする

WordPressはセキュリティの脆弱性を修正するために定期的にアップデートをリリースしています。

常に最新のバージョンを使用することで、最新のセキュリティパッチが適用されるため、セキュリティリスクを最小限に抑えることができます。

プラグイン・テーマも同様です。

プラグインやテーマ開発者はセキュリティの問題を修正したり、新機能を追加したりするため、最新版を使うことが推奨されます。

使用していないプラグイン・テーマは削除する

使っていないプラグインやテーマを放置しておくと、脆弱性が見つかった場合、セキュリティの穴が開てしまう可能性があります。

サイトのパフォーマンスにも影響を与える可能性があります。

使用していない場合は削除してしまいしょう。

管理者アカウントのセキュリティ

WordPressの管理者権限を持つユーザーの管理も重要です。

WordPressのデフォルト管理者ユーザで"admin"といったよく使われるユーザー名は、攻撃者にとって推測しやすいため変更しましょう。

使用していない管理者アカウントは削除することが重要です。攻撃者は、アカウントが存在することでセキュリティの穴を突くことができるため、必要ないアカウントは削除しましょう。

セキュアなパスワードの設定

WordPrssのセキュリティ対策の一つとして、セキュアなパスワードの設定が非常に重要です。

強力なパスワードはブルートフォースアタックと呼ばれる攻撃手法に対して強固な防御になるからです。

ブルートフォースアタックは、自動化されたプログラムを使用して、さまざまな組み合わせのパスワードを短時間で試すことでアカウントに不正アクセスを試みる攻撃です。

ついつい覚えやすい簡単なパスワードを設置しがちですが、強力なパスワードを使用することで、攻撃者がパスワードを当てることは非常に困難になります。

セキュアなパスワードのポイント

  • パスワードは8文字以上で、英字(大文字・小文字)、数字、特殊文字を組み合わせるようにします。例「P@ssw0rd!」
  • 同じパスワードを複数のサイトやアカウントで使用しない。
    一つのアカウントが侵害された場合、他のアカウントにも影響が及ぶ可能性があります。

複雑なパスワードの生成・管理には、1Password iconのようなパスワード管理ツールの活用やの設定も検討してください。

ログインセキュリティをもっと強化するなら2要素認証(2FA)も有効です。

レンタルサーバーのセキュリティ設定

レンタルサーバーでもWordPressのセキュリティ機能を提供している場合があります。

エックスサーバー ConoHa WINGではWordPress関連の機能が充実しています。

また、スターサーバーでは月額200円でWordPressが使える格安レンタルサーバーですがエックスサーバーグループだからか、エックスサーバーと同様のWordPressセキュリティ設定が利用可能です。

エックスサーバー ConoHa WINGのWordPressセキュリティ機能

  • 国外IPアクセス制限設定
    日本以外のIPアドレスからwp-adminディレクトリ 、wp-login.phpへのアクセスを制限、XML-RPC、REST APIへのアクセスを制限します
  • ログイン試行回数制限設定
    ブルートフォースアタックによる不正アクセス防止対策
  • コメント・トラックバック制限設定
    大量のコメント、トラックバックなどのスパム行為の防止対策

追加でやっておくと安心できるWordPressのセキュリティ対策

2要素認証(2FA)を導入する

パスワードの安全性を向上させるなら2要素認証(2FA)の導入が有効です。

2要素認証は、WordPressログイン時に、通常のパスワードに加え、追加の認証要素(認証アプリ経由の承認など)を要求します。
アカウントへの不正アクセスを防ぐのに、非常に有効な手段です。

WordPressに2要素認証(2FA)を導入できるプラグイン

  • Two Factor Authentication
    WordPressバックアップ復元プラグインUpdraftPlusの作者による2要素認証
  • WP 2FA
    WordPressセキュリティ関連のプラグインを開発しているWP White Securityが提供する簡単に導入できる2段階認証
  • Jetpack
    有効インストール数500万以上、セキュリティ、パフォーマンス、マーケティングが一元管理できるプラグイン
  • Wordfence Security
    有効インストール数400万以上、WPのセキュリティ管理プラグイン
  • All-In-One Security (AIOS)
    有効インストール数100万以上、総合的なセキュリティ管理プラグインのAll-In-One Securityでも2FAが導入されました

セキュリティプラグインの導入

セキュリティプラグインは、WordPressのセキュリティ対策を補完し、追加の保護機能や管理機能を提供してくれます。

前述の2要素認証に加え、総合的にセキュリティを強化できます。

追加のセキュリティ機能

  • 不正なログイン試行をブロックする機能、
  • マルウェアスキャンやウイルス対策、
  • 侵入防止システム(IPS)、ファイヤーウォールなど。

これらの機能によって、セキュリティレベルを強化することができます。

自動アップデートと脆弱性の監視

セキュリティプラグインの中には、WordPressのコアファイルやプラグイン、テーマなどのアップデートを自動的に管理するものもあります。

また、新たに発見された脆弱性やセキュリティの問題に関してアラートを出してくれる場合もあります。

この機能により、最新のセキュリティパッチを適用や脆弱性への対応を迅速に行うことができます。

ログと監視

セキュリティプラグインでは、不審なアクティビティやサイトへ攻撃ログを取得しウェブサイトの監視を行うことができます。これにより、異常なアクセスや攻撃の早期検知が可能となります。

ユーザー管理とアクセス制御

セキュリティプラグインの機能の中にはユーザーのアクセス権限を管理するものがあります。

特権ユーザーの管理や不要なユーザーアカウントの削除、アクセス制御の設定などを行うことができ、セキュリティリスクを減らすことができます。

セキュリティ関連のプラグインはたくさんあります。先に挙げたプラグインの中でもWordfence SecurityAll-In-One Security (AIOS)などはトータル的にセキュリティ対策ができるプラグインです。

定期的なバックアップ

WordPressを定期的にバックアップしておくことは、非常に大切です。

不測の事態が起こってもバックアップから復旧することができるのです。自分のPCも同じですよね。

静的HTMLでできたサイトであれば、ローカルPCからアップするだけでOKですが、WordPressの場合は最新データはサーバー上に存在します。

またWordPressはファイルだけでなくデータベースのバックアップも必須です。

WordPressを定期的にバックアップするには2つの方法があります。

  • レンタルサーバーのバックアップ機能
  • プラグインを利用してバックアップする

レンタルサーバーのバックアップ機能

最近のレンタルサーバーでは、自動バックアップ機能を提供している会社も多いです。

レンタルサーバーバックアップ対象
バックアップ世代数
エックスサーバー Web、MySQL
14日
1日1回の自動バックアップのほか手動でも可能
ConoHa WINGWeb、MySQL14日
1日1回の自動バックアップ
mixhostWeb、MySQL14日
1日1回,遠隔地域バックアップ
カラフルボックスWeb、MySQL14日
1日1回,遠隔地域バックアップ

プラグインを利用してバックアップする

レンタルサーバーにバックアップがない場合は、プラグインで対応することになります。

  • UpdraftPlus
    バックアップ&復元ができるプラグイン。
    スケジュールバックアップ、バックアップ先をGoogle Drive・Dropboxへ指定可能
  • BackWPup
    無料ではバックアップのみ。
    Dropbox, Amazon S3, FTPへバックアップ、スケジュールバックアップ対応。

WordPress 保守管理は結構大変 → プロに委託する

以上のようにWordPressを常に最新の状態にしておくことは、ハッキングや不正アクセスのリスクを減らすためにも重要になります。

しかしWordPressコア(本体)、プラグイン、テーマとそれぞれのアップデートに日々対応するのはなかなか難しい作業です。

WordPressには自動アップデート機能もありますが、アップデートによりサイトに不具合が起きる可能性もあるのも事実。

日々の保守管理に時間を裂けない場合は、プロに管理を委託するという手段もあります。

ウェブサイトの移転(引越し)を専門で行っているWordPress専門のサーバー移転代行「サイト引越し屋さん」では、中小規模サイト向けにWordPressの保守管理サービスも行っています。

  • 24時間365日サイト監視
  • 独立環境での定期バックアップ
  • 事故が起きたときの復旧対応
  • WordPress月次メンテナンス(WordPress,プラグインのバージョンアップ)
  • 既存コンテンツ修正対応
  • PR宣伝協力(バックリンクつき)

プラン価格も他社に比べてリーズナブル。(月額5500円〜)
複数サイト、長期契約などによる割引サービスもあり。

WordPress保守管理サービス

今月キャンペーン特典があるサービス

  • エックスサーバー
    半額キャッシュバックで月額費用が実質693円&ドメイン永久無料 - 2023年10月2日(月)12:00まで
  • ConoHa WING
    WINGパック36ヶ月で月額678円 53%OFF - 2023年10月3日(火)16:00まで
  • カラフルボックス
    .jp取り扱いスタート。BOX2以上の月額費用が25%OFFのクーポンコード「SERVER25

-WordPress Tips
-, , , , ,