こんにちは、リュウセイです。
ワードプレスを使うならセキュリティ対策は必須です。
専門的で難しそうですが、本記事の内容に従えば初心者でも簡単にセキュリティ対策ができますよ。
おすすめのプラグインはコチラで紹介しています。
[1]ワードプレスは人気だが、サイバー攻撃に遭いやすい
ワードプレスは、世界中で使われているCMS(コンテンツ管理システム)です。
元々の優れた構造や、テーマやプラグインによる拡張性が人気の要因ですね。
しかし、「サイバー攻撃に遭いやすい」というリスクがあります。
特に注意すべきなのが「不正ログイン」であり、ワードプレスが内側から破壊されてしまいます。
そのため不正ログイン対策には最も力を入れるべきでしょう。
[2]ワードプレスを襲うサイバー攻撃の種類3つ
ワードプレスを襲う主なサイバー攻撃の種類をご紹介します。
順番に見ていきましょう。
[1]ブルートフォース攻撃
ブルートフォース攻撃とは、攻撃者が無数のパスワードの組み合わせを試すことでログインを試みる攻撃です。
時間と労力をかければ必ず成功するため、強力なパスワードと不正ログイン対策が重要となります。
[2]SQLインジェクション攻撃
SQLインジェクション攻撃とは、ウェブサイトのデータベースを操作して情報を抜き取る攻撃です。
プラグインの脆弱性をつかれて攻撃されることが多いため、常にプラグインを最新バージョンにしておくことが重要ですね。
[3]クロスサイトスクリプティング(XSS)
クロスサイトスクリプティング(XSS)とは、不正なスクリプトをウェブサイトに埋め込むことで訪問者の情報を盗み取る攻撃です。
これもプラグインの脆弱性をつくことが多いため、最新バージョンにしておきましょう。
[3]ワードプレスのセキュリティを高めるための対策6つ
サイバー攻撃で最も警戒すべき「不正ログイン」を防ぐために、次の対策をしましょう。
順番に解説しますね。
[1]パスワードを強化する
最も強力な対策は、強度の高いパスワードを使用することです。
次の2つの方法で強力なパスワードを取得しましょう。
ワードプレスの標準機能を使用する場合は、「ユーザー」→「プロフィール」を開き、「アカウント管理」の項目にある新しいパスワードを設定をクリックしましょう。
これで強度の高いパスワードが自動で設定されます。
最後にプロフィールを更新を忘れずにクリックしてください。
[2]常に最新バージョンにしておく
下記の4つの機能は、常に最新バージョンにしておきましょう。
こまめにログインをして、アップデートが来ていないかチェックしてください。
[3]信頼できるサーバーを使う
セキュリティが強固なサーバーを使うことも重要です。
次に挙げるサーバー会社がおすすめですよ。
[4]メタ情報を非表示にする
メタ情報にはログインURLの情報も含まれているため、非表示にしておきましょう。
ログインURLが公開されていると、攻撃者にとっては好都合です。
ダッシュボードの「外観」→「ウィジェット」を開き、メタ情報のウィジェットをサイドバーから外してください。
[5]サーバーのセキュリティ機能を使う
サーバーで推奨されているセキュリティ機能は全て「ON」に設定しましょう。
例えば、エックスサーバーには下記の機能があります。
| 機能 | 説明 |
|---|---|
| ダッシュボードアクセス制限 | 国外IPからのダッシュボードへのアクセスを制限。 |
| XML-RPC APIアクセス制限 | 国外IPや一部の国内ホスティングからのアクセスを制限。 |
| REST APIアクセス制限 | 国外IPからのREST APIへのアクセスを制限。 |
| wlwmanifest.xmlアクセス制限 | 国外IPからのWindows Live Writer情報ファイルへのアクセスを制限。 |
| ログイン試行回数制限設定 | 短時間の連続ログインを制限し、ブルートフォース攻撃を防止。 |
| コメント・トラックバック制限設定 | スパム対策として、コメント・トラックバックを一時的に制限。 |
[6]セキュリティプラグインを使う
セキュリティプラグインも導入するとより効果的です。
その利点は何と言っても、インストールするだけですぐ対策できること。
無料版でも十分に使えるプラグインが多いです。
おすすめのプラグインは次で紹介しますね。
[4]ワードプレスの不正ログイン対策におすすめのプラグイン2つ
ワードプレスの不正ログイン対策におすすめのプラグインを2つご紹介します。
順番に紹介していきますね。
[1]SiteGuard WP Plugin
SiteGuard WP Pluginは不正ログインに特化したプラグインで、下記の対策を実装できます。
| 機能 | 説明 |
|---|---|
| 管理ページアクセス制限 | ログインしていない接続元から管理ディレクトリ(/wp-admin/)を保護。 |
| ログインページ変更 | ログインページ名を変更。 |
| 画像認証 | ログインページ、コメント投稿に画像認証を追加。 |
| ログイン詳細エラーメッセージの無効化 | ログインエラー時に単一のメッセージを返す。 |
| ログインロック | ログイン失敗を繰り返す接続元を一定期間ロック。 |
| ログインアラート | ログインがあったことをメールで通知。 |
| フェールワンス | 正しい入力を行ってもログインを一回失敗させる。 |
| XMLRPC防御 | XMLRPCの悪用を防ぐ。 |
| ユーザー名漏洩防御 | ユーザー名の漏洩を防ぐ。 |
| 更新通知 | WordPress、プラグイン、テーマの更新をメールで通知。 |
| WAFチューニングサポート | WAF (SiteGuard Lite)の除外リストを作成。 |
ゴリゴリに不正ログイン対策をしてくれますが、個人サイトならここまで必要ないかもしれません。
なので個人サイトなら次のGoogle Authenticatorだけでも良いでしょう。
[2]Google Authenticator
Google Authenticatorは2段階認証ログインを実装できるプラグインであり、専用のスマホアプリでログインコードを取得する仕組みです。
認証コードは30秒ごとに再生成されるためセキュリティは万全ですが、ログインのたびにスマホが必要になる点が唯一のデメリットですね。
[5]スパムコメント対策もやっておこう
不正ログイン対策と合わせて、スパムコメント対策もやっておきましょう。
スパムコメントとは、自動化されたボットや人間によって無差別に投稿されるコメントのこと。
ユーザー体験の低下に加えてサイトの評価も下がるため、対策は必須ですね。
スパムコメント対策におすすめのプラグインはAkismet Anti-Spamです。
インストールして有効化するだけでスパムコメント対策ができます。
[6]バックアップは必ず取るべし!
万が一の事態に備えて、定期的にバックアップをしましょう。
バックアップさえあれば、何があっても元の状態に戻すことができます。
バックアップで重要なことは次の2つです。
順番に見ていきましょう。
[1]バックアップは外部ファイルに保管すべし!
バックアップしたデータは、外部ファイルに保管するのが理想です。
サイト内にデータを保管してしまうと、サイトが破壊された時に復元できません。
そこでおすすめのプラグインはUpdraftPlusです。
有料版がありますが、バックアップと復元なら無料なのでお試しください。
[2]バックアップの頻度と最適なタイミング
バックアップ頻度の理想は「毎日」、最低でも「1週間に1回」にしましょう。
ワードプレスのアップデートを行う際は、不具合の発生に備えて事前にバックアップを取ってください。
[7]法人サイトを運用している中小企業さんは、「ワードプレス保守」に力を入れるべきです
ここからは、法人サイトを運営している「中小企業さん」向けの内容です。
法人サイトは特にサイバー攻撃の標的になりやすいため、プロによる専門的な「ワードプレス保守」を行うのがおすすめですよ。
[1]ワードプレス保守とは
本記事で書いたように、プラグインなどを使ってワードプレスのセキュリティを高めることです。
ワードプレスは常に進化し続けるため、定期的なアップデートとセキュリティ対策が必須になってきます。
[2]なぜ法人サイトはサイバー攻撃から狙われやすいのか?
攻撃者からすれば、個人サイトよりも法人サイトを狙う方が得です。
上記の背景には、「法人サイトは多くの機密情報を扱っているのに、サイト保守が甘い」という現実があります。
法人サイトとして運用する以上、個人サイトよりも保守を厳重に行うべきですね。
[3]プロにワードプレス保守を任せるメリット
保守作業は自分でも出来ますが、より安全に運用したいなら、専門的な知識と経験を持つプロに保守を任せましょう。
保守作業をプロに任せることにより、下記のようなメリットを得られます。
大きな売上を上げているサイトや、個人情報を多く扱うサイトなら尚のこと、保守作業を外注する価値があります。
[4]おすすめの保守会社
保守作業の外注は、ログイン情報を業者に渡すことになるため、信頼できる保守会社を選びましょう。
保守会社の選び方のポイントやおすすめなどは、下記の記事に書きました。
ワードプレスの保守が必要な理由【保守管理はプロに丸投げすべき】 | ブログLIFE
[8]まとめ
ワードプレスを使うなら、セキュリティ対策もセットで運用しましょう。
特に「不正ログイン」が怖いので、対策プラグインを導入するなどして保守作業を怠らないようにしてください。
また、保守作業が重荷なら、プロに委託する手もあります。安全にビジネスを回すための必要経費だと考えましょう。
本編はこれで以上です。ここまで読んでいただきありがとうございました。
[9]Q&A
Q&Aという形で、本記事の内容を補完します。
[1]なぜ2個しかプラグインを紹介しないのか?
プラグインは入れすぎるとサイトが重たくなるため、最小限にするのが望ましいです。
本記事で紹介したもの以外だと、例えば下記のプラグインが有名ですね。
| プラグイン | 説明 |
|---|---|
| Wordfence Security | マルウェアの検出やファイアーウォール機能の実装などが可能。 |
| iThemes Security | ファイル変更検知や強制SLLなど、70種類を超える対策が可能。 |
| Sucuri Security | サイトの改ざんチェックや、サイトで行われた行動を監視・記録できる。ブラックリストモニタリングも可。 |
| All In One WP Security & Firewall | ユーザーアカウントのセキュリティ強化やデータベースのバックアップ、ファイアウォール設定など、一元的なセキュリティ管理が可能。 |
不正ログイン対策ならSiteGuard WP PluginもしくはGoogle Authenticatorが最適です。