ブログの設定

ワードプレスのセキュリティプラグインは「1個」でOK!

こんにちは、リュウセイです。

ワードプレスを使うならセキュリティ対策は必須です。

専門的で難しそうですが、本記事の内容に従えば初心者でも簡単にセキュリティ対策ができますよ。

おすすめのプラグインはコチラで紹介しています。

[1]ワードプレスは人気だが、サイバー攻撃に遭いやすい

ワードプレスは、世界中で使われているCMS(コンテンツ管理システム)です。

元々の優れた構造や、テーマやプラグインによる拡張性が人気の要因ですね。

しかし、「サイバー攻撃に遭いやすい」というリスクがあります。

特に注意すべきなのが「不正ログイン」であり、ワードプレスが内側から破壊されてしまいます。

そのため不正ログイン対策には最も力を入れるべきでしょう。

[2]ワードプレスを襲うサイバー攻撃の種類3つ

ワードプレスを襲う主なサイバー攻撃の種類をご紹介します。

種類3つ

  • ブルートフォース攻撃
  • SQLインジェクション攻撃
  • クロスサイトスクリプティング(XSS)

順番に見ていきましょう。

[1]ブルートフォース攻撃

ブルートフォース攻撃とは、攻撃者が無数のパスワードの組み合わせを試すことでログインを試みる攻撃です。

時間と労力をかければ必ず成功するため、強力なパスワードと不正ログイン対策が重要となります。

[2]SQLインジェクション攻撃

SQLインジェクション攻撃とは、ウェブサイトのデータベースを操作して情報を抜き取る攻撃です。

プラグインの脆弱性をつかれて攻撃されることが多いため、常にプラグインを最新バージョンにしておくことが重要ですね。

[3]クロスサイトスクリプティング(XSS)

クロスサイトスクリプティング(XSS)とは、不正なスクリプトをウェブサイトに埋め込むことで訪問者の情報を盗み取る攻撃です。

これもプラグインの脆弱性をつくことが多いため、最新バージョンにしておきましょう。

[3]ワードプレスのセキュリティを高めるための対策6つ

サイバー攻撃で最も警戒すべき「不正ログイン」を防ぐために、次の対策をしましょう。

対策6つ

  • パスワードを強化する
  • 常に最新バージョンにしておく
  • 信頼できるサーバーを使う
  • メタ情報を非表示にする
  • サーバーのセキュリティ機能を使う
  • プラグインを使う

順番に解説しますね。

[1]パスワードを強化する

最も強力な対策は、強度の高いパスワードを使用することです。

次の2つの方法で強力なパスワードを取得しましょう。

パスワードの取得方法

ワードプレスの標準機能を使用する場合は、「ユーザー」→「プロフィール」を開き、「アカウント管理」の項目にある新しいパスワードを設定をクリックしましょう。

アカウント管理の「新しいパスワードを設定」を押す。

これで強度の高いパスワードが自動で設定されます。

自動で新しいパスワードが設定されるが、自分で設定することも可能。

最後にプロフィールを更新を忘れずにクリックしてください。

[2]常に最新バージョンにしておく

下記の4つの機能は、常に最新バージョンにしておきましょう。

更新必須!

  • ワードプレス本体
  • プラグイン
  • テーマ
  • 翻訳

こまめにログインをして、アップデートが来ていないかチェックしてください。

[3]信頼できるサーバーを使う

セキュリティが強固なサーバーを使うことも重要です。

次に挙げるサーバー会社がおすすめですよ。

[4]メタ情報を非表示にする

メタ情報にはログインURLの情報も含まれているため、非表示にしておきましょう。

ログインURLが公開されていると、攻撃者にとっては好都合です。

ダッシュボードの「外観」→「ウィジェット」を開き、メタ情報のウィジェットをサイドバーから外してください。

メタ情報は非表示にするべし!

[5]サーバーのセキュリティ機能を使う

サーバーで推奨されているセキュリティ機能は全て「ON」に設定しましょう。

例えば、エックスサーバーには下記の機能があります。

機能説明
ダッシュボードアクセス制限国外IPからのダッシュボードへのアクセスを制限。
XML-RPC APIアクセス制限国外IPや一部の国内ホスティングからのアクセスを制限。
REST APIアクセス制限国外IPからのREST APIへのアクセスを制限。
wlwmanifest.xmlアクセス制限国外IPからのWindows Live Writer情報ファイルへのアクセスを制限。
ログイン試行回数制限設定短時間の連続ログインを制限し、ブルートフォース攻撃を防止。
コメント・トラックバック制限設定スパム対策として、コメント・トラックバックを一時的に制限。
参照元:WordPressセキュリティ設定 | レンタルサーバーならエックスサーバー

[6]セキュリティプラグインを使う

セキュリティプラグインも導入するとより効果的です。

その利点は何と言っても、インストールするだけですぐ対策できること。

無料版でも十分に使えるプラグインが多いです。

おすすめのプラグインは次で紹介しますね。

[4]ワードプレスの不正ログイン対策におすすめのプラグイン2つ

ワードプレスの不正ログイン対策におすすめのプラグインを2つご紹介します。

おすすめプラグイン2つ

  • SiteGuard WP Plugin
  • Google Authenticator

順番に紹介していきますね。

[1]SiteGuard WP Plugin

SiteGuard WP Pluginは不正ログインに特化したプラグインで、下記の対策を実装できます。

機能説明
管理ページアクセス制限ログインしていない接続元から管理ディレクトリ(/wp-admin/)を保護。
ログインページ変更ログインページ名を変更。
画像認証ログインページ、コメント投稿に画像認証を追加。
ログイン詳細エラーメッセージの無効化ログインエラー時に単一のメッセージを返す。
ログインロックログイン失敗を繰り返す接続元を一定期間ロック。
ログインアラートログインがあったことをメールで通知。
フェールワンス正しい入力を行ってもログインを一回失敗させる。
XMLRPC防御XMLRPCの悪用を防ぐ。
ユーザー名漏洩防御ユーザー名の漏洩を防ぐ。
更新通知WordPress、プラグイン、テーマの更新をメールで通知。
WAFチューニングサポートWAF (SiteGuard Lite)の除外リストを作成。
引用元:SiteGuard WP Plugin公式サイトより

ゴリゴリに不正ログイン対策をしてくれますが、個人サイトならここまで必要ないかもしれません。

なので個人サイトなら次のGoogle Authenticatorだけでも良いでしょう。

[2]Google Authenticator

Google Authenticatorは2段階認証ログインを実装できるプラグインであり、専用のスマホアプリでログインコードを取得する仕組みです。

認証コードは30秒ごとに再生成されるためセキュリティは万全ですが、ログインのたびにスマホが必要になる点が唯一のデメリットですね。

Google Authenticatorの設定方法はコチラ

[5]スパムコメント対策もやっておこう

不正ログイン対策と合わせて、スパムコメント対策もやっておきましょう。

スパムコメントとは、自動化されたボットや人間によって無差別に投稿されるコメントのこと。

ユーザー体験の低下に加えてサイトの評価も下がるため、対策は必須ですね。

スパムコメント対策におすすめのプラグインはAkismet Anti-Spamです。

インストールして有効化するだけでスパムコメント対策ができます。

[6]バックアップは必ず取るべし!

万が一の事態に備えて、定期的にバックアップをしましょう。

バックアップさえあれば、何があっても元の状態に戻すことができます。

バックアップで重要なことは次の2つです。

重要なこと2つ

  • 外部ファイルにバックアップを保存できるプラグインを使う
  • 理想は「毎日」、最低でも「週一」でバックアップを作成する

順番に見ていきましょう。

[1]バックアップは外部ファイルに保管すべし!

バックアップしたデータは、外部ファイルに保管するのが理想です。

サイト内にデータを保管してしまうと、サイトが破壊された時に復元できません。

そこでおすすめのプラグインはUpdraftPlusです。

UpdraftPlusの主なメリット

  • ワンクリックで簡単にバックアップを作成できる
  • バックアップ復元が簡単にできる
  • バックアップデータを軽くできる
  • DropboxやGoogle Driveなどの外部ファイルにバックアップを保存できる

有料版がありますが、バックアップと復元なら無料なのでお試しください。

[2]バックアップの頻度と最適なタイミング

バックアップ頻度の理想は「毎日」、最低でも「1週間に1回」にしましょう。

ワードプレスのアップデートを行う際は、不具合の発生に備えて事前にバックアップを取ってください。

[7]法人サイトを運用している中小企業さんは、「ワードプレス保守」に力を入れるべきです

ここからは、法人サイトを運営している「中小企業さん」向けの内容です。

法人サイトは特にサイバー攻撃の標的になりやすいため、プロによる専門的な「ワードプレス保守」を行うのがおすすめですよ。

[1]ワードプレス保守とは

本記事で書いたように、プラグインなどを使ってワードプレスのセキュリティを高めることです。

ワードプレスは常に進化し続けるため、定期的なアップデートとセキュリティ対策が必須になってきます。

[2]なぜ法人サイトはサイバー攻撃から狙われやすいのか?

攻撃者からすれば、個人サイトよりも法人サイトを狙う方が得です。

主な理由

  • 顧客の個人情報や金融情報・企業の機密情報など、多くの貴重なデータを取り扱っているため
  • 不正ログイン等によってサイトを掌握すれば、「データを人質」にして身代金の要求など金銭的な利益を得られる
  • 個人情報を盗むことにより、その情報を活用した身元盗用やフィッシング攻撃などを行える
  • 企業のブランドイメージに傷をつけることにより(リピュテーションダメージ)、株価に影響を及ぼせば、市場での利益を狙える

上記の背景には、「法人サイトは多くの機密情報を扱っているのに、サイト保守が甘い」という現実があります。

法人サイトとして運用する以上、個人サイトよりも保守を厳重に行うべきですね。

[3]プロにワードプレス保守を任せるメリット

保守作業は自分でも出来ますが、より安全に運用したいなら、専門的な知識と経験を持つプロに保守を任せましょう。

保守作業をプロに任せることにより、下記のようなメリットを得られます。

メリット

  1. 別に仕事に時間をあてることによって、売上UPに繋がる
  2. 保守のプロから専門的なアドバイスを受けられる
  3. 保守のための人件費を払わなくてよくなる

大きな売上を上げているサイトや、個人情報を多く扱うサイトなら尚のこと、保守作業を外注する価値があります。

[4]おすすめの保守会社

保守作業の外注は、ログイン情報を業者に渡すことになるため、信頼できる保守会社を選びましょう。

保守会社の選び方のポイントやおすすめなどは、下記の記事に書きました。

ワードプレスの保守が必要な理由【保守管理はプロに丸投げすべき】 | ブログLIFE

[8]まとめ

ワードプレスを使うなら、セキュリティ対策もセットで運用しましょう。

特に「不正ログイン」が怖いので、対策プラグインを導入するなどして保守作業を怠らないようにしてください。

また、保守作業が重荷なら、プロに委託する手もあります。安全にビジネスを回すための必要経費だと考えましょう。

本編はこれで以上です。ここまで読んでいただきありがとうございました。

[9]Q&A

Q&Aという形で、本記事の内容を補完します。

[1]なぜ2個しかプラグインを紹介しないのか?

プラグインは入れすぎるとサイトが重たくなるため、最小限にするのが望ましいです。

本記事で紹介したもの以外だと、例えば下記のプラグインが有名ですね。

プラグイン説明
Wordfence Securityマルウェアの検出やファイアーウォール機能の実装などが可能。
iThemes Securityファイル変更検知や強制SLLなど、70種類を超える対策が可能。
Sucuri Securityサイトの改ざんチェックや、サイトで行われた行動を監視・記録できる。ブラックリストモニタリングも可。
All In One WP Security & Firewallユーザーアカウントのセキュリティ強化やデータベースのバックアップ、ファイアウォール設定など、一元的なセキュリティ管理が可能。

不正ログイン対策ならSiteGuard WP PluginもしくはGoogle Authenticatorが最適です。

-ブログの設定
-