こんにちは、リュウセイです。
ワードプレスを使う以上、セキュリティ対策は必須です。
しかし、専門的だから難しそうに思えますよね。
でも大丈夫です。
本記事の内容に従えば、初心者でも簡単にセキュリティ対策ができますよ。
素早く結論を知りたい人はコチラへどうぞ。
目次
ワードプレスは人気だが、リスクもある
ワードプレスは、世界中で使われているCMS(コンテンツ管理システム)です。
元々の優れた構造や、テーマやプラグインによる拡張性が人気の要因ですね。
しかし、決して無視できないリスクもあります。
サイバー攻撃に遭いやすい
ワードプレスは普及率が高いため、様々なサイバー攻撃のターゲットになりやすいです。
サイバー攻撃の中で、特に注意すべきなのが「不正ログイン」の脅威ですね。
不正ログインを許すと、ワードプレスサイトが内側から破壊される危険があるため、最も力を入れて対策するべきです。
ワードプレスを襲うサイバー攻撃の種類
ワードプレスを襲う主なサイバー攻撃の種類をご紹介します。
ブルートフォース攻撃
攻撃者が無数のパスワードの組み合わせを試すことでログインを試みる攻撃です。
時間と労力をかければ必ず成功するため、強力なパスワードと不正ログイン対策が重要となります。
SQLインジェクション攻撃
ウェブサイトのデータベースを操作して情報を抜き取る攻撃です。
プラグインの脆弱性をつかれて攻撃されることが多いため、常にプラグインを最新バージョンにしておくことが重要ですね。
クロスサイトスクリプティング(XSS)
不正なスクリプトをウェブサイトに埋め込むことで、訪問者の情報を盗み取る攻撃です。
これもプラグインの脆弱性をつくことが多いため、最新バージョンにしておきましょう。
ワードプレスのセキュリティを高めるための基本的なこと6つ
サイバー攻撃で最も警戒すべき「不正ログイン」を防ぐために、下記の対策をしましょう。
- パスワードを強化する
- 常に最新バージョンにしておく
- 信頼できるサーバーを使う
- メタ情報を非表示にする
- サーバーのセキュリティ機能をONにする
- プラグインを使う
パスワードを強化する
最も古典的ながら最も強力な対策は、強度の高いパスワードを使用することです。
- パスワード生成ツールを使う
- ワードプレスの標準機能を使う
上記の方法で、強度の高いパスワードを設定しましょう。
「②」に関しては、以下の通り。
ワードプレスの管理画面から、「ユーザー」→「プロフィール」の項目を開く。
「アカウント管理」の新しいパスワードを設定を押す。
自動で強度の高いパスワードが設定される。もちろん、自分でパスワードを設定することも可能。
最後にプロフィールを更新を押して、変更を確定させること。
常に最新バージョンにしておく
下記の3つは、常に最新バージョンにしておきましょう。
- ワードプレス本体
- プラグイン
- テーマ
こまめにログインをして、アップデートが配信されていないかチェックしてください。
信頼できるサーバーを使う
セキュリティがしっかりしたサーバーを使うことも重要です。
サーバー側でもサイバー攻撃を牽制してくれるので、安全に運用できますよ。
メタ情報を非表示にする
メタ情報にはログインURLの情報も含まれているため、非表示にしておきましょう。
ログインURLが公開になっていると、攻撃者にとっては好都合です。
ダッシュボードの「外観」→「ウィジェット」を開き、メタ情報のウィジェットをサイドバーから外してください。
サーバーのセキュリティ機能をONにする
サーバー側にセキュリティ機能がある場合、推奨されている項目は全て「ON」の設定にしておきましょう。
例えば、エックスサーバーには下記の機能があります。
| ダッシュボード アクセス制限 | 国外IPからのダッシュボードへのアクセスを制限。 |
| XML-RPC API アクセス制限 | 国外IPや一部の国内ホスティングからのXML-RPC WordPress API(リモート投稿・アップロード用)へのアクセスを制限。Jetpackプラグインのアクセスは例外。 |
| REST API アクセス制限 | 国外IPからのREST APIへのアクセスを制限。Jetpackプラグインのアクセスは例外。 |
| wlwmanifest.xml アクセス制限 | 国外IPからのWindows Live Writer情報ファイル(wlwmanifest.xml)へのアクセスを制限。 |
| ログイン試行回数 制限設定 | 短時間の連続ログイン(失敗)を制限し、ブルートフォース攻撃を防止。 |
| コメント・トラックバック制限設定 | スパム対策として、コメント・トラックバックを一時的に制限。制限は6時間後に自動解除。 |
セキュリティプラグインを使う
ここまでの5つの対策に加えて、セキュリティプラグインも導入するとより効果的です。
その利点は何と言っても、インストールするだけですぐ対策できること。
無料版でも十分に使えるプラグインが多いです。
セキュリティプラグインの導入は必須!
セキュリティを万全にするために、必ず1個は対策プラグインを導入しておきましょう。
なぜセキュリティプラグインが重要なのか?
自動でセキュリティ対策をしてくれるからです。
パソコンでもセキュリティ対策ソフトを入れますよね。
それと同じことだと思ってください。
不正ログイン対策におすすめなプラグイン2つ
繰り返しですが、最も力を入れるべきなのは「不正ログイン対策」です。
その対策にうってつけなプラグインを2つ紹介します。
SiteGuard WP Plugin
不正ログイン対策に特化したプラグインです。
具体的には、下記の機能が実装されます。
| 管理ページアクセス制限 | ログインしていない接続元から管理ディレクトリ(/wp-admin/)を守ります。 |
| ログインページ変更 | ログインページ名を変更します。 |
| 画像認証 | ログインページ、コメント投稿に画像認証を追加します。 |
| ログイン詳細エラーメッセージの無効化 | ログインエラー時の詳細なエラーメッセージに変えて、単一のメッセージを返します。 |
| ログインロック | ログイン失敗を繰り返す接続元を一定期間ロックします。 |
| ログインアラート | ログインがあったことを、メールで通知します。 |
| フェールワンス | 正しい入力を行っても、ログインを一回失敗します。 |
| XMLRPC防御 | XMLRPCの悪用を防ぎます。 |
| ユーザー名漏洩防御 | ユーザー名の漏洩を防ぎます。 |
| 更新通知 | WordPress、プラグイン、テーマの更新を、メールで通知します。 |
| WAFチューニングサポート | WAF (SiteGuard Lite)の除外リストを作成します。 |
ご覧の通り、ゴリゴリに不正ログインを対策してくれます。
特にログインページのURLを自動的に変更してくれるのは便利ですね。
詳しい内容は公式サイトにてご確認ください。
Google Authenticator
ログインに2段階認証を導入するプラグインです。
専用のスマホアプリで認証コードを生成し、そのコードを使って2段階認証を行います。
認証コードは30秒ごとに生成されるため、スマホを奪われない限りセキュリティは万全。
ただし、ログインの際にスマホが必要となるので、それが唯一のデメリットです。
Google Authenticatorの導入方法 | ブログLIFE
スパムコメント対策もやっておこう
不正ログイン対策と合わせて、スパムコメント対策もやっておくのが理想です。
スパムコメントとは、自動化されたボットや人間によって無差別に投稿されるコメントのこと。
ユーザーにとっても不利益であり、サイトの評価も下がるため、対策は必須ですね。
「Akismet Anti-Spam」が最強すぎる
Akismet Anti-Spamは最強すぎるため、ほとんどのスパムコメントを駆逐できます。
インストールして有効化するだけでOK。
どういう仕組みかは知りませんが、スパムコメントだけ弾いてくれるので、便利ですね。
バックアップは必ず取りましょう
万が一の事態に備えて、定期的にバックアップをするのは常識です。
バックアップさえあれば、何があっても元の状態に戻すことができるので。
バックアップは外部ファイルに保管すべし!
バックアップしたデータは、外部ファイルに保管するのが理想です。
なぜなら、サイト内にデータを保管してしまうと、サイトが破壊された時に復元できなくなるため。
それでは折角バックアップを取っていても意味がありません。
UpdraftPlusがおすすめ
UpdraftPlusならば、下記に挙げるような「クラウドサービス」にデータを保管できるため、安全性が高いです。
- Amazon S3
- Dropbox
- Google Drive
- OneDrive
また、以下のような特徴があります。
- ワンクリックで簡単にバックアップを取れる
- 復元が簡単にできる
- バックアップデータの容量が軽い
有料版がありますが、バックアップと復元なら無料で使えるので、お試しください。
バックアップの頻度と最適なタイミング
頻度の理想は「毎日」、最低でも「1週間に1回」かなと。
大体のプラグインは、バックアップのスケジュール設定が可能です。
UpdraftPlusを使って、バックアップ頻度を「毎日」にスケジューリングするのがおすすめですよ。
アップデートの前などは、手動でバックアップを取るのがいいでしょう。
法人サイトを運用している中小企業さんは、「ワードプレス保守」に力を入れるべきです
ここからは、法人サイトを運営している「中小企業さん」向けの内容です。
法人サイトは特にサイバー攻撃の標的になりやすいため、プロによる専門的な「ワードプレス保守」を行うのがおすすめですよ。
ワードプレス保守とは
本記事で書いたように、プラグインなどを使ってワードプレスのセキュリティを高めることです。
なぜ法人サイトはサイバー攻撃から狙われやすいのか?
攻撃者からすれば、個人サイトよりも法人サイトを狙う方が得です。
その理由は、以下の通り。
- 顧客の個人情報や金融情報・企業の機密情報など、多くの貴重なデータを取り扱っているため
- 不正ログイン等によってサイトを掌握すれば、「データを人質」にして身代金の要求など金銭的な利益を得られる
- 個人情報を盗むことにより、その情報を活用した身元盗用やフィッシング攻撃などを行える
- 企業のブランドイメージに傷をつけることにより(リピュテーションダメージ)、株価に影響を及ぼせば、市場での利益を狙える
上記の背景には、「法人サイトは個人サイトよりも多くの機密情報を扱っているはずなのに、サイト保守が甘い」という現実があります。
当然ながら、法人サイトとして運用する以上、個人サイトよりも保守を厳重に行うべきですね。
プロにワードプレス保守を任せるメリット
保守作業は自分でも十分できますが、より安全に運用したいなら、専門的な知識と経験を持つプロに保守を任せましょう。
保守作業をプロに任せることにより、下記のようなメリットを得られます。
- 別に仕事に時間をあてることによって、売上UPに繋がる
- 保守のプロから専門的なアドバイスを受けられる
- 保守のための人件費を払わなくてよくなる
大きな売上を上げているサイトや、個人情報を多く扱うサイトなら尚のこと、保守作業を外注する価値があります。
おすすめの保守会社
保守作業の外注は、ログイン情報を業者に渡すことになるため、信頼できる保守会社を選びましょう。
保守会社の選び方のポイントやおすすめなどは、下記の記事に書きました。
ワードプレスの保守が必要な理由【保守管理はプロに丸投げすべき】 | ブログLIFE
まとめ
ワードプレスを使うなら、セキュリティ対策もセットで運用しましょう。
様々なサイバー攻撃から標的にされていますが、その中で最も危険なのが「不正ログイン」です。
対策プラグインを導入するなどして、保守作業を怠らないようにしてください。
また、保守作業が重荷なら、プロに委託する手もあります。
安全にビジネスを回すための必要経費だと考えましょう。
本編はこれで以上です。
読んでいただきありがとうございました。
Q&A
Q&Aという形で、本記事の内容を補完します。
なぜ2個しかプラグインを紹介しないのか?
プラグインは入れすぎるとサイトが重たくなるため、最小限にするのが望ましいです。
本記事で紹介したもの以外だと、例えば下記のプラグインが有名ですね。
- Wordfence Security
- マルウェアの検出やファイアーウォール機能の実装などが可能。
- iThemes Security
- ファイル変更検知や強制SLLなど、70種類を超える対策が可能。
- Sucuri Security
- サイトの改ざんチェックや、サイトで行われた行動を監視・記録できる。ブラックリストモニタリングも可。
- All In One WP Security & Firewall
- ユーザーアカウントのセキュリティ強化やデータベースのバックアップ、ファイアウォール設定など、一元的なセキュリティ管理が可能。
今回は「不正ログイン対策」に重点を置いたので、それだとSiteGuard WP Pluginが最適でした。
