セキュリティ対策が重要とは聞くけれど、なにをやればいいのかわからないとお悩みではないですか?
実は、初期設定のままだと、ワードプレスのセキュリティはとても低いのです。
仕組みがよくわからない初心者ほど、セキュリティ対策を早急に行う必要があります。
この記事では、セキュリティ対策が必要な理由と、具体的な対策をまとめました。
私も初めてブログをワードプレスで立ち上げたときには、あまりにやることが多すぎてどれからやればいいのかわからずに半年ほど前に進めなかった経験があります。
- まだ始めたばかりで何からやったらいいかわからない
- とりあえず最低限のセキュリティ対策をしておきたい
- 自分のサイトのセキュリティ対策で大丈夫なのか確認したい
そんな方には役に立つ内容となっています。
この記事を読んで順番に行えば、誰でもカンタンに設定できるように図解入りで解説していますので、最後までごらんくださいね。
ワードプレスはなぜ狙われる?
ワードプレスはセキュリティ対策が必須と言われます。
それは狙われる確率が高いからです。
なぜワードプレスは狙われるのでしょうか?理由は3つあります。
- 使用人口が多い
- オープンソース
- 管理画面のURLが固定
全世界のウェブサイトの34%で使用されているWordPress。
オープンソースで、設計が誰でも見られ、改変して使用することもできます。
また管理画面のURLは固定で、『サイトURL』+『/wp-login.php』で誰でもログインページに行けてしまいます。
あとで解説しますが、初期設定のままだとログインIDを誰でも見られることをご存知でしたか?
『ログインページ』+『ログインID』が知られてしまったら、あとは『パスワード』だけが頼りです。
その『パスワード』も総当り攻撃をされたら、管理画面にログインして乗っ取ることはカンタンにできるのです。
乗っ取られるとどうなる?
もしあなたのワードプレスに侵入を許してしまったらどうなるのでしょうか?
- ブログが改ざんされる
- 管理者権限アカウントが乗っ取られ自分がログインできなくなる
- ブログにウイルスを仕込まれる
- フィッシング詐欺の経由地として使われる
- ユーザー情報が盗まれる
ざっと考えられるだけでも、これだけのことが起こる可能性があります。
特にワードプレスの仕組みがよくわからない初心者は、セキュリティ対策を行っていないことが多いので狙われやすいのです。
ワードプレスをインストールしたら、記事を書くよりも前にセキュリティ対策を行いましょう!
やっておきたいセキュリティ対策まとめ
それでは、やっておきたいセキュリティ対策をまとめてご紹介します。
- 検索エンジンにインデックスされないようにする
- ログインIDを表示されないようにする
- ログインパスワードを変更する
- SSL化
- メタ情報を表示させない
- 最新版へアップデート
- スパム対策をする
- セキュリティのプラグインを入れる
- バックアップのプラグインを入れる
- 使わないプラグイン削除
- wp-config.phpファイルへのアクセス禁止設定(上級者向け)
一つずつ解説します。
長いので必要な項目だけごらんください。
検索エンジンにインデックスされないようにする
セキュリティ対策を行っていない状態のときに人がこないように、サイトが検索されない設定にしましょう。
WordPress管理画面の『設定』→『表示設定』を開きます。
『検索エンジンでの表示』の『検索エンジンがサイトをインデックスしないようにする』にチェックを入れます。
『変更を保存』をクリックします。
セキュリティ対策を行って記事を公開するときには、この『検索エンジンがサイトをインデックスしないようにする』のチェックを外しましょう。そうしないと、いつまでたっても検索してもらえなくなります。
ログインIDを表示されないようにする
実はデフォルトの状態で、あなたのログインIDは他の人から見える状態になっています。
検索バーで、あなたのサイトアドレスのあとに『 ?author=1 』と入れてみてください。
そこにあなたのログインIDが表示されるようだと、非常に危ないです。
対策として『 Edit Author Slug 』というプラグインを入れます。
『プラグイン』→『新規追加』をクリック。
『 Edit Author Slug 』で検索します。
出てきたら『今すぐインストール』をクリックします。
インストールが終わったらボタンが『有効化』となりますので、そこをクリックします。
『ユーザー』→『プロフィール』を開きます。
そのページの一番下に『 Edit Author Slug 』の投稿者スラッグ設定画面があります。
ランダムな英数字と記号が並んだ3番目のところを選びましょう。
『プロフィールを更新』をクリックします。
あなたのサイトアドレスのあとに『 ?author=1 』と入れて、確認してみましょう。
ログインIDではなく、さきほど設定した文字列になっていたら大丈夫です。
ログインパスワードを変更する
「覚えられないから」といって、簡単で短いパスワードにしていませんか?
ログインIDが見える状態になっていたということは、あとはログインパスワードさえわかれば、誰でも管理画面にログインできます。
相談者さんそんなに簡単にパスワードなんてわからないでしょ?
みや総当り攻撃でパスワードを見破られる可能性がありますよ
パスワードに使われているであろう文字列を推測して一つ一つ試していくのが総当り攻撃です。
これをブルートフォースアタックといいます。
当然ですが、パスワードが短く単純なものほど、破られる確率は高くなります。
コンピュータを使えばカンタンに総当り攻撃ができてしまうので、対策が必要です。
長くて複雑なパスワードに変更しましょう。
『ランダムなパスワード』『覚えやすいパスワード』『暗証番号』から選ぶことができます。
長さは8〜100文字まで、『数字』『記号』を含めるかも選べます。
作成できたら『安全なパスワードをコピー』ボタンをクリックします。
WordPress管理画面の『ユーザー』→『プロフィール』を開きます。
『アカウント管理』の『新しいパスワードを設定』をクリックし、さきほどコピーしたパスワードを貼り付けます。
一番下の『プロフィールを更新』ボタンをクリックして設定終了です。
SSL化
SSL化とは、サイトの通信を暗号化することです。
具体的には、サイトアドレスを『 http:// 』から『 https:// 』に変更する作業です。
詳しくは別記事で解説していますので、よかったら見てみてください。
≫ワードプレスのSSL化&301リダイレクトってどうやるの?
メタ情報を表示させない
ブログのサイドバーにメタ情報が表示されている場合があります。
これがあることで、ログイン画面からではなくサイトからWordPressの管理画面にログインできてしまいます。
セキュリティ的にあまりよくないので、これを表示させないようにしましょう。
『外観』→『ウィジェット』を開きます。
『メタ情報』を『使用停止中のウィジェット』のところにドラッグ&ドロップします。
最新版へアップデート
WordPressやテーマ、プラグインなどは、どんどん更新されていきます。
古いバージョンを使っていると、脆弱性をつかれる危険性があります。
更新の通知があったら、最新版へアップデートしておきましょう。
スパム対策をする
スパム対策としてワードプレスにはあらかじめ『 Akismet Anti-Spam 』というプラグインが入っています。
このプラグインは有効化するだけでは使えないので、設定にちょっと手間がかかります。
ですが、スパムコメントを除外してくれるので、最初に設定をしてしまいましょう。
プラグインの有効化をします。
『 Akismet Anti-Spam 』が入っていない場合は、『プラグイン』→『新規追加』を行ってください。
『有効化』をクリックすると次のように表示されます。
『Akismetアカウントを設定』をクリックします。
一番左の『パーソナルに』をクリックします。
『¥4,500/YEAR』と表示された黒枠を¥0になるまでスライドさせます。
『メールアドレス』『名前』『サイトURL』を入力し、3つのチェックボックスにチェックを入れます。
『CONTINUE WITH PERSONAL SUBSCRIPTION』ボタンをクリック。
入力したメールアドレスにコード番号が送られてきます。
それを入力して『Continue』ボタンをクリックします。
サインアップ完了です。APIキーの設定にいきましょう。
WordPress管理画面の『設定』→『Ajusmet』をクリックします。
上の画面が出るので『 Manually enter an API key 』をクリック。
メールに届いたAPIキーを入力し『APIキーを使って接続する』をクリックしたら完了です。
不正ログイン防止のプラグインを入れる
不正ログイン防止のプラグイン『 SiteGuard WP Plugin 』を入れます。
このプラグインを入れると、ワードプレスのログイン画面を変更したり、画像認証機能が追加できます。
『プラグイン』→『新規追加』で『 SiteGuard WP Plugin 』を検索し、『今すぐインストール』をクリックします。
インストールが終わったら『有効化』をクリックしましょう。
設定はヘタにいじると自分がログインできない事態になるので、初期設定のままでOKです。
ただ、ワードプレスのログインURLが変更になっているので、確認してお気に入りに入れておく必要があります。
『SiteGuard』の『ログインページ変更』をクリックすると、変更後のログインページ名が表示されています。
もし独自のログインページ名にしたかったら、自分で名前をつけることができます。
『管理者ページからログインページへリダイレクトしない』にチェックをいれます。
『変更を保存』をクリックします。
変更後のログインページは、忘れないようにお気に入りに入れておきましょう。(自分のログインページにたどり着けなくなります)
ちなみに元々のログインページにアクセスすると次のように表示されます。
また、もし変更後のログインページにたどり着いたとしても次のように表示されます。
画像認証機能が追加されています。
セキュリティ対策がより強固になりましたね。
バックアップのプラグインを入れる
バックアップは必ずとっておきましょう。
なにか問題が起きても、バックアップがあれば戻すことができます。
バックアップのプラグインは『 BackWPup 』を使いましょう。
こちらで詳しく解説しています
≫【BackWPup】WordPressのバックアップの取り方
使わないプラグイン削除
プラグインの数が多いと、サイトの表示速度が遅くなります。
また、プラグイン経由でのハッキングの可能性もあります。
使わないプラグインは、セキュリティ的にもリスクがありますので、削除しましょう。
wp-config.phpファイルへのアクセス禁止設定(上級者向け)
『wp-config.php』ファイルへのアクセス禁止設定という方法があります。
『wp-config.php』ファイルには、WordPressのデータや設定を保存しているMySQL(データベース)にアクセスするときに使うIDやパスワードなどの情報が書かれています。
他人に見られてはいけない、とても大事なファイルなので、そこへのアクセスを禁止する設定方法です。
少しむずかしい上級者向けの設定ですので、初心者はやらなくて大丈夫です。
≫(参考サイト)wp-config.phpへのアクセスを制限する
まとめ:ワードプレスを使うならセキュリティ対策は必須
ワードプレスのセキュリティ対策をまとめました。
初期設定のままだと、ログインページもログインIDもカンタンに見られる状態になっていることがおわかりいただけたでしょうか?
パスワードも「たくさんあって覚えられないから」と、他のものと同じにしたり、カンタンなものにしていると危険です。
特に初心者のうちは、サイト運営に慣れないことも多く、初期設定のままにしがちです。
ワードプレスを使うならセキュリティ対策は必須!
手順通り行えばカンタンに対策できますので、ぜひこの記事を見ながらやってみてくださいね。
WordPress初期設定をイチから知りたい方はコチラの記事をどうぞ。