ホーム > サイト構築情報 > 【WordPress】セキュリティをさらに強化するための11の対策

【WordPress】セキュリティをさらに強化するための11の対策

サイト構築

投稿日：2016.05.20

shutterstock_82383217
WordPressは世界的に使われているとても便利なCMSですが、それだけにハッキングなどの被害に遭う危険性も高いと言えます。セキュリティ被害に遭うと、自社だけでなくお客さまやサイトを訪問してくれたユーザーに迷惑をかけてしまうかもしれません。ホームページを運営しているなら、セキュリティ対策はしっかりと行っておきましょう。

本記事ではWordPressにフォーカスして、セキュリティを向上させる対策をご紹介します。複数の施策を組み合わせることで、ホームページの安全性は格段に高まります。まだ取り組んでいない対策があれば、ぜひ積極的にとり入れてください。

1 WordPressのセキュリティ対策まとめ
2 あとがき

WordPressのセキュリティ対策まとめ

ユーザー管理

ユーザー権限は適切につける

WordPressには、ユーザー権限が5種類あります。WordPressを作成した時にできる最初のユーザーは、全ての機能が使える「管理者」です。他にも「編集者」や「投稿者」「寄稿者」「購読者」があり、それぞれ使える機能が決められています。

ユーザーを作成する時は、ユーザー権限を適切につけるようにしてください。具体的には、必要最低限の機能を持つ権限を設定するのです。記事を公開することがないユーザーを、公開のできる「編集者」や「投稿者」にする必要はありませんよね？

不要な機能は使えないよう、適切にユーザー権限をつけるようにしましょう。

必要ないユーザーは削除する

WordPressサイトを管理していると、だんだんとユーザーが増えていってしまうものです。使っていないユーザーも出てくるはず。必要なくなったユーザーは、定期的に削除するようにしましょう。不要なユーザーを放置しておくことは、セキュリティを考えると危険です。

ログインパスワードは予想されにくいものにする

ログインパスワードは予想が難しいものにしてください。英数字や大文字小文字、記号を織り交ぜて、できるだけ複雑な文字列にします。パスワードジェネレーターなどのツールを使ってもいいでしょう。

ログイン/管理画面

画像認証（キャプチャ）をとり入れる

ログイン画面に画像認証をとり入れることで、セキュリティを大幅に向上させることができます。少し手間は増えますが、ブルートフォースアタック（総当たり攻撃）などのハッキングを防ぐことができるのです。「SiteGuard WP Plugin」などのプラグインで導入できます。

二段階認証を導入する

二段階認証も、ログイン時のセキュリティを向上させる有効な手段です。「Google Authenticator」などのプラグインを使えば簡単に導入できるので、検討してみてください。

管理画面のURLを変更する

デフォルトだと、URLの末尾に「/wp-login.php」とつければ誰でもログイン画面にアクセスできてしまいます。ユーザーIDとパスワードがわからなければ、基本的にはログインはされないはずです。ですが、ログイン画面が見えてしまっている時点で、危険性は高いと考えていいでしょう。

「SiteGuard WP Plugin」や「All In One WP Security & Firewall」などのプラグインで、管理画面のURLを変更することができます。

アクセス制限をする

管理画面へのアクセス制限をすることで、悪意のあるユーザーからのアクセスを防ぐことができます。

簡単にアクセスが制限できる、基本認証（ベーシック認証）などの方法がいいでしょう。ID・パスワードを入力する手間がありますが、簡易的にアクセスを制限できるのでおすすめです。

設定ファイル/データベース

wp-config.phpのパーミッションを確認する

wp-config.phpとは、WordPressサイトの重要な設定情報が書き込まれているファイルのこと。2013年に発生した、ロリポップレンタルサーバーの大規模ハッキング事件を覚えていますでしょうか？これは、wp-config.phpファイルのパーミッション（アクセス権）が正しくされていなかったことが主要な原因でした。

wp-config.phpのパーミッションは、管理者のみが閲覧可能な「400」などにしておくとよいでしょう。