ホーム > サイト構築情報 > 【WordPress】セキュリティをさらに強化するための11の対策

【WordPress】セキュリティをさらに強化するための11の対策

shutterstock_82383217
WordPressは世界的に使われているとても便利なCMSですが、それだけにハッキングなどの被害に遭う危険性も高いと言えます。セキュリティ被害に遭うと、自社だけでなくお客さまやサイトを訪問してくれたユーザーに迷惑をかけてしまうかもしれません。ホームページを運営しているなら、セキュリティ対策はしっかりと行っておきましょう。

本記事ではWordPressにフォーカスして、セキュリティを向上させる対策をご紹介します。複数の施策を組み合わせることで、ホームページの安全性は格段に高まります。まだ取り組んでいない対策があれば、ぜひ積極的にとり入れてください。

WordPressのセキュリティ対策まとめ

ユーザー管理

ユーザー権限は適切につける

WordPressには、ユーザー権限が5種類あります。WordPressを作成した時にできる最初のユーザーは、全ての機能が使える「管理者」です。他にも「編集者」や「投稿者」「寄稿者」「購読者」があり、それぞれ使える機能が決められています。

ユーザーを作成する時は、ユーザー権限を適切につけるようにしてください。具体的には、必要最低限の機能を持つ権限を設定するのです。記事を公開することがないユーザーを、公開のできる「編集者」や「投稿者」にする必要はありませんよね?

不要な機能は使えないよう、適切にユーザー権限をつけるようにしましょう。

必要ないユーザーは削除する

WordPressサイトを管理していると、だんだんとユーザーが増えていってしまうものです。使っていないユーザーも出てくるはず。必要なくなったユーザーは、定期的に削除するようにしましょう。不要なユーザーを放置しておくことは、セキュリティを考えると危険です。

ログインパスワードは予想されにくいものにする

ログインパスワードは予想が難しいものにしてください。英数字や大文字小文字、記号を織り交ぜて、できるだけ複雑な文字列にします。パスワードジェネレーターなどのツールを使ってもいいでしょう。

ログイン/管理画面

画像認証(キャプチャ)をとり入れる

ログイン画面に画像認証をとり入れることで、セキュリティを大幅に向上させることができます。少し手間は増えますが、ブルートフォースアタック(総当たり攻撃)などのハッキングを防ぐことができるのです。「SiteGuard WP Plugin」などのプラグインで導入できます。

二段階認証を導入する

二段階認証も、ログイン時のセキュリティを向上させる有効な手段です。「Google Authenticator」などのプラグインを使えば簡単に導入できるので、検討してみてください。

管理画面のURLを変更する

デフォルトだと、URLの末尾に「/wp-login.php」とつければ誰でもログイン画面にアクセスできてしまいます。ユーザーIDとパスワードがわからなければ、基本的にはログインはされないはずです。ですが、ログイン画面が見えてしまっている時点で、危険性は高いと考えていいでしょう。

「SiteGuard WP Plugin」や「All In One WP Security & Firewall」などのプラグインで、管理画面のURLを変更することができます。

アクセス制限をする

管理画面へのアクセス制限をすることで、悪意のあるユーザーからのアクセスを防ぐことができます。

簡単にアクセスが制限できる、基本認証(ベーシック認証)などの方法がいいでしょう。ID・パスワードを入力する手間がありますが、簡易的にアクセスを制限できるのでおすすめです。

設定ファイル/データベース

wp-config.phpのパーミッションを確認する

wp-config.phpとは、WordPressサイトの重要な設定情報が書き込まれているファイルのこと。2013年に発生した、ロリポップレンタルサーバーの大規模ハッキング事件を覚えていますでしょうか?これは、wp-config.phpファイルのパーミッション(アクセス権)が正しくされていなかったことが主要な原因でした。

wp-config.phpのパーミッションは、管理者のみが閲覧可能な「400」などにしておくとよいでしょう。

データベースのプレフィックスを変更する

プレフィックスをご存じでしょうか?これは、データベースに作成されているテーブルの先頭につく、文字列のことです。デフォルトでは「wp_」というプレフィックスがついているかと思いますが、これを任意の文字列に変更しておくことで危険を減らせます。

プレフィックスの変更は、「Acunetix WP Security」などのプラグインを使うことで実施できます。なおプレフィックスの変更を行う時は、必ずバックアップを取ってから行うようにしてください。

その他

アップデートは欠かさず行う

WordPress本体やプラグイン、テーマのアップデートは、忘れずに行うようにしましょう。こういったアップデートには、セキュリティ対策の機能が含まれている場合が多くあります。古いバージョンにはセキュリティ上の欠点が含まれている可能性もあるので、欠かさずアップデートするようにしてください。

readme.htmlを削除しておく

WordPressをインストールすると、自動でreadme.htmlというファイルが作成されます。これはWordPressのバージョンなどの基本情報が記載されているファイルなのですが、第三者にバージョン情報が丸見えになってしまいます。特に必要がないので、削除してしまいましょう。

あとがき

ご紹介した内容は、プログラミングの知識がなくても実施できます。プラグインを使えば簡単に導入できる対策も多いので、積極的に導入していっていただければと思います。