こんにちは。
世界中の人に使われているWordPressですが、セキュリティ対策は自己責任になりますので、しっかり対応しておきたいところ。
もし、自分のWordPressに他人が不正にログインして、ブログが削除されたり、悪質なウェブサイトに書き換えられたりしたら最悪です。
誰に相談します?
そのようなことにならないように、WordPressをインストールしたらすぐに行っておいた方がいい基本のセキュリティ対策をご紹介します。
1.WordPressの初期設定/知らないと後悔する基本のセキュリティ対策
1ー1.WordPressのセキュリティリスク
普段あまり意識しませんが、WordPressはセキュリティリスクを紹介します。
WordPressはOSS(オープンソースソフトウェア)です。
OSSは、プログラムのソースコードが公開されています。誰でも自由にソースコードを見ることができます。
なので、少なくともWordPressのソースコードを理解できる人だったら、セキュリティの欠陥(脆弱性)を見つけ出すことが可能です。
ということは、悪い人がWordPressの欠陥を見つけたら、その欠陥を利用して何か悪いことをすることもできそうですよね。
また、下記の記事にあるように、現在、世界のウェブサイトのほぼ4割はWordPressで作られています。
https://w3techs.com/technologies/details/cm-wordpress
ということは、狙う方から見れば標的がとても多いってことなので、悪いことを考えている人は世界中に結構いるのではないかと思います。。
なので、セキュリティ対策の甘いサイトは、ターゲットにされるリスクも高い、のではないでしょうか。
1ー2.WordPressのセキュリティ対策
1ー2ー1.独自SSLの設定
ということで、基本のセキュリティ対策、まず一つ目。
独自SSLの設定です。
独自SSLは、WordPressのセキュリティ対策とは違うのですが、独自SSLを設定しておくと、ウェブサイトを訪問してきたユーザのPCとサーバとの間でやり取りされるデータが暗号化されるようになります。
そのため、データの盗聴や改ざんが防止できるので、ウェブサイトの安全性を高めることができるようになります。
独自SSLを設定すると、ウェブサイトのURLがhttp://~からhttps://~に変わるため、独自SSLの設定をブログ運用開始後に行った場合、それ以前に書いた記事のURLや、写真などのURLをすべてhttpからhppsに変更する作業が必要になります。
そのため、WordPressをインストールしたら、ブログを始める前に独自SSLの設定を行っておいた方が楽です。
現在は、どのサーバであっても独自SSLは無料で利用できます。
ロリポップの方は下記の記事にまとめたので、独自SSLを設定してみてください。
ロリポップ以外のサーバを使っている方は、各会社のマニュアルなどを参考に独自SSLの設定を行ってください。
1ー2ー2.パスワード強化
1ー2ー2ー1.パスワードの重要性
次は、パスワードです。
WordPressは、ログイン画面で「ユーザ名」と「パスワード」の2つを入力するようになっています。普通の人は「両方」秘密になっていれば、他人が勝手にログインするなんて、まずできないと安心していると思います。
ところが、下記の公式記事のように、WordPressは「ユーザ名」を隠すようには作られていません。このため、他人のユーザ名であっても、調べれば誰でも分かってしまうのです(後ほど説明しますが、ユーザ名を隠す方法はあります)。
さらに、WordPressでは、ログイン画面のURLが下記のように仕様で決められているので、誰でも他人のWordPressのログイン画面を自分のPCに表示することが可能です。
そのため、実はWordPressは、パスワード1つだけで不正ログインを防いでいるのです。
なので、パスワードは超重要なのです。
1ー2ー2ー2.パスワード変更の方法
ということなので、WordPressを使う場合は、パスワードをしっかり強化しましょう。
不安な方は、下記のようにして、安全性の高いパスワードに変更していただくといいと思います。
パスワードを変更する場合は、WordPressの「ユーザー」>「ユーザー一覧」をクリック。
下記のような画面が表示されます。そうしたら、パスワードを変更したいユーザ名のところの「編集」をクリック。
あるいは「ユーザー」>「プロフィール」をクリックしてもOK。
下記のような画面が表示されます。「パスワードを生成する」をクリック。
下記のような画面になります。
新しいパスワードを入力して、「プロフィールを更新」を押してください。
これでパスワードが変更されました。新しいパスワードを忘れないようにして下さい。
1ー2ー3.WordPressやプラグイン、テーマの最新化
次3つ目です。
WordPressやプラグイン、テーマのバージョン最新化も重要なセキュリティ対策です。
古いバージョンのまま使っている場合は、最新バージョンに更新してください。
古いバージョンでセキュリティ上の脆弱性が見つかっている場合は、そこを足掛かりにして不正に侵入される可能性があるからです。
1ー2ー4.不要なプラグイン、テーマの削除
4つ目。
これも似ていますが、使わずに放置している不要なプラグイン、テーマの脆弱性を突いて不正に侵入される可能性がありますので、削除してください。
プラグイン、テーマのいずれも、必要になったらいつでもインストールできますので。
ちなみに、WordPressの場合、不要なテーマを削除する方法が少しわかりにくいので、下記の記事にまとめてみました。一度見てみてください。
【WordPress】使っていないテーマのファイルを削除する方法
1ー2ー5.SiteGuard WP Pluginプラグイン
次5個目。セキュリティ対策用のプラグインです。
WordPressにインストールしておいた方がいいプラグインがあります。WordPressを不正ログインから守ってくれるSiteGuard WP Pluginプラグインです。
SiteGuard WP Pluginプラグインは、第三者からの不正ログインを防止するためのいろいろな機能をもったプラグインです。そのうちの代表的な機能が、
- ログイン画面のURLを変更
- ログイン画面に画像認証を追加
- 短時間に何度かログイン失敗するとブロック
です。
順番に説明します。
1ー2ー5-1.ログイン画面のURLを変更
先ほど、1ー2ー2ー1で説明したように、WordPressのログイン画面のURLは仕様で決まっているので、知らない人のログイン画面も簡単に自分のPCに表示させることができます。
SiteGuard WP Pluginをインストールすると、ログイン画面のURLを変更することができます。
ログイン画面のURLに5桁の乱数を追加することで変更するか、お好きなURLに変更することができます。
これで、自分のログイン画面が知らない人から見つけられないようにできますので、不正ログインの可能性はかなり低くなります。
ただし、注意点が2つあります。
一つ目は、変更したログイン画面のURLを忘れてしまうと、自分もログインができなくなります。そのため、SiteGuard WP Pluginをインストールしてログイン画面のURLを変更したら、すぐに新しいURLをブックマークに登録しておいてください。
二つ目は、SiteGuard WP Pluginをインストールしても、標準の設定のままでは、管理者画面のURL(http(s)://独自ドメイン/wp-admin/)にアクセスすると、新しいログイン画面にリダイレクトされてしまいます。
管理者画面のURLはWordPressの仕様で決まっていて、誰でもわかってしまいますので、これではログイン画面のURLを変更した意味がないです。
そのため、下記のようにして、リダイレクトが行われないように設定を行っておいてください。
まず、WordPressの「SiteGuard」>「ダッシュボード」から、「ログインページ変更」を選択。
下記の画面が表示されます。
そしてこの画面の「管理者ページからログインページへリダイレクトしない」にチェックを入れて、「変更を保存」を押してください。
これで、管理者画面からログイン画面にリダイレクトされなくなります。
WordPressのログイン画面が見つからないようにできれば、安全性は高まりそうですね。
1ー2ー5-2.ログイン時に画像認証を追加
SiteGuard WP Pluginをインストールすると、WordPressのログイン画面に画像認証を追加できます。
こんな感じです。
画像認証は「ひらがな」か「英数字」を選べます。不要な場合はOFFにすることもできます。
「ひらがな」の画像認証は、海外からの不正ログイン防止に効果があるはずです。
1ー2ー5-3.短時間に何度かログイン失敗するとブロック
標準では「5秒間」に「3回」ログイン失敗すると「1分間」ログインをブロックしますが、設定で変更することもできます。
3回の試行でパスワードを突破できなければ1分間待たされることになるので、侵入者はあきらめるのではないでしょうか。
SiteGuard WP Pluginプラグインは、他にも不正ログインを防止する機能が入っていますので、かなり強力なセキュリティ対策になると思います。
1ー2ー6.2段階認証
SiteGuard WP Pluginでも心配な方は、2段階認証を入れてみてください。
2段階認証は、Wordfenceプラグインや、miniOrangeプラグインをインストールすることで無料で導入可能です。
2段階認証を導入すれば、たとえ、ログイン画面のURLとユーザ名とパスワードがごっそり侵入者に特定されたとしても、まだ、30秒ごとにスマホに表示されるワンタイムパスワードが守ってくれるので安心です。
1ー2ー7.データのバックアップ
バックアップは、WordPressの初期設定ではないのでここでは触れませんが、万が一、WordPressに侵入されてしまった場合や、何らかの理由でデータが消失してしまった場合のために、きちんとバックアップを取っておくことは大切です。
1ー2ー8.ユーザ名を隠す方法
先ほど少し述べましたが、WordPressは、管理画面にログインする際に入力する「ユーザ名」を隠すような仕様になっていません。
WordPressは元々そういう仕様なので仕方がないのですが、そうは言っても、少しでも「ユーザ名」を他人に知られにくいようにはしておきたいところです。
「ユーザ名」を他人に知られにくくする方法がありますので、下記の記事を参考に設定してみてください。
2.WordPressの初期設定/基本のセキュリティ対策のまとめ
WordPressでは、セキュリティ対策が非常に重要です。
WordPressには、他にも必要なセキュリティ対策はありますが、まずは、この記事で取り上げたセキュリティ対策を優先して行ってください。
そうしたら、続いてWordPressの初期設定になります。
WordPressの初期設定については、こちらの記事にまとめました。
ちなみにWordPressを立ち上げるまでの全体の流れを確認したい方は、こちらの記事を見てみてください。