「WordPressはセキュリティに弱い」と言われることがあります。
WordPress自体がセキュリティに弱いというのではなく、世界中の多くのWebサイト(ホームぺージ)で使われているという点で、ハッカーに標的にされやすいという側面があります。
ですが、適切な対策を講じることで、安全面の強化を図ることができます。
様々な対策がありますが、今回はその中でも基本的な対策とおすすめのプラグインをご紹介いたします。
※プラグインとはWordPressの機能を追加して使いやすくするツールのことです
WordPressについてはこちらのページでご紹介しています。
→『WordPressについて』
WordPressのセキュリティを強化する方法
- 最新のWordPressを使う
- テーマを更新する
- プラグインの更新・削除
- パスワードを複雑化する
- ログインページのURLを変える
- ユーザー名を非公開にする
- おすすめプラグイン・SiteGuard WP Plugin
ひとつずつご紹介していきます。
1.最新のWordPressを使う
WordPressは常に改良されていて、定期的に最新バージョンが公開されます。
機能面の改良だけでなく、不正アクセスに対する脆弱性の改善もされるので、最新のWordPressにアップデートすることは、セキュリティ対策として必須です。
ちなみに現時点(2022年8月3日時点)の最新バージョンは6.0.1です。
2.テーマを更新する
WordPressを使ったWebサイトはテーマを使用して作られます。
自分で構築したオリジナルのテーマではなく、テーマ制作会社から購入あるいは無料でダウンロードしたテーマは、WordPress同様、不具合や脆弱性に対しての改良が行われていて、その都度バージョンアップされたものが公開されます。
使用しているテーマを常に最新版に更新しておくことも、セキュリティ対策の基本といえます。
※テーマとはWordPressでWebサイトを作るときに用いるテンプレートのことです
3.プラグインの更新・削除
プラグインもテーマ同様に改良されてバージョンアップが行われますので、常に最新版に更新しておくことが大切です。
また、インストールしていても使用していないプラグインがあれば停止ではなく、できれば削除しておくのがおすすめです。有効化していなくてもWordPress内にはデータが存在している状態なので、ハッキングの可能性もあり、削除しておくほうが安全です。
1.2.3の対策で共通する更新作業を行う時は、データのバックアップを取っておくことが必須です。更新作業やバックアップには多少の専門知識が必要になることもあります。PC操作が不得手でご不安な方はホームページ制作を依頼した業者さんや専門家にお任せすると安心かもしれません。
4.パスワードを複雑化する
WordPressサイトの入口である管理画面へのログインにはパスワードを使用します。
このパスワードが覚えやすく簡単なものだと、推測されやすく非常に危険です。
セキュリティ対策として複雑なパスワードを設定しておくことがおすすめです。
さらに定期的にパスワードを変更するとより安心です。
パスワードを作るときに迷ったら、自動生成してくれるサイトがあります。
LUFTTOOLS (ルフトツールズ)
https://www.luft.co.jp/cgi
無料でお好みのパスワードを生成してくれるのでとても便利です。ぜひ活用してみてください。
5.ログインページのURLを変える
WordPressサイトは管理画面から入ります。その入口となるログインページのURLですが、実はドメイン名の後ろの文字列が共通なんです。
https://ドメイン名/wp-admin
https://ドメイン名/wp-login.php
https://ドメイン名/login
などと入力すると、管理画面へのログインページが表示されます。
つまり、誰でもログインページにアクセスできるということです。
自分のWordPressサイトのログインURLを忘れてしまった時や分からなくなった時には、共通していることは一見便利とも言えます。
ですが、第三者による不正なログインを防ぐためにも、できればURLを変えてアクセスされにくくするほうが安全面も強化できます。
6.ユーザー名を非公開にする
管理画面へのログインにはユーザー名が必要です。そのユーザー名は注意していないとデフォルトではサイト上に表示されるので、誰でも知ることができてしまいます。ユーザー名を非表示にする二つの対策をご紹介します。
投稿者名を変える
ブログなどの記事投稿の際に表示される投稿者名がユーザー名と同じ設定にしている場合は、投稿者名を変更しておくことをおすすめします。
変更の仕方は次の通りです。
- ユーザー一覧から該当ユーザーの「編集」をクリックします
- プロフィールページの「ニックネーム(必須)」に任意のニックネーム(ユーザー名と別の名前)を入力します
- 「ブログ上の表示名」でニックネームと同じ名前を選択します
これで、ユーザー名とは別の投稿者名を設定でき、ユーザー名が推測されにくくなります。
ユーザー名を非公開にする
WordPressサイトは初期設定のままだと、URLのドメイン名の後ろに /?author=1 と入力することで、URLバーにユーザー名が表示されます。
https://ドメイン名/?author=1
ログインページのURLを変える対策はしていても、ユーザー名を非公開にしていないサイトは案外多いです。ログインにはユーザー名とパスワードの二つが必要ですが、そのうちの一つであるユーザー名はできれば非公開にしたほうがより安全です。
後ほど、プラグインでの対策をご紹介します。
7.おすすめプラグイン・SiteGuard WP Plugin
5.6の両方の対策に対応できるプラグインがあります。
SiteGuard WP Plugin(サイトガード WP プラグイン)
jp-secure.com
簡単な設定方法をご説明します。
- 「プラグインを追加」画面のキーワード欄に SiteGuard WP Plugin と入力します
- 表示された SiteGuard WP Plugin の「今すぐインストール」をクリックします
- インストール後に表示される「有効化」をクリックします
プラグインをインストールして有効化すると、すぐにログインページのURLが変更され、プラグイン画面に次のように表示されます。
「ログインページURLが変更されました」
新しいログインページURLをブックマークしてください
「新しいログインページURL」部分をクリックし、新しいURLを忘れずにメモしておきます。
このURLは次の【ログインページ変更】設定で任意のものに変更できます。
ログインページ変更
SiteGuard WP Pluginのダッシュボードから「ログインページ変更」をクリックすると、ログインページのURLを変更するための設定ページが表示されます。
- 設定をONにします
- ドメイン名の後ろに任意の文字列を入力します
- 「管理者ページからログインページへリダイレクトしない」にチェックをいれます
- 「変更を保存」をクリックします
設定した新しいログインページのURLをブックマーク、メモしておきます。
ユーザー名漏えい防御
SiteGuard WP Pluginのダッシュボードから「ユーザー名漏えい防御」をクリックすると、ユーザー名の漏えいを防御するための設定ページが表示されます。
- 設定をONにします
- 「変更を保存」をクリックします
その他の機能例
SiteGuard WP Pluginには他にも様々な対策に対応した機能が充実しています。
画像認証
外部からの不正ログインやコメントスパムに対応した画像による認証機能です。
画像認証の文字は英数字とひらがなが設定できますが、基本的に日本語のわかる人しか読み書きのできないひらがなでの設定がおすすめです。
ログインロック
不正ログインを防ぐための機能で、ログインの回数や時間の長さなどを設定でき、失敗したらロックをかけることができます。
ログインに繰り返し失敗する接続元からのアクセスを禁止するので、機械的な攻撃にも有効です。
ログインアラート
ログインがあるとメールで通知してくれる機能で、不明なログインにはすぐに対応することができます。
更新通知
WordPress、テーマ、プラグインの更新が必要になった場合に、管理者にメールで通知してくれる便利な機能です。
他にもまだまだあるので、よかったらチェックしてみてください。SiteGuard WP Pluginは日本の企業が開発したプラグインなので、日本語対応で分かりやすく使いやすい点も安心して利用できるのでおすすめです。
※公式サイトでは機能の詳細や設定についても分かりやすく掲載されています ↓
SiteGuard WP Plugin – WebセキュリティのEGセキュアソリューションズ (jp-secure.com)
まとめ
WordPressのセキュリティを強化する方法は様々ありますが、基本的な対策をしっかりすることと、便利で有効なプラグインを活用することで、WordPressサイトを安全に運営していくことができます。
yu.DesignではWordPressを使ったWebサイト制作を承っております。
セキュリティを考慮した機能の実装や運営上での対策もサポートいたしておりますので、
お気軽にお申し付けくださいませ。