WordPressはブラウザ上で簡単にWebサイトを管理することができ、多くのWebサイトがWordPressを使って公開されていますが、一方でアカウントが他の人に知られてしまうと誰でも簡単にアクセスできてしまうというリスクもあります。
WordPressにログインすると、ページの内容を改変したりWebサイトのコンテンツをすべて削除することができてしまうので、セキュリティ面には注意が必要です。
今回は、WordPressでWebサイトを公開する時に気をつけておきたいセキュリティ面の注意点をご紹介していきたいと思います。
INDEX
WordPressのセキュリティ強化のポイント
WordPressは便利に使う事ができる半面、IDとパスワードが第三者にバレてしまうとページの内容を改変したりWebサイトのコンテンツをすべて削除することができてしまうので、セキュリティ面には注意が必要です。
そこで、WordPressのセキュリティを強化するために注意しておきたいポイントを下記の10個にまとめました。
- SiteGuardを使ってセキュリティを強化する
- 定期的にバックアップを行う
- WordPressのバージョンをアップデートする
- 不要なプラグインは削除する
- テーマは公式テーマか人気テーマを選ぶ
- むやみにテーマを編集しない
- アカウント情報を変更する
- アカウントを増やしすぎない
- wp-config.phpをアクセス不可にする
- その他の細かなポイント
では、1つずつ詳しくご説明していきたいと思います。
1. SiteGuardを使ってセキュリティを強化する
WordPressはとても複雑な機能を持ったツールであるため、セキュリティ対策をすべて自分で行おうと思うと少し手間がかかります。
そこでおすすめなのが、「SiteGuard」というプラグインです。SiteGuardを使うと、様々な角度からWordPressのセキュリティ強化を行うことができます。
具体的には、下記のようなセキュリティ面の設定を行うことが可能です。
- 管理ページアクセス制限
- ログインページ変更
- 画像認証
- ログイン詳細エラーメッセージの無効化
- ログインロック
- ログインアラート
- フェールワンス
- XMLRPC防御
- 更新通知
- WAFチューニングサポート
- 詳細設定
- ログイン履歴
少し難しいものも含まれていますが、インストールするだけで簡単にセキュリティを強化することができるので、初心者の方にはとてもおすすめです。
2. 定期的にバックアップを行う
予期せぬ出来事によってWordPressのデータが消えてしまった場合でも、バックアップを残しておけば復旧することが可能です。反対に、バックアップが無ければそれまでの更新内容がすべて消えてしまうため、もとに戻すためにはまた0から作っていかなければなりません。
WordPressのバックアップを取るためには、主に下記のような方法があります。
- プラグインでバックアップを行う
- サーバーのバックアップを行う
プラグインでバックアップを行う場合は、「BackWPup」というプラグインが人気です。プラグイン名で検索すると使い方を紹介しているページがいくつも見つかるので、初心者の方でも問題なくバックアップを残せるはずです。
また、レンタルサーバーによっては、簡単に行える自動バックアップ機能を提供している場合があるのでそれを活用するのがおすすめです。
3. WordPressのバージョンをアップデートする
WordPressはバージョンによって脆弱性が含まれている場合があり、常に最新のバージョンに保つことによってセキュリティを高めることが重要です。
WordPress5.0からエディタのUIが変更され、それを使いたくないからアップデートしないという人も多いかもしれませんが、いつまでも古いバージョンのまま使用するのもセキュリティ面のリスクが高まってしまいます。
どうしても古いエディタのUIを使いたいという人は、バージョン5.0にアップデートした後で、「Disable Gutenberg」というプラグインを使えばこれまでのエディタを引き続き使用することができます。
メジャーアップデートの場合は古いプラグインが使えなくなるというリスクがありますが、マイナーアップデートであればプラグインが使えなくなるということはあまりありません。なるべく最新バージョンのWordPressを利用するようにしましょう。
4. 不要なプラグインは削除する
プラグインを利用することで簡単に機能を追加することができ、ついついたくさん利用してしまいがちですが、プラグインが増えることによってセキュリティが低下してしまう場合があります。
特にアップデートされていない古いプラグインや、利用者が少ないプラグインは問題が潜んでいる可能性が高いため、初心者の方はしっかりとアップデートが行われており、たくさんの人が使っているプラグイン以外はあまり使わない方がいいでしょう。
使用していないプラグインは削除して、プラグインのアップデートが公開されていればこまめにアップデートを反映させましょう。古いバージョンのままプラグインを使用することは、不具合の原因になるだけでなくセキュリティ面のリスクが高まってしまう原因にもなります。
5. テーマは公式テーマか人気テーマを選ぶ
WordPressはたくさんのテーマが公開されており、デザインや機能を簡単にカスタマイズすることができるというメリットの一方で、しっかりと管理が行き届いていないテーマもたくさん公開されたままになっています。
テーマによっては、悪意がなくてもセキュリティ上の問題を抱えている可能性があり、テーマ選びにも注意が必要です。
公式テーマ、もしくは人気テーマであれば基本的にセキュリティ面の問題がほとんどないので、初心者の方はそのようなテーマを選ぶようにしましょう。
6. むやみにテーマを編集しない
WordPressのテーマを編集することによって、デザインを変更したり機能を追加したり、自由にカスタマイズすることが可能です。これはWordPressが人気ツールである大きな特徴ですが、テーマの編集を行うことによって意図せぬ不具合が発生したり、セキュリティ面で問題が生まれてしまう可能性があります。
Webサイトの記事上で公開されているコードをコピペしてカスタマイズを色々と行っているという人も多いかもしれませんが、なるべくテーマの編集は行わない方がセキュリティの観点からは望ましいです。
どうしてもテーマを編集しなければならない場合があるかもしれませんが、細心の注意を払って編集を行うようにしましょう。
7. アカウント情報を変更する
WordPressのログインアカウントのユーザ名はデフォルトで「admin」となっており、このまま使用し続けると第三者によって管理画面にアクセスされてしまうリスクが高くなってしまいます。必ずユーザー名は変更して使用するようにしましょう。
また、パスワードも簡単なパスワードにしてしまうとユーザー名がバレた時にログインを突破されてしまいやすくなります。8文字以上の英数記号を含めたパスワードにし、なるべく推測されないようなものを設定しておきましょう。
そして、もう一点注意しなければならないのがWordPressの投稿者アーカイブページです。このページではユーザーのアカウント名がslugとしてURLに表示されており、これだとログインIDを外部に公開しているようなものなので、放置しておくのは危険です。
「Edit Author Slug」というプラグインを使用すると、投稿者アーカイブのURLに使用されるslugを編集することができるので、ユーザー名がWeb上で公開されることを防ぐことができます。
8. アカウントの管理を強化する
複数人でWordPressのサイトを管理している場合、複数のアカウントを発行してそれぞれが作業を行うというケースがあると思います。
複数のアカウントで更新することは問題ありませんが、下記の内容に注意しておきましょう。
- 1つのアカウントを複数人で使用しない
- 不必要にアカウントを増やしすぎない
- 管理者権限のアカウントは使わない
アカウントの数が増えすぎてしまうと、管理が疎かになってしまいセキュリティ的にあまり良くありません。アカウントを発行する数はなるべく減らし、自分の管理が行き届くように心がけておきましょう。
また、管理者権限のアカウントはあらゆる操作を行えてしまうため、管理者権限のアカウントを発行するのは限られたメンバーだけにしておき、それ以外は「投稿者」や「編集者」など目的に合わせた権限グループを付与して運営するようにした方がいいですね。
9. wp-config.phpをアクセス不可にする
WordPressには重要なファイルがいくつか存在しており、それらが流出してしまうとデータベースのIDやパスワードを知られてしまうため、重要なファイルには外部からアクセスできないように「パーミッション」を正しく設定しておきましょう。
- wp-config.phpのファイル属性を400に設定する
- .htaccessファイルで設定する
.htacessファイルでwp-config.phpへのアクセスを制限するためには、wp-config.phpと同じディレクトリに.htacessという名前でファイルを作成し、下記のように記述しておきます。
order allow,deny deny from all
.htaccessファイルを誤って設定してしまうとWebサイトが表示されなくなるなどの不具合が発生するため、編集する際は十分気をつけて自己責任で行ってください。
10. その他の細かなポイント
さらにセキュリティを高めたいという方は、下記のような対策を行っておくといいでしょう。
- XML-RPCを無効化する
- REST APIを無効化する
- Akismetでスパムコメント対策を行う
これらは必ずしも必要というわけではありませんが、気になる方は必要な対策を追加しておくことでセキュリティを強化する事が可能です。
まとめ
WordPressは便利に使用することができる反面、しっかりと管理しておかなければデータが消えてしまったりするリスクが潜んでいるため、セキュリティ面での対策をしっかりと行っておくことが重要です。
もちろん、ほとんどの人がこのような事態に陥ることはありませんが、そうなってしまってからでは手遅れです。必ず、セキュリティ面の対策をしっかりと行った上でWordPressを利用するようにしましょう。