WordPressはセキュリティが弱い?オススメの対策は6つ!

ホームページやウェブサイトを作るに当たって、WordPressを利用する企業は多いでしょう。

なぜならWordPressは、数あるソフトウェアの中でも”運用が簡単”であり、”初心者の方でも使いやすい”と言われているからです。

しかし使いやすい反面、”WordPressはセキュリティ面が弱い”と言われているのも事実。

そこで今回は、WordPressのセキュリティ対策を、プラグインも併せてお伝えします。

WordPressのセキュリティ面について

初心者にも使いやすいWordPressですが、セキュリティ面に関しては大きな期待ができません。

その理由として、”WordPressの利用者の急増”が大きく関わってきます。

【ホームページを作る人の4人に1人はWordPressを利用している】とも言われるほど、今やWordPressは日本だけでなく、世界中で利用者が増え続けています。

しかし、ホームページを攻撃するウイルスやサイバー攻撃側からすれば、利用者の少ないCMSよりも利用者の多いCMSの方が攻撃しやすいですよね?

つまり、WordPressは攻撃されやすいCMSというわけ。

もしWordPressで作った自社のホームページがサイバー攻撃されてしまうと、気づかぬ内に記事が書き換えられたり管理画面が開かなくなったりといった問題が発生します。

そういった問題が起こらないためには、”徹底したセキュリティ対策が必要”と言えるわけです。

WordPressのセキュリティ対策は6つ

WordPressのセキュリティ対策には、以下6つが挙げられます。

  1. ログインパスワードの更新する
  2. 使用していないプラグインやテーマを削除する
  3. 使用しているプラグインやテーマを最新のものにする
  4. WordPressの状態を”非表示”にする
  5. 定期的にバックアップを取っておく
  6. プラグインを利用する

対策1.ログインパスワードの更新する

最も重要なセキュリティ対策として、ログインパスワードを更新することが挙げられます。

ログインパスワードは、いわばホームページの鍵となるもの。

ずっと同じパスワードを使い続けていると、ハッカーによってパスワード情報が漏れてしまい、いつか不正ログインされてしまう可能性も十分考えられます。

したがって、ログインパスワードは定期的に新しいものへと書き換えた方が良いでしょう

なお、パスワードを設定するに当たって、ユーザー名と似たようなものにしたり自身の誕生日など、誰でも推測しやすいものはハッカーに狙われやすいので避け、出来るだけ複雑なものに設定しましょう。

対策2.使用していないプラグインやテーマを削除する

使用していないプラグインやテーマがあれば、なるべく削除しましょう。

ココで重要なことは、”削除すること”です。

よく、”削除”ではなく”無効化”のままにする方が居ますが、無効化だけでは完全に消えた訳ではないため、プラグインやテーマが攻撃されてしまう可能性があります。

プラグインやテーマの削除はWordPressの管理画面から出来るので、定期的にチェックし、使っていないと思ったらすぐに削除しておきましょう。

対策3.使用しているプラグインやテーマを最新のものにする

反対に、使用しているプラグインやテーマは最新の状態にしておきましょう

古いままのプラグインやテーマを利用していると、セキュリティが脆弱化する恐れがあります。

なお、WordPressには自動的にプラグインやテーマを更新してくれる機能がついているものの、アップデート次第ではセキュリティ面以外で改悪することも稀にあるため、WordPressの公式サイトでアップデート内容の確認することも、セキュリティ対策の観点からみても重要となってくるでしょう。

対策4.WordPressの状態を”非表示”にする

通常、WordPressはバージョン情報が表示されていますが、この表示を”非表示”にすることもセキュリティ対策の1つとして挙げられます。

というのも、バージョン情報が古いままだと「セキュリティ対策を怠っている」「管理が甘いユーザー」とハッカーに判断され、攻撃の対象となりやすいのです。

WordPressのバージョン情報を非表示にする方法は、function.phpに下記のコードを追加するだけ。

remove_action(‘wp_head’,’wp_generator’);

ただしファイル構築の知識があまりない場合、間違ったファイル変更をしてしまうと、ページが表示されなくなってしまう可能性もあるため注意しましょう。

なお、この対策はWordPressの情報を”常に最新のものにしておくこと前提の方法”なので、定期的にWordPressのバージョンをチェックしておくことも、セキュリティ対策として大切です。

対策5.定期的にバックアップを取っておく

WordPressのセキュリティ対策として、定期的にバックアップを取っておくことも挙げられます。

バックアップを取っておくことで、万が一「アップデートによる不具合」や「不正ログインによる記事の改ざん」が起こったとしても、バックアップの情報を元にサイトを修復することができます。

なお、WordPressのバックアップの方法には、「エックスサーバーなどのレンタルサーバー会社によるサービス」と「プラグイン」の2通りあります。

この内「エックスサーバーなどのレンタルサーバー会社によるサービス」の方が、特に難しい設定や方法はなく、レンタルサーバーを使っている最中に自動的にWordPressのバックアップがされるのでオススメです。

対策6.プラグインを利用する

WordPressには、セキュリティ対策に相応しいプラグインが沢山あります。

しかし一度に沢山のプラグインを導入してしまうと、データの容量がいっぱいになりサイト自体が重くなってしまうので、どれか1つだけ導入すると良いでしょう。

ココでは、【All In One WP Security & Firewall】というプラグインをオススメします。

(出典:https://ja.wordpress.org/plugins/all-in-one-wp-security-and-firewall/

【All In One WP Security & Firewall】は、WordPressのセキュリティ対策として世界中でインストールされているプラグインです。

【All In One WP Security & Firewall】内でできることは、以下の6つ。

  1. WordPress管理画面のログインページURLの変更
  2. データベースのセキュリティ対策
  3. 「.htaccess」ファイルへの外部からのアクセス拒否
  4. ログイン情報の入力にCAPTCHAを追加
  5. ファイルのアップロードサイズ制限
  6. スパムメール防止

ただしプラグインの設定が全て英語表記であるため、解読にはやや時間がかかってしまうかもしれません。

この点に抵抗がなければ、ぜひWordPressのセキュリティ対策のプラグインとして、導入してみてはいかがでしょうか。

WordPressのセキュリティー対策として特に入れておきたいプラグイン

上記で挙げたプラグイン【All In One WP Security & Firewall】以外に、WordPressのセキュリティー対策として、特に入れておきたいプラグインを紹介いたします。

そのプラグインとは、以下の2つ。

  • SiteGuard WP Plugin
  • Wordfence Security

おすすめプラグイン1.SiteGuard WP Plugin

SiteGuard WP Plugin

(出典:https://ja.wordpress.org/plugins/siteguard/

SiteGuard WP Plugin】とは、数あるWordPressのセキュリティー対策のプラグインなかでも、機能性が高い国産のプラグインです。

【SiteGuard WP Plugin】内でできることは、以下の5つ。

  1. ログインURLの変更
  2. ログイン試行制限
  3. ログイン時の画像認証
  4. ログイン履歴の確認
  5. ログインがあるとメールで通知

この5つは、必ず設定しておきましょう。

なお、この5つの設定以外に、可能であれば”XML-RPCの無効化”もおススメです。

XML-RPCを無効化にしなければ、DDoS攻撃を受けたり、適当な配列でログイン情報を打ち込んで不正にログインしようとするブルートフォースアタックをされたりする可能性が、大いに考えられます。

ちなみに以下の方法で、自身のWordPressサイトはXML-RPCが無効化になっているかどうかを、確認することが出来ます。

自分のサイトのURL/xmlrpc.php
⇒サイトURLの後ろに、「xmlrpc.php」を付けてアクセスしてみましょう。

XML-RPCが有効になっていれば、「XML-RPC server accepts POST requests only.」と表示されます。

もしXML-RPCが無効になっていれば、「Forbidden」もしくは「403サーバーエラー」と表示されるでしょう。

無効であれば、特に対策を取る必要はありません。

セキュリティー対策プラグインである【SiteGuard WP Plugin】をインストールしておくことで、悪質なやり方でログインしてこようとする不正ログインを未然に防げます。

もしWordPressでサイト構築を検討しているならば、【SiteGuard WP Plugin】は忘れずにインストールしましょう。

おすすめプラグイン2.Wordfence Security

Wordfence Security

(出典:https://ja.wordpress.org/plugins/wordfence/

先ほどの【SiteGuard WP Plugin】も、十分に機能性が高いプラグインですが、さらに機能性高いプラグインとして【Wordfence Security】も挙げられます。

その証拠として、WordPress研究チームに認められ、今では【Wordfence Security】の有効インストール数は、400万以上も超えるのだとか。

そんな【Wordfence Security】内でできることは、以下の4つ。

  1. マルウェア対策
  2. ログイン時のセキュリティー対策
  3. WAF(Web Application Firewall)
  4. 二要素認証

【Wordfence Security】で注目したいところは、1番目に挙げた、”マルウェア対策”。

マルウェア対策をすることで、悪質なファイルや不正URL等を検出してくれます。

つまり、WordPressにアクセスしたサイトが怪しいサイトでないかを、セキュリティが確認してくれるというわけです。

また、【Wordfence Security】を導入した際、”WAF”も設定しておきましょう。

WAFを設定しておくことで、情報窃盗や不正ログイン、さらにはサイバー攻撃から守ることができます。

もしエックスサーバー等のレンタルサーバーにて、予めWAFを設定しているなら、この作業は要りません。

なお【Wordfence Security】の最適化を図るために、バックアップを取っておくことがおススメです。

WordPressを利用するならセキュリティ対策を徹底しましょう。

WordPressは世界中で利用されているCMSですが、セキュリティ面はやや乏しいです。

もし、御社がWordPressでサイト構築を検討しているのであれば、この記事でご紹介したセキュリティ対策を取り、ウイルスやハッカーに狙われないようにしましょう。

しかし、なかなか自社でサイトを運用しながら保守するのは、難しいかもしれません。

そんな時は、弊社アンダーフロアにお任せください。

弊社では、サイト運用や保守のご依頼を随時承っております。

御社が作ったサイトだけに限らず、他者が作ったサイトでも、もちろん対応可能です。

サイト運用や保守にお困りであれば、小さなことでも構いません。

お気軽に弊社までお問い合わせください。

お問い合わせはコチラから