WordPressはセキュリティが弱い?オススメの対策は6つ!

ホームページやウェブサイトを作るに当たって、WordPressを利用する企業は多いでしょう。

なぜならWordPressは、数あるソフトウェアの中でも「運用が簡単」であり、初心者の方でも使いやすいと言われているからです。

しかし使いやすい反面、”WordPressはセキュリティ面が弱い”と言われているのも事実。

そこで今回は、WordPressのセキュリティ対策を、プラグインも併せてお伝えします。

WordPressのセキュリティ面について

初心者にも使いやすいWordPressですが、セキュリティ面に関しては大きな期待ができません。

その理由として、”WordPressの利用者の急増”が大きく関わってきます。

【ホームページを作る人の4人に1人はWordPressを利用している】とも言われるほど、今やWordPressは日本だけでなく、世界中で利用者が増え続けています。

しかし、ホームページを攻撃するウイルスやサイバー攻撃側からすれば、利用者の少ないCMSよりも利用者の多いCMSの方が攻撃しやすいですよね?

つまり、WordPressは攻撃されやすいCMSというわけ。

もしWordPressで作った自社のホームページがサイバー攻撃されてしまうと、気づかぬ内に記事が書き換えられたり管理画面が開かなくなったりといった問題が発生します。

そういった問題が起こらないためには、”徹底したセキュリティ対策が必要”と言えるわけです。

WordPressのセキュリティ対策は6つ

WordPressのセキュリティ対策には、以下5つが挙げられます。

  1. ログインパスワードの更新する
  2. 使用していないプラグインやテーマを削除する
  3. 使用しているプラグインやテーマを最新のものにする
  4. WordPressの状態を”非表示”にする
  5. 定期的にバックアップを取っておく
  6. プラグインを利用する

対策1.ログインパスワードの更新する

最も重要なセキュリティ対策として、ログインパスワードを更新することが挙げられます。

ログインパスワードは、いわばホームページの鍵となるもの。

ずっと同じパスワードを使い続けていると、ハッカーによってパスワード情報が漏れてしまい、いつか不正ログインされてしまう可能性も十分考えられます。

したがって、ログインパスワードは定期的に新しいものへと書き換えた方が良いでしょう

なお、パスワードを設定するに当たって、ユーザー名と似たようなものにしたり自身の誕生日など、誰でも推測しやすいものはハッカーに狙われやすいので避け、出来るだけ複雑なものに設定しましょう。

対策2.使用していないプラグインやテーマを削除する

使用していないプラグインやテーマがあれば、なるべく削除しましょう。

ココで重要なことは、”削除すること”です。

よく、”削除”ではなく”無効化”のままにする方が居ますが、無効化だけでは完全に消えた訳ではないため、プラグインやテーマが攻撃されてしまう可能性があります。

プラグインやテーマの削除はWordPressの管理画面から出来るので、定期的にチェックし、使っていないと思ったらすぐに削除しておきましょう。

対策3.使用しているプラグインやテーマを最新のものにする

反対に、使用しているプラグインやテーマは最新の状態にしておきましょう

古いままのプラグインやテーマを利用していると、セキュリティが脆弱化する恐れがあります。

なお、WordPressには自動的にプラグインやテーマを更新してくれる機能がついているものの、アップデート次第ではセキュリティ面以外で改悪することも稀にあるため、WordPressの公式サイトでアップデート内容の確認することも、セキュリティ対策の観点からみても重要となってくるでしょう。

対策4.WordPressの状態を”非表示”にする

通常、WordPressはバージョン情報が表示されていますが、この表示を”非表示”にすることもセキュリティ対策の1つとして挙げられます。

というのも、バージョン情報が古いままだと「セキュリティ対策を怠っている」「管理が甘いユーザー」とハッカーに判断され、攻撃の対象となりやすいのです。

WordPressのバージョン情報を非表示にする方法は、下記のコードを追加するだけ。

remove_action(‘wp_head’,’wp_generator’);

なお、この対策はWordPressの情報を”常に最新のものにしておくこと前提の方法”なので、定期的にWordPressのバージョンをチェックしておくことも、セキュリティ対策として大切です。

対策5.定期的にバックアップを取っておく

WordPressのセキュリティ対策として、定期的にバックアップを取っておくことも挙げられます。

バックアップを取っておくことで、万が一「アップデートによる不具合」や「不正ログインによる記事の改ざん」が起こったとしても、バックアップの情報を元にサイトを修復することができます。

なお、WordPressのバックアップの方法には、「エックスサーバーなどのレンタルサーバー会社によるサービス」と「プラグイン」の2通りあります。

この内「エックスサーバーなどのレンタルサーバー会社によるサービス」の方が、特に難しい設定や方法はなく、レンタルサーバーを使っている最中に自動的にWordPressのバックアップがされるのでオススメです。

対策6.プラグインを利用する

WordPressには、セキュリティ対策に相応しいプラグインが沢山あります。

しかし一度に沢山のプラグインを導入してしまうと、データの容量がいっぱいになりサイト自体が重くなってしまうので、どれか1つだけ導入すると良いでしょう。

ココでは、【All In One WP Security & Firewall】というプラグインをオススメします。

(出典:https://ja.wordpress.org/plugins/all-in-one-wp-security-and-firewall/

【All In One WP Security & Firewall】は、WordPressのセキュリティ対策として世界中でインストールされているプラグインです。

【All In One WP Security & Firewall】内でできることは、以下の6つ。

  1. WordPress管理画面のログインページURLの変更
  2. データベースのセキュリティ対策
  3. 「.htaccess」ファイルへの外部からのアクセス拒否
  4. ログイン情報の入力にCAPTCHAを追加
  5. ファイルのアップロードサイズ制限
  6. スパムメール防止

ただしプラグインの設定が全て英語表記であるため、解読にはやや時間がかかってしまうかもしれません。

この点に抵抗がなければ、ぜひWordPressのセキュリティ対策のプラグインとして、導入してみてはいかがでしょうか。

WordPressを利用するならセキュリティ対策を徹底しましょう。

WordPressは世界中で利用されているCMSですが、セキュリティ面はやや乏しいです。

もし、御社がWordPressでホームページを作成するのであれば、この記事でご紹介したセキュリティ対策を取り、ウイルスやハッカーに狙われないようにしましょう。