最低これだけは!WordPressのセキュリティを強化・向上する6つの対策
WordPressを運営しているとやはり怖いのが悪意のある第三者によるログイン。
普段あんまり意識することはないと思いますが、実はWordPressはかなり攻撃されています。
試しにこちらの画像をご覧あれ。
「ブロックされた悪意のあるログイン試行」が1484件も…
軽くホラーです。
そこで今回は「WordPressのセキュリティを強化・向上する6つの対策」ということで自分で比較的簡単にできるWordPressのセキュリティを向上させる方法について紹介をしてみました。
WordPressを乗っ取られたりしたら本気で泣きそうになるので、ぜひ今回の記事を参考にセキュリティレベルを強固なものにしていきましょう。
Contents
最低限これだけは!WordPressのセキュリティを強化・向上する6つの対策
WordPress、プラグイン、テーマを最新にする
WordPressやプラグインはしょっちゅう新しいものが更新されますが、これは基本的にすぐ対応しましょう。
これらは最新バージョンになる度にソフトウェアの欠陥やバグを修正しているので、アップデートするに越したことはありません。
ただ、更新をするとモノによってはWordPressのバージョン、プラグイン、テーマがそれぞれどれかと相性が悪くて、WordPressに異常をもたらしてしまうこともあります。
こればっかりはしょうがないのですが、せめてどれが原因なのかを特定しやすいように全部まとめて一気に更新するのではなくて、日々こまめに更新するようにしましょう。
また、使っていないプラグインも脆弱性が存在した場合、そこが狙われる可能性があるので基本的に削除することがオススメです。
ユーザー名とパスワードを推測されにくくする
WordPressのブログを複数持っていると面倒なのでユーザー名とパスワードは全部同じにしているという場合もあると思いますが、これは危険ですので辞めましょう。
どれか一つでもバレてしまったら連鎖的に他のサイトもやられるかもしれません。
無論、WordPressに限ったことではなくて銀行口座、スマホのロック、その他のWebサービスなどなど、IDとパスワードを使いまわしたり、生年月日のような推測しやすいものにするのはNGです。
SiteGuard WP Pluginを入れる
“SiteGuard WP Plugin”は株式会社ジェイピー・セキュアというセキュリティ関連製品の開発・販売・サポートを行う会社が提供しているプラグインで、以下のような設定をすることができます。
- ログイン画面のURLを変更する
- ログイン画面に画像認証を追加する
- ログインしていないログイン元からのログインを拒否する
これを入れて設定をしておくとWordPressのセキュリティがかなり向上するので、ぜひインストールして設定しておきましょう。
⇒ WordPressのセキュリティ対策に!SiteGuard WP Pluginの設定方法
wp-config.phpにアクセスさせないようにする
FTPソフトで見ると確認できる「wp-config.php」のファイルは、データベースのログイン情報が記載されてる非常に重要なファイルです。
これは外部からのアクセスは死んでもさせてはいけないファイルなので、アクセスできないように対策をしていきましょう。
「wp-config.php」の下の階層にある「.htaccess」ファイルの一番上に、以下の内容を入力してください。
<files wp-config.php> order allow,deny deny from all </files>
「.htaccess」ファイルとは「public_html」の直下にあるこのファイルのこと。
これをいったん自分のPCのローカル環境にダウンロードして、上のコードを一番上に追加して再アップします。
なお「.htaccess」のような「.」で始まるファイルは「隠しファイル」と言われていて、ローカルにいったんダウンロードしても通常の状態では見ることができません。
これを隠し状態から表示させて編集できるようにするにはMacの場合は”Funter“のようなソフトを使います。
⇒ Funter
これを使えば「.htaccess」が表示されるようになります。
外注にお願いする時は管理権限を適切にする
外注ライターにお願いしていて、WordPressに記事を直接書いてもらって納品をしてもらうことも人によってはあると思います。
そうした時はWordPressのユーザー権限機能を使いましょう。
ブログを管理する全ての人が同じID、同じパスワードで入って、同じ権限を持つとブログの管理に危険性が生じます。
WordPressではこれを避けるためにユーザーごとにID、パスワード、権限を設定する機能がついています。
WordPressメニューの「ユーザー」を押してみましょう。
これで新規追加を押すと以下のような画面になります。
これでユーザー名、パスワード、権限グループなどを設定しましょう。
外注さんに記事作成をお願いするなら、
- 寄稿者:記事の新規作成と閲覧のみ可
- 投稿者:記事の新規作成、投稿、メディアライブラリの閲覧が可
のどちらかの権限を付与するのがオススメです。
バックアップを取る
セキュリティを強化する時の考え方には、そもそもまずい事態が起こらないようにするための事前の対策方法と、まずいことが起きてしまってもそこからすぐ復旧できるようにする事後の対策方法があります。
バックアップを取ることは事後の対策方法の代表的な例。
これを取っておけば最悪ブログがめちゃくちゃになって、もう一度WordPressをインストールしなければいけない事態になっても、なんとか復旧させることが可能です。
“BackWPUp“なんかは非常に有名なプラグインですので、これを使ってデータベースとファイルのバックアップを定期的に取るようにしましょう。
⇒ BackWPUpの使い方と設定方法|WordPressのバックアップに
まとめ:WordPressは操作に慣れてきたらセキュリティも
ということで今回はWordPressのセキュリティを強化するための方法についていくつか紹介をしてきました。
おそらく最初にWordPressを使い始めた時には、セキュリティとかバックアップとかまで頭も手も回らないと思います。
最初のうちはコンテンツも少ないから最悪被害にあってもそんなに影響がない、全然検索エンジンに上位表示されないのでそもそも目をつけられないということもあるでしょうが、運営歴が長くなってきたらこれらは絶対に対策をしましょう。
何年もかけて作ってきたコンテンツが一夜にしてオジャン…なんてなったら本気で悲しいので、ぜひ設定をしてみて下さい。
