WordPressのセキュリティ対策は、この4つの方法で9割解消できます。
「WordPressはセキュリティが心配だよな…」
「どんな問題になるの?大丈夫?」
なんて思っているあなたのために、2012年からWordPress(ワードプレス)制作をやってきたわたしが、セキュリティ対策についてお話します。
まず「WordPressはセキュリティが弱い」と認識されていますが、その認識を持つことには賛成です。というのも、2014年にわたし自身、Webサイトのデータベースを壊されサイト閲覧ができなくなった悲惨な経験があるからです。
そこからわたしのセキュリティ対策は始まり、2020年現在まで一切の問題もありませんでした。
- データベースやサイトが壊れたことはありません。
- WordPressに侵入されてもいません。
- スパムメールも月1件以下。
- 万が一に備えてのバックアップもしている。
という良好な運用ができています。
この記事では、わたしがWordPressを守るために設定しているセキュリティ対策についてお話します。決して難しいことはなく、初心者でも簡単に設定できて抜群の防御力がある内容ですので、ぜひ真似してみてください。
目次
対策1|定期的にWordPressの更新をする
更新が発生すると、下記の画像のようにダッシュボードへ案内が自動で送られてきます。
バージョンアップは、セキュリティホールの改善やバグの改善、新たな機能の追加などが起きた場合に案内されるものです。
WordPressのもっとも基本的なセキュリティ対策として、半年に一度は更新処理をすることをおすすめします。更新作業には特別な知識やテクニックは必要なく、ワンタッチで行うことができるので非常に簡単です。
何を更新するの?
更新対象となるのは、つぎの3つです。
- WordPress本体
- プラグイン
- テーマ
たとえば、2020年10月のWordPress 5.5.2へのアップデートにおいては、下記のセキュリティ問題が改善されています。
- 非シリアライズ化リクエスト
- 無効なサイトからのスパム埋め込み
- グローバル変数から XSS につながる可能性
- XML-RPC の特権昇格に関する問題
「は?意味分かんない言葉ばっかり…」と感じると思います(汗)
WordPressにはわたし達が理解できないセキュリティホールやバグがたくさんある、ということ知っておいていただくだけでOKです。そして、それらを開発エンジニアたちが日々改善し、改善を終えると更新案内が自動で飛んで来るということ。
つまり「定期的に更新作業には対応しましょうね」というお話でした。
更新時の注意事項
WordPress(本体、プラグイン、テーマ類)の更新は、セキュリティ強化のための必須対策です。しかし、それぞれのバージョンをアップデートする際には、注意すべき点もあります。
- WP本体の更新で、既存プラグインが動かなくなる可能性がある
- プラグインの更新で、サイト表示にバグが出現する可能性がある。
- カスタマイズしたプラグインは、更新すると元の状態に戻る可能性がある。
- テーマの更新で、デザインが初期状態に戻る可能性がある。
更新を行うことによって、最悪の事態になる可能性もあることを覚えておいてください。対策としては、「WordPressの更新を行う前にバックアップを取る」です。
ご自身で更新作業を行う場合は、かならずバックアップを取得の上、ご自身の責任で行っていただくようお願い致します。
もしご不安がありましたら、弊社へご相談ください。
対策2|無料のセキュリティ系プラグインを使う
WordPressプラグインは、管理画面から簡単にインストールして設定できるもの。セキュリティ対策のための無料プラグインも実はたくさんあります。
わたしがおすすめしているのは「All in One Security & FireWall」です。
All in One Security&FireWallとは?
このプラグインをインストールするだけで、様々なセキュリティ設定を簡単に行うことができます。具体的なセキュリティ強化の内容は、以下のとおりです。
- ログイン画面を守る
- データベースを守る
- 悪意のあるアクセスを防ぐ
- コンテンツの盗用を防ぐ
本来なら、システム会社に発注しなければならないようなセキュリティ機能です。それが「無料で初心者でも簡単に」設定できてしまう優秀なプラグインです。
当サイトにも導入していまして、やっぱり手軽なセキュリティ強化プラグインであることを実感しています。
「All In One WP Security & Firewall」の導入・設定方法については、以下の記事で詳しく解説しています。ご興味のある方は、こちらの記事をご覧ください。
プラグインを使用する際の注意点
「All In One WP Security & Firewall」では、WordPressのデータの一部を書き換えるなどが自動で行われる処理もあります。そのため、操作を間違えるとサイトが壊れるリスクもゼロではありません。
プラグインの設定もご自身の責任において行ってください。
ちなみに、わたしがこのプラグインを使用して過去になにかトラブルが起きた経験はありませんが「リスクとしてはゼロではないですよ」という意味です(万が一の保証がないのが無料プラグインのデメリットですね)。
こちらも使用する際には、バックアップを取るなどの準備をおすすめします。
対策3|Googleの「reCAPTCHA」を使う
こういう機能、見たことありませんか?
これが、Googleが公式に提供する無料のセキュリティサービスが「reCAPTCHA」です。チェックボックスや画像認証を利用して、コンピューターと人間を区別することを目的としています。
スパムメールは、こうした「人間でないと判断が難しい機能」に弱いです。なので、メールフォーム等に設置しておくと、スパムメールを除外して、利用者さんのお問合せだけを受け付けられるんです。
reCAPTCHAの詳細や設定方法については、下記の記事で解説します。
ぜひご一読ください。
対策4|サーバーからWordPressのセキュリティ対策
じつは、最も強力なのがサーバーレベルで設定できるセキュリティ対策だと思ってます。
わたしがWordPressを利用する方におすすめしているのは、エックスサーバー。その理由の一つが、WordPressに必須のセキュリティ設定があるからなんです。
では、エックスサーバーで利用できるWordPressセキュリティ設定について解説しますね。
国外IPアクセス制限
簡単に言うと、海外でインターネットしている人を「WordPress管理画面へログインさせない」セキュリティシステムです。
もちろん、サイトの閲覧は可能です。
管理画面には絶対入らせない強力なセキュリティ機能です。
本来、WordPress本体にアクセスしてくるなんてWeb担当者くらいのはずです。ところが、悪意を持つハッカーは何らかの目的で管理画面にアクセスしてきます。
国内のハッカーは制限できませんが、これだけで多くの不法侵入者を確実にブロックできます。ただし、Web担当者が海外居住の場合、この機能はオフにする必要がありますので注意してください。
ログイン試行回数制限
短時間での複数回にわたるログイン試行(=パスワード総当たり)があった場合に、アクセスをブロックする機能です。制限がかかってから24時間の間有効となります。
ただし、この機能はWordPressの所有者にも適用されます。
ログインIDやパスワードを忘れてしまった場合、この機能の制限に引っかかる恐れがあるので、ID・パスワードは必ず保管しておきましょう。
コメント・トラックバック制限
コメント・トラックバックとは、WordPressが持っている機能で、記事に対して読者がメッセージを書き残せる機能です(利用には設定が必要です。使用不可にしているなら、そもそもリスクなしです)。
コメント・トラックバック制限設定では、以下のようなコメントやトラックバックを制限することができます。
- 大量のコメント・トラックバック
- 国外IPアドレスからのコメント・トラックバック
前者は、一度に大量のコメントやトラックバックが行われた場合に、6時間の間コメント・トラックバックを制限するという機能です。後者は、国外IPアドレスからのコメントやトラックバックを受け付けない機能です。
エックスサーバーは、弊社でも推奨しています。
こちらの記事もご参考ください。
WordPressは「狙われやすい」ので、セキュリティ対策をしよう。
WordPressは、世界で最も利用されているCMS(コンテンツマネジメントシステム)です。
特に、日本ではホームページはじめブログサイトとしての利用率が高く、2019年のW3Techの調査では「82.4%のシェアを占めている」ことが明らかになっています。
「WordPressはセキュリティが弱い」
「脆弱性がデメリットだ」
と言われるものの、多くの人に使われているシステムです。
わたし個人としては、世の中のシステムにはセキュリティ的に完璧なものなどないと思っています。WordPressもセキュリティが弱いというのもあるかも知れませんが「狙われやすい」というのが一番問題だと思っています。
最後に今一度、WordPressサイトが被害を受けるとどうなるのか、なぜ脆弱性があるのかを確認しておきましょう。
WordPressサイトは「狙われやすい」
WordPressで作ったWebサイトがサイバー攻撃の対象になりやすいのは、、事実です。
アメリカのWordPressセキュリティサービスを提供するDefiant(デファイアント)は、WordPressを狙ったサイバー攻撃が1日で5000万件以上観測されたとして、注意を呼びかけています。
具体的な被害というと、Webサイトの改ざんです。不正な広告が埋め込まれ、別サイトに誘導されてしまう、というようなケースが見られているようです。
利用者が多いから、狙われる。
WordPressが狙われやすい理由は「利用者が多い」というのが一番の理由だと思います。
利用する人が多くなれば、狙う人も多くなる。セキュリティが弱いと言われるのも、多くのハッカーになにかしらの脆弱性(=セキュリティホール)を点かれてしまうからだと思います。
“脆弱性とは、ソフトウェアなどに発生するセキュリティ上の欠陥のことです。”
こういったセキュリティ上の欠陥をついて、サーバー自体を攻撃したり、WordPressで制作したWEBサイトを攻撃したりします。
- 利用者が多いから狙われる。
- だから被害件数も多い。
- その結果、セキュリティが弱いと言われる。
セキュリティが弱いから使わない、ではなくて「セキュリティを強化して安全に使おう」という姿勢が必要ではないでしょうか。
再度お伝えしますが、現在6年間、何のトラブルもなくサイト運用ができています。
- データベースやサイトが壊れたことはありません。
- WordPressに侵入されてもいません。
- スパムメールも月1件以下。
- 万が一に備えてのバックアップもしている。
ぜひご紹介したセキュリティ対策をお試しいただいて、安全なホームページ集客にチャレンジしてみてくださいね。
