サイバーセキュリティーサービスの比較・資料請求サイト|中小企業向けのセキュリティ対策を考える「サイバーセキュリティ」に関する情報メディア。日本の中小企業の情報を守るため、最新のセミナー・人材育成・製品・中小企業向けのセキュリティ対策を考えるサイバーセキュリティ情報サイトです。

WordPressのセキュリティ対策!設定方法・プラグインを解説



WordPress(ワード プレス)はオープンソースのCMSであることから世界中で使われていると同時に、数多く使われているため不正アクセスを受けやすいと言われています。そのためWordPressを利用している方は、

  • 他のシステムに乗り換えた方が良いの?
  • 乗り換えるのは大変だからWordpress使いたいけどセキュリティ面が不安
  • WordPressのセキュリティ対策方法を知りたい!

と思っていませんか?

セキュリティ面であまり良い噂を聞かないWordPressも、しっかりと対策をしておけば大丈夫です!

当記事では、WordPressサイトを安全に運営するために、絶対にやっておきたいセキュリティ対策についてまとめてみました。できるところから始めてみましょう。

WordPressのセキュリティは、管理者が自分で実施
WordPressは有料のサービスではないため、WEB制作会社に管理を依頼していない場合は、責任持って管理してくれるところがありません。
もし不正アクセスがあっても泣くのは自分だけ。誰も補償してくれません。自社でしっかりと対策を実施しましょう。

WordPressがセキュリティに弱いと言われる理由

WordPressがセキュリティに弱いと言われる理由には、主に下記の3つがあると言われています。

  • 「Webの36% はWordPressで構築されています。」と公式サイトで書かれているくらい多くのWebで利用されているため
  • 詳しい知識の無いWEBの初心者でも本を読みながら簡単に利用できるため
  • 無償で使えるオープンソースなのでセキュリティホールが発見されやすいため。

WordPressは個人のブログから、ディズニーランドを運営するオリエンタルランドグループや、楽天などの大手企業まで幅広く使われているCMSです。

そのため他のCMSと比べてもユーザー数が圧倒的に多く、ハッカーに狙われやすいのです。
1つ脆弱性を見つければ、攻撃できるWebサイトが多数存在することになりますからね。

少し知識のあるあ人がサイトのソースコードを見れば、そのサイトがWordPressで運用されていることがすぐに分かってしまいますので、WordPressであることが分かったとしても、被害を受けないための対策はサイト運営者として必須なのです。

WordPressにセキュリティ対策を施す重要性

WordPressはセキュリティが弱いと「言われている」だけでなく、実際のセキュリティ被害件数も、他のCMSに比べ突出しています。サイバーセキュリティ会社であるSUCURI社の2018年度調査によれば、同社が2018年に対応したハッキング事例のうち、約90%がWordPressを使用したWebサイトでした。

単純にWordPressの利用数が多いため、ハッキング事例も多いと思うかもしれません。ですが、同じく2018年時点のCMSシェア率では、WordPressの利用率は約30%に留まっていました。このことから、WordPressは単なる利用数の多さ以上に、攻撃者の標的にされやすいことが分かります。

また、2021年10月時点の調査では、CMSシェアのうちWordPressの利用率は65.1%、Webサイト全体では42.7%に達しています。2018年時点よりも利用率が増加しており、さらに攻撃者に狙われやすい状況であるわけです。そのため、WordPressには堅牢なセキュリティ対策が欠かせません。

WordPressの脆弱性・リスクとは

ここまでの説明で、WordPressがセキュリティに弱いと言われている主な理由は、「ユーザー数の多さに比例して攻撃者からも狙われやすいから」と、お分かりいただけたかと思います。

中には「いくら攻撃者が多くても、WordPressのセキュリティ対策があれば問題ないのでは?」と思う人もいるでしょう。ところが、WordPressの仕組み自体に、以下3つの脆弱性・リスクが存在します。

  1. 第三者が簡単にアクセスできる管理画面
  2. 導入しやすいテーマやプラグイン
  3. 誰でも閲覧可能なオープンソース

各項目について順番に見ていきましょう。

1. 第三者が簡単にアクセスできる管理画面

WordPressの管理画面は、アクセスのしやすい仕様となっています。これはセキュリティ上の大きな脆弱性となり得ます。WordPressの初期設定では、管理画面のログインURLは「/wp-login.php」」、ダッシュボードのURLは「/wp-admin」」です。

つまり、あなたのWebサイトのURLの末尾に「/wp-login.php」または「/wp-admin」と入力するだけで、誰でも簡単に管理画面にアクセスできるわけです。

初期設定のまま運用している場合、ユーザー名とパスワードの総当たり攻撃「ブルートフォースアタック」を受ける可能性が高まります。初期設定から変更していても、推測されやすいURLであれば、簡単に管理画面を特定されてしまうでしょう。このような第三者からアクセスされやすい仕組みは、WordPressの脆弱性の1つと言えます。

2. 導入しやすいテーマやプラグイン

WordPressのテーマやプラグインは導入しやすい反面、脆弱性の温床となるリスクもあります。導入ハードルが低い分、さまざまなテーマやプラグインを試してみる人も多いのではないでしょうか。しかし、テーマやプラグインをアップデートせずに放置していると脆弱性が生まれます。

中でもプラグインは手軽に導入できるため、使わなくなったプラグインを削除せず、存在自体を忘れてしまう人も少なくありません。また、使用中のテーマの提供元が開発をやめ、アップデートされなくなるケースもあります。脆弱性が放置されたテーマやプラグインは、攻撃者が狙いやすいセキュリティホールとなってしまうわけです。

3. 誰でも閲覧可能なオープンソース

オープンソースの形態を取るWordPressは、誰もが自由に仕組みを閲覧・開発できます。多くのエンジニアはWordPressの開発のためにオープンソースを利用していますが、中には悪意ある攻撃者も存在します。そのため、攻撃者が脆弱性を見つけ、サイバー攻撃を仕掛けるリスクが常にあるわけです。

誰でも閲覧できるので、攻撃者のアクセスのみを都合良く弾くことはできません。オープンソースだからこそ便利なテーマやプラグインが多数提供されているため、今後クローズドソースになる可能性も低いでしょう。WordPressを利用する以上、オープンソースのリスクを理解しておく必要があります。

以上3つが、WordPressの脆弱性・リスクです。続いて、実際にWordPressの弱点を突いた攻撃事例を紹介します。

実際のWordPressサイト攻撃事例

では実際にどのような攻撃がされるのかを見てみると、これまでに「REST APIの脆弱性によるWebサイトの改ざん」「アクセス権限設定の不備によるWebサイトの改ざん」「テーマファイルの改変」など、色々なパターンで攻撃され被害を受けていることが分かっています。

1. REST APIの脆弱性によるWebサイトの改ざん

2017年2月10日にThreatpostにより公開されたもので、WordPressのREST APIに存在する脆弱性のため、リモートでデータの書き換えが行えるようになるというもの。「WordPress 4.7.2」で対応がなされているが、バージョンアップされていなかった150万を超えるサイトが攻撃を受けた。

2. アクセス権限設定の不備によるWebサイトの改ざん

2013年にレンタルサーバのロリポップでサーバ内のディレクトリのアクセス権限設定に問題があり、8000以上のサイトが改ざんされたという事件がありました。

3. テーマファイルの改変(悪意のあるスクリプト埋め込み)

よくあるケースですが、脆弱性を悪用してテーマファイルを改変する事例があります。例えば悪意のあるスクリプトを埋め込んで、サイトを訪れると動作する、とか自動的に別のサイトに飛ばされるなどといったものです。

先ほど攻撃対象と仕組みを簡単に説明しましたが、攻撃からWebサイトを守るためにはどのような対策をすれば良いのでしょうか。

【無料】WordPressのセキュリティリスク診断方法

セキュリティが大丈夫かどうかを心配する前に、まず自分のサイトが大丈夫かチェックして現状把握することが必要です。

下記の記事に更に詳しく掲載していますので、是非ご覧ください。

WPScans.com

WEBサイト上で、独自のアルゴリズムで脆弱性の有無をチェック可能です。対象のURLを入力し「START SCAN」を押すだけで診断できます。

サイトWPScans.com

WPdoctor

こちらもウェブサイト上でWordPressのセキュリティ診断をしてくれるサービスの紹介の中で、下記ページでは対象のURLを入力して「サイトを検査」をクリックするだけで診断を実施してくれます。

サイトWPdoctor

Wordfence Security

WordPressの総合的なセキュリティ対策ができる有名なプラグインでも診断可能です。プラグインのインストール後、Scanというボタンをクリックすると脆弱性の有無をチェックすることができます。

サイトWordfence Security

事前準備として必須!WordPressのバックアップ方法

具体的なセキュリティ対策を進める前に、あらかじめデータベースやWordPressのテーマファイルのバックアップ作業をしましょう。

バックアップを取ることで、その後何か問題が起きた時もすぐに復旧できるようになります。

データベースのバックアップ

WordPressで使用するデータは、MySQLやPostgreSQLのようなデータベース管理システムに格納されています。
セキュリティ対策の導入に失敗したときのために、あらかじめデータベースのバックアップを取っておきましょう。一般的なレンタルサーバを使用している場合、データベースのバックアップはサーバのコントロールパネル(管理画面)phpMyAdminにログインして「エクスポート」機能を操作することでバックアップを取ることができます。

テーマファイルのバックアップ

データベースと同様にWordPressで使用しているテーマファイルのバックアップも取っておいたほうがよいです。
特にfunctions.phpというファイルはPHPで記述されたファイルであり、間違った記述があるとサイト全体が表示されなくなる場合もあります。テーマファイル一式はテーマフォルダに含まれているので、FTPやSCPを使ってサーバにログインしてダウンロードしておきましょう。

定期的に自動バックアップ「BackWPUp」プラグイン

上記のようにphpMyAdminにログインしたり、FTPでアクセスしたりなどでバックアップを取ることが難しいと感じる方は、「BackWPUp」プラグインを利用すると簡単にバックアップを取ることができます!

BackWPUpというプラグインを使用することで、WordPressの管理画面からデータベースやテーマのバックアップを取る事できます。
バックアップファイルをDropboxに保存したり、メールで送信したりする機能があり、さらにバックアップの設定をジョブという単位で管理し、定期的に実行する機能などもあります。

参考サイトBackWPUp

参考サイトBackWPUpで確実にWordPressのバックアップを取る方法 – バズ部

WordPressとプラグインのセキュリティを強化する設定方法

1. 最新版にアップデート

WordPress本体の脆弱性対策のために、WordPress本体やプラグインの新しいバージョンが公開されたときはすぐにアップデートしましょう。WordPressのバージョンアップには「メジャーアップデート」「マイナーアップデート」の2種類があります。

メジャーアップデートとは

WordPressに対して大きな機能追加や管理画面のレイアウト変更などが伴ったバージョンアップの事です。このメジャーアップデートは「手動更新」によりアップデート作業を行います。アップデートの通知そのものは管理画面に表示されるのですが、更新ボタンを手動でクリックしないとアップデートは行われません。

多くのレンタルサーバの場合問題なく新しいバージョンを適用できますが、お使いのサーバのphpやmySQLのバージョンなどを確認の上、バージョンアップをしましょう。

マイナーアップデートとは

主にバグフィックスやセキュリティ対策など小さなアップデートのことです。マイナーアップデートは基本的に「自動更新」です。
マイナーアップデートがリリースされると、しばらくしてから利用しているWordPressが自動的にアップデートを適用します。

マイナーアップデートが自動更新されたときは、WordPressに登録してあるメールアドレスに対して通知が届くようになっているので、すぐに更新されたとわかるようになっています。

2. テーマやプラグインは公式から公開されているものを使う


WordPressには見た目をカスタマイズするための各種テーマや、機能拡張のためのプラグインが豊富に公開されています。これらを使用するときは、必ず公式で公開されているもの使用するようにしましょう。

公式に公開されているテーマやプラグインは、厳しい審査を経て公開されているものです。それらはアップデートされたときも、管理画面から簡単に更新することができます。

一方、公式に公開されていないテーマやプラグインは「野良テーマ」や「野良プラグイン」と呼ばれています。これらは審査されたものではありません。中には悪意のあるコードやバグが含まれているものもあり、使用するにあたっては完全に自己責任となります。テーマやプラグインを利用するときは、原則として公式で公開されているものを使用しましょう。

しかし、公式サイトに公開されている全てのテーマ・プラグインが、今後ずっと安全かというと、100%そうとは言い切れません。「野良テーマ」や「野良プラグイン」であっても、「公式サイトにあるテーマ・プラグイン」でも、このページで説明しているセキュリティ対策必須ですので、安心しないでそれ以外のセキュリティ対策も行っておきましょう。

参考サイトテーマディレクトリ — 無料の WordPress テーマ

参考サイトWordPress プラグイン — プラグインは WordPress の機能を拡張します。

3. 使用していないプラグインは削除する

WordPressで使用しなくなったプラグインは積極的に削除しましょう。不要なプラグインの使用はサイトが重くなるだけでなくセキュリティホールの原因にもなります。プラグイン開発者がメンテナンスを停止したプラグインでWordPressのバージョンアップに伴い動作しなくなったというケースでは、特に危険です。サイトを定期的にチェックして不要なプラグインがインストールされていないか確認しましょう。

4. WordPressのバージョン情報を非表示にする

通常WordPressを使用していると、そのWordPressのバージョン情報が、下記のようにHTMLのソースコードに記述される場合があります。

<meta name="generator" content="WordPress 4.9.3" />
<link rel='stylesheet' href='https://WordPressサイトのアドレス/wp-content/themes/テーマ名/style.css?ver=4.9.3' type='text/css' media='all' />

仮に古いバージョンのWordPressを使用していることが知られますと、攻撃対象になってしまう可能性があります。バージョン情報の表示は基本的に不要なので表示を停止しましょう。

バージョン情報の非表示はテーマフォルダにあるfunctions.phpにコードを書いて設定します。

WordPressのバージョン情報を非表示にする方法

remove_action('wp_head','wp_generator');

プラグインのバージョン情報を非表示にする方法

function remove_cssjs_ver2( $src ) {
    if ( strpos( $src, 'ver=' ) )
        $src = remove_query_arg( 'ver', $src );
    return $src;
}
add_filter( 'style_loader_src', 'remove_cssjs_ver2', 9999 );
add_filter( 'script_loader_src', 'remove_cssjs_ver2', 9999 );

WordPressへの不正なログイン対策・チェック5項目

WordPressを操作するための管理画面のログインに関する対策を紹介します。

1. adminユーザーは絶対に使わない

adminというユーザー名はWordPressをインストールした時にデフォルトで設定されているユーザー名です。攻撃者はこのadminというユーザー名に対してブルートフォースアタック(パスワード総当たり攻撃)を仕掛けることが多いです。不正アクセスされる可能性を減らすという意味で、adminというユーザー名は使わないようにしましょう。

2. ユーザー名を推測されないようにする

WordPressで使用しているユーザー名は実は特定のURLにアクセスすることで簡単に推測できてしまいます。

http://WordPressサイトのアドレス/?author=1

このようなURLにアクセスすると、WordPressで使用しているユーザー名が含まれたURLにリダイレクトされるようになっています。これに関しては「Edit Author Slug」というプラグインを導入することで、表示されるユーザー名を変更することができます。

参考サイトEdit Author Slug

参考サイトEdit Author Slugプラグインの使い方

3. 複雑なパスワードを利用する

最近のバージョンのWordPressからアカウントを作成したときに自動的に難読化されたパスワードを生成してくれるようになっています。WordPressで使用するパスワードはこのように難読化されたパスワードを使用しましょう。クラッカーは辞書攻撃を仕掛けてくるケースがあるため、特定の単語を意味するような文字列をパスワードとして使わないようにしましょう。

参考サイトサイトパスワード生成ツール

4. 管理者権限のアカウントの数を最小限にする

複数人でWordPressを運営する場合、ユーザーアカウントをいくつも発行することになります。
その際はできるだけ管理者権限のアカウントを発行せずに、編集者、投稿者、寄稿者権限のアカウントで運営できるかどうか検討しましょう。

これらのデフォルトの権限以外にも、使用する機能を選択しカスタマイズされた権限アカウントを作成することも可能です。
追加されたユーザーによっては平易なパスワードを使うことも考えられるため、いざという時のためにも、アカウントを追加する場合はできるだけ権限の少ないアカウントを発行するようにしましょう。

5. WordPressのログイン履歴や操作ログを記録する「WP Security Audit Log」の導入

WordPressのログイン履歴や管理画面での操作ログを記録できるプラグイン「WP Security Audit Log」を導入しましょう。
特にログイン履歴に関しては、外部からの不正なパスワードによるログイン失敗履歴も残してくれます。もし不正なログインを許してしまっていても、このプラグインを導入していればログイン履歴から検知することができます。その場合は管理画面の

「ユーザー」→「あなたのプロフィール」→「他のすべての場所でログアウト」

をクリックすることで強制的にログアウトさせて、すみやかにパスワードを変更しましょう。

参考サイトWP Security Audit Log

コード記述でWordPressのセキュリティ対策10選

さらにWordPressで実行すべきセキュリティ対策を10個まとめて紹介します。

1. XML-RPCを無効にする

XML-RPC(Extensible Markup Language – Remote Procedure Call)とはWordPressを外部から操作するための仕組みです。データをXML形式でやり取りするものですが、DDoS攻撃などに利用されることもあり、XML-RPCを使用しない場合は、アクセス制限をかけておきましょう。

.htaccessファイル内に以下の記述を追加します。

<Files xmlrpc.php>
 Order Deny,Allow
 Deny from all
</Files>

2. REST APIを無効にする

REST APIもWordPressを外部から操作するための機能です。XML-RPCと同様にこの機能に対しても攻撃されることがあります。

この機能はWordPress本体にある「wp-json」フォルダ以下に対するアクセスを制御することで無効にすることができます。設定するためには、.htaccessファイルに記述しているWordPressのリライトルールを以下のように書き換えます。

# BEGIN WordPress
<IfModule mod_rewrite.c>
 RewriteEngine On
 RewriteBase /
 RewriteCond %{REQUEST_FILENAME} !-f
 RewriteCond %{REQUEST_FILENAME} !-d
 RewriteCond %{REQUEST_URI} !^/wp-json/
 RewriteRule . /index.php [L]
</IfModule>
# END WordPress

<IfModule mod_rewrite.c>
 RewriteEngine On
 RewriteCond %{QUERY_STRING} rest_route=
 RewriteRule ^$ /? [R=404,L]
</IfModule>

前述した、XML-RPCやREST APIに対するアクセス制限は、使用しているレンタルサーバによっては、レンタルサーバのコントロールパネルから設定できる場合もあります。
その場合はここで紹介した.htaccessファイル書き換える方法ではなく、まずはレンタルサーバが指定する方法で設定することを試みてください。

また、使用しているプラグインによってはXML-RPCやREST APIを無効化すると動作しなくなるものもあります。支障がある場合はここで紹介した、XML-RPCやREST APIの無効化は行わないでください。

3. 管理画面へのIP制限する

管理画面にアクセスするためのファイル「wp-login.php」と「wp-admin」に対してIP制限をかけることができます。

IPアドレス「AAA.AAA.AAA.AAA」からのみアクセスを許可したい場合は以下のように書きます。

<FilesMatch "wp-login.php|wp-admin">
  order deny, allow
  deny from all
  allow from AAA.AAA.AAA.AAA
</FilesMatch>

許可したいIPアドレスが複数ある場合は、「allow from ・・・」の行を繰り返して書きます。

<FilesMatch "wp-login.php|wp-admin">
  order deny, allow
  deny from all
  allow from AAA.AAA.AAA.AAA
  allow from BBB.BBB.BBB.BBB
  allow from CCC.CCC.CCC.CCC
</FilesMatch>

上のように書くとIPアドレス「AAA.AAA.AAA.AAA」と「BBB.BBB.BBB.BBB」と「CCC.CCC.CCC.CCC」に対してはアクセスを許可し、それ以外のIPアドレスからのアクセスは制限されます。

4. 管理画面内での操作を制限する

管理画面で操作できる「テーマのインストール」「プラグインのインストール」「テーマ編集」「プラグイン編集」の機能を停止させることができます。WordPressのインストールフォルダにある「wp-config.php」に以下のような記述を追加します。

define('DISALLOW_FILE_MODS',true);

5. 認証用ユニークキーを設定する

WordPressで使用する認証用ユニークキーを設定します。
これはローカルPCに保存されているCookie情報を暗号化するために設定される文字列です。この認証用ユニークキーを変更することで、パスワードを変更しなくても現在WordPressにログイン中の端末から強制的にログアウトさせることができます。

WordPressを手動でインストールした場合などはこの認証用ユニークキーが空になっていることがあるので、設定しておきましょう。以下のURLから認証用ユニークキーを生成することができます。

参考サイト認証用ユニークキー|wp-config.php の編集 – WordPress Codex 日本語版

6. wp-comments-post.phpへのアクセスを制限する

コーポレートサイトなどはWordPress標準で用意されているコメント機能を使わない場合が多いです。
WordPressのコメント機能は「wp-comments-post.php」を使用しているので、このファイルへのアクセスを制限しましょう。.htaccessファイルへ以下の記述を追加します。

<Files wp-comments-post.php>
order allow,deny
deny from all
</Files>

7. wp-config.phpへのアクセスを制限する

WordPressを動作させるための各種設定が記述された「wp-config.php」へのアクセスを制限しましょう。
このファイルにはデータベースサーバで利用するIDやパスワードが生で記述されています。
その他、WordPressの設定が記述されていることもあるので、外部からアクセスされると危険です。.htaccessファイルへ以下の記述を追加します。

<Files wp-config.php>
order allow,deny
deny from all
</Files>

また、wp-config.phpはとても重要なファイルです。
簡単にできるので、パーミッションを「400」に設定し、書き込みなどの権限を制限しましょう。これによりさらにセキュリティアップします。

参考サイトファイルパーミッションの変更

8. wp-login.phpへのBasic認証を設置する

WordPressのログインページである「wp-login.php」に対してBasic認証をかけます。Basic認証を追加することで、パスワードを2重にかけるようなことができます。まず、.htaccessファイルに対して以下の記述を追加します。

<Files wp-login.php>
AuthUserFile /path/to/.htpasswd
AuthGroupFile /dev/null
AuthName "Please enter your ID and password"
AuthType Basic
require valid-user
</Files>

2行目の
「AuthUserFile /path/to/.htpasswd」
の「/path/to/」にはパスワードファイルである.htpasswdファイルのフルパスを記述します。ファイルのあるフォルダへの絶対パスは以下のPHPコマンドで取得できます。

<?php echo __FILE__; ?>

.htpasswdファイルはジェネレータから作成することができます。

参考サイトhtpasswdジェネレータ

9. uploadsディレクトリでのphpの実行を制限する

「/wp-content/uploads/」はWordPressにアップロードされた画像ファイルなどの保存先となるディレクトリです。画像を保存できるようにこのディレクトリには書き込み権限が付与されています。このディレクトリでPHPのコードが実行されないように、「/wp-content/uploads/.htaccess」ファイルに以下の記述を追加します。

<Files *.php>
deny from all
</Files>

10. ディレクトリアクセス時のファイル一覧表示を無効にする

index.htmlやindex.phpが存在しないディレクトリに対してブラウザからアクセスすると、そのディレクトリにあるファイルの一覧が表示される場合があります。表示されているファイルによっては、不正なアクセスに利用されてしまうかもしれませんので、ファイルの一覧を非表示にしておきましょう。.htaccessに記述を追加するのですが、WordPressが動作しているサーバによって設定方法が異なります。

設定方法1

Options -Indexes

設定方法2

DirectoryIndex index.html .ht

どちらか動作する方法で記述してください。

WordPressのセキュリティプラグインおすすめ3選

WordPressのセキュリティ対策には、プラグインの導入も効果的です。ここでは、おすすめのセキュリティプラグインを3つ紹介します。

  1. SiteGuard WP Plugin
  2. All In One WP Security & Firewall
  3. Google Authenticator

それぞれの特徴を解説していきます。

1. SiteGuard WP Plugin

SiteGuard WP Pluginは、日本のセキュリティ会社JP-Secureが開発したプラグインです。標準で日本語対応されているため使いやすく、セキュリティプラグインの定番となっています。SiteGuard WP Pluginの主な機能は、以下の通りです。

  • 管理ページアクセス制限や画像認証の追加
  • ログインページURLの変更、ログインロック・ログインアラート
  • WordPress・プラグイン・テーマの更新通知
  • 不正ログインを試みるリスト攻撃を防ぎやすい「フェールワンス」機能

上記のように、「SiteGuard WP Plugin」はログインや管理画面の保護に特化しています。アップデートの通知機能もあるため、更新忘れによる脆弱性の放置といったリスクの回避が可能です。

2. All In One WP Security & Firewall

All In One WP Security & Firewallでは、管理画面やログイン画面の保護だけでなく、包括的なセキュリティ対策を実施できます。主な機能は以下をご覧ください。

  • 管理画面のURL変更やファイアウォールの設定
  • 総当たり攻撃防止に効果的な「CAPTCHA」の追加
  • スパムメール・スパムコメントのブロック
  • 第三者によるファイル操作を防ぐパーミッション設定

この他にも、ログイン試行回数の設定、海外サーバーからのアクセス遮断など、幅広い設定に対応しています。

3.​ Google Authenticator

​Google Authenticatorは、管理画面のログイン時に二段階認証を追加するセキュリティプラグインです。スマートフォンの同名アプリと、WordPressアカウントを連携して使用します。

二段階認証を追加すると、WordPressのログイン時に認証コードの入力を求められます。認証コードは、スマートフォンのアプリに表示される6桁の数字です。WordPressと連携済みのアプリがないとログインできないため、不正ログイン防止に非常に効果的です。

​Google Authenticatorは単独の使用ではなく、他のセキュリティプラグインとの併用をおすすめします。他のセキュリティプラグインで基本的な対策を施し、Google Authenticatorの二段階認証を導入すれば、より強固な管理体制を構築できるでしょう。

さらにセキュリティ関連のプラグインを知りたい方は下記の記事をご覧ください。

WordPressサイトの運営に適したサーバの紹介

手軽にサイト運営を始めることができるWordpressですが、攻撃の対象にもなりやすいため、その脆弱性対策や頻繁に発生するアップデートにもきちんと対応をおこなう必要がありこの点に不安やハードルの高さを感じる方も多いかと思います。
そのため、ほとんどセキュリティに関する知識のないWordPressサイト運営者でも、手軽に最高レベルのセキュリティを保てるサーバを紹介させて頂きます。

そのサーバは、Pro-Web です。

WordPressをインストール、構成、管理するためのツール(WordPress Toolkit)が提供されており、現状Wordpressをスキャンして設定不備・改善事項を確認することができ、専門知識がなくても一定のセキュリティレベルを保つことができます。

アップデート/アップグレードの動作確認において必須となるテスト環境の構築も、「複製」メニューから簡単におこなうことができます。

これにより、本番環境でリスクを負いながら更新を行う必要がなくなります。
また「バックアップ/復元」をおこなうことで、万が一アップデートが失敗してしまったときに備えることもでき、安心です。

サイトPro-Web

まとめ

WordPressのセキュリティ対策について紹介してきました。

セキュリティ対策と一言で言っても、実際にはかなりたくさんの方法があることがお分かりいただけたかと思います。ここで紹介したWordPressのセキュリティ対策を実行して安全にサイトを運営できるようにしてください。

WEBセキュリティ診断くん


URLhttps://cybersecurity-jp.com/shindan/

「WEBセキュリティ診断くん」は、Webアプリケーションに存在する脆弱性を診断するツールで、無料でWEBサイトに存在する脆弱性の数を把握することが可能です。
また、実際に脆弱性に対してどのような対策を行えば良いかは、月額10,000円からの少額で診断結果を確認することが可能です。

まずは無料で脆弱性の数を診断してみてはいかがでしょうか?

WordPressのセキュリティに関するよくある質問

最後に、Wordpressのセキュリティに関するよくある質問2つにお答えします。

  1. WordPressで作ったネットショップのセキュリティ対策は?
  2. WordPressのセキュリティ対策は他にもある?

順番に回答します。

Q1. WordPressで作ったネットショップのセキュリティ対策は?

A.セキュリティプラグインの導入と、パーミッションの変更などをおこないましょう。

ネットショップに限らず、Wordpressを運用する上でセキュリティプラグインの導入は必須です。加えて、ネットショップでは顧客情報を扱うため、通常のセキュリティ対策よりも一段階上の対策が必要となるでしょう。そこで効果的なのが、パーミッションの変更です。

パーミッションとは、サーバー上のファイルへのアクセス権限を表す数値のこと。パーミッションの数値を「400」または「600」に変更すれば、第三者によるファイルの不正操作を防止できます。WordPressのパーミッションを変更する際は、「FFFTP」や「WinSCP」などのフリーFTPソフトを使いましょう。

Q2. WordPressのセキュリティ対策は他にもある?

A.レンタルサーバーの設定で、セキュリティ対策をおこなえる場合があります。

たとえば、エックスサーバーには、Wordpress用のセキュリティ機能が搭載されています。標準設定でセキュリティ機能が有効になっているため、特別な設定をする必要がありません。ログイン試行回数やIPアクセス制限など、細かな設定も可能です。セキュリティプラグインと併用すれば、より安全な環境でWebサイトを運用できるでしょう。


書籍「情報漏洩対策のキホン」プレゼント


当サイトへの会員登録で、下記内容の書籍「情報漏洩対策のキホン」3000円相当PDFプレゼント
(実際にAmazonで売られている書籍のPDF版を無料プレゼント:中小企業向け大企業向け


ぜひ下記より会員登録をして無料ダウンロードしてみてはいかがでしょうか?

無料会員登録はこちら

SNSでもご購読できます。