WordPressで行うべきセキュリティ対策を7つに分けて紹介！

WordPressでセキュリティ対策を行うべき理由

主な原因は、テーマやプラグインなどのセキュリティ上の欠点や高いシェア率

WordPressにおいて、セキュリティ対策をすることが重要な理由はなんでしょう？

WordPressサイトの「脆弱性」にあります。

WordPressは世界中でシェア率No.1を誇り世界中で最も使われているCMSのうちの1つです。

しかし、世界中で使われているということは、裏を返せば攻撃の標的になりやすいということです。

セキュリティ対策を行っていると、一生懸命更新したブログ記事を改竄（ざん）されたり

個人情報を悪用されたりする可能性があります。

このような理由から、WordPressでのセキュリティ対策は重要なんですね。

WordPressで行うべきセキュリティ対策

では、ここからは本題であるWordPressで行うべきセキュリティ対策を1つずつ見ていきましょう！

定期的にバックアップを取る

他の項目にも通ずることなので最初に書きましたが、まずは行って欲しいのはこれ。

定期的に、WordPressサイトやデータベースなどのデータのバックアップを取るようにしておきましょう。

WordPressでは、「All in One WP Migration」や「WP Vivid」などの様々なプラグインを利用してバックアップを行うことができますが

初心者にもお勧めなプラグインは「UpdraftPlus」です。

こちらは、ワンクリックでバックアップデータを取得することができますし

データベースやプラグイン、テーマなどごとにバックアップを分けるのでどれか　の時も対応できます。

UpdraftPlusの使い方に関しては、別の記事で解説しているのでぜひ参照してみてください（青い部分から該当記事にリンクします）。

WordPressのテーマ、プラグインなどを最新の状態にする

WordPressのテーマ、プラグインなどはできるだけ最新の状態にしておきましょう。

テーマの場合は 外観> テーマ から、プラグインの場合はプラグイン > プラグイン一覧 から

それぞれ「更新」という箇所が出現しますので、クリックすれば更新できます。

特に、プラグインの更新は気付いたらなるべく更新するようしましょう。

WordPressサイトに対する、いわゆるハッキングと呼ばれる行為は、実は管理画面の入り口であるログインページなどからではなくプラグインの穴などを見つけて侵入されることの方が多いです。

プラグインの開発者は穴のような脆弱性を見つけたらそれを改善しますが、それは更新することで次のバージョンから取り入れられます。

なのでプラグインを更新しないということは、セキュリティ的リスクを改善しないで放置するのと一緒なのです。

こういった理由から、テーマやプラグインの更新は気づいた時に定期的に行うようにしましょう。

また、テーマやプラグインだけではなく

WordPressのバージョンやPHPのバージョンも、最新の状態やレンタルサーバーなどが推奨するバージョンに設定するようにしましょう。

PHPのバージョンは、管理画面のサイトヘルスからでも確認できますが、バージョン変更もできるレンタルサーバー側で確認する方法をお勧めします。

例えば、Xサーバーの場合は、「PHP」から「PHP Ver.切り替え」を選択することで

Xサーバーが推奨しているバージョンに設定しましょう。

ただし、WordPressのバージョンが古いままPHPのバージョンを上げてしまったり

古いPHPにしか対応していないコードが記述された状態でPHPのバージョンを上げると、エラーが出てしまうこともありますので

先述しましたが、必ずバックアップを取っておき、元に戻せる状態にしてから更新するようにしましょう。

不要なテーマ、プラグインは削除する

基本的に使用していないテーマやプラグインは無効化し、削除しましょう。

使用していないテーマやプラグインも、有効化の状態になっているとバックエンドでプログラムが動くことによって

サイト全体の動作が重くなってしまうことがあるからです。

例えば、WordPressをインストールした時点で入っているプラグインに、「Hello Dolly」があります。

このプラグインを有効化すると、すべての管理画面の右上に Hello, Dolly からの歌詞がランダムに表示されます。

しかしこのプラグインは、セキュリティを強化してくれたり機能を追加してくれるプラグインではないので

正直ほとんどの人にとってはいらないです。笑

なので、こういったプラグインが入っていたら、無効化するだけでなく削除もしてしまいましょう（Hello Dollyの影響でサイト全体の動作が著しく重くなってしまうことはないとは思いますが、いらないプラグインは削除しようね、という話です）。

また同じ機能を持ったプラグインを複数使用すると、場合によっては競合してしまう可能性もあるので

どちらか一方を無効化したり、削除するようにしましょう。

テーマに関しては、現在使用しているテーマと、　WordPressが標準で搭載してくれている20XX年系のテーマを1つ残し、2つのテーマが存在するようにしておくといいと言われています（不要なテーマはできるだけ削除した方がいいが、テーマに問題があった場合に切り替えるテーマが必要なため）。

サイトをSSL化をする

サイトをSSL化するのもセキュリティ的に有効です。

SSL化とは、Webサイトとサイトを訪問者との通信を暗号化することによって、個人情報の改竄（ざん）やなりすましなどを防ぐことです。

URLの先頭がhttpからhttpsに変更されていれば、SSL化が正しく設定されています。

SSL化は、レンタルサーバーでの設定や、プラグインを利用して行うことができます。

例えば、Xサーバーならサーバーパネルの「ドメイン」から「SSL設定」でSSL化を行うことができます。

SSL化をしたいドメインを選択し、OFFになっている場合はONに変更するだけです。

SSL化が完了するまで、数時間かかることもあるので早めに申請するようにしましょう。

管理画面のログインパスワードを複雑なものにする

管理画面からのアクセスを簡単に許さないように、ログインパスワードは複雑なものにしましょう。

不正ログインされにくくなるパスワードの特徴として

• 12桁以上にする
• 数字や英字の小文字・大文字、さらに記号や特殊文字などを含める

などがありますので、その法則を厳守するとともに、1つのパスワードを使い回さないことも重要です。

逆に、「123456」「password」などの単純な数字の羅列や、誕生日を設定している人がいますが

すぐに突破されてしまう可能性が高いので、やめた方が無難です。

また現在は、Googleが複雑なパスワードを設定してくれる「パスワードマネージャー」の機能や

「1password」などのパスワード管理ツールを利用するのもいいでしょう。

特に、1passwordは「マスターパスワード」と呼ばれる1つのパスワードだけ覚えておけばいいのでおすすめです。

Google reCAPTCHAやCloudflare Turnstileなどの認証システムを導入する

これは、特にお問い合わせフォームを実装した際に一緒に行っておきたいセキュリティ対策になりますが

Google reCAPTCHAやCloudflare Turnstileなどの認証システムを導入しておきましょう。

これらのサービスを導入することによって、お問い合わせからスパムメールが大量に送られてくることを防ぐことができます。

Google reCAPTCHAの具体的なやり方については、こちらの記事を参考にしてください。

また、Cloudflare Turnstileに関しては以下の記事をご参照ください。

最後に

ということで、今回はWordPressで行うべきセキュリティ対策7選をご紹介しました。

あなたはどれだけ出来ていましたか？

セキュリティ対策を行うことは、いわばサイトという城の守りを固めることです。

常にサイトを万全な状態にしておくために、やれることは全てやっておくようにしましょう。

このブログでは、Web制作に関する話題やコーディング、WordPressなどに役立つ情報を発信しているので

次回の記事もぜひ見てくださいね。