WordPressでセキュリティ対策を行うべき理由
主な原因は、テーマやプラグインなどのセキュリティ上の欠点や高いシェア率
WordPressにおいて、セキュリティ対策をすることが重要な理由はなんでしょう?
WordPressサイトの「脆弱性」にあります。
WordPressは世界中でシェア率No.1を誇り世界中で最も使われているCMSのうちの1つです。
しかし、世界中で使われているということは、裏を返せば攻撃の標的になりやすいということです。
セキュリティ対策を行っていると、一生懸命更新したブログ記事を改竄(ざん)されたり
個人情報を悪用されたりする可能性があります。
このような理由から、WordPressでのセキュリティ対策は重要なんですね。
初心者きつね日々更新した記事を消されたり、中身を改竄されるのは怖いな。。
WordPress使うのやめようかしら?
わいいやいや、セキュリティを強化すれば大丈夫だよ!
WordPressで行うべきセキュリティ対策
では、ここからは本題であるWordPressで行うべきセキュリティ対策を1つずつ見ていきましょう!
定期的にバックアップを取る
他の項目にも通ずることなので最初に書きましたが、まずは行って欲しいのはこれ。
定期的に、WordPressサイトやデータベースなどのデータのバックアップを取るようにしておきましょう。
WordPressでは、「All in One WP Migration」や「WP Vivid」などの様々なプラグインを利用してバックアップを行うことができますが
初心者にもお勧めなプラグインは「UpdraftPlus」です。
こちらは、ワンクリックでバックアップデータを取得することができますし
データベースやプラグイン、テーマなどごとにバックアップを分けるのでどれか の時も対応できます。
UpdraftPlusの使い方に関しては、別の記事で解説しているのでぜひ参照してみてください(青い部分から該当記事にリンクします)。
WordPressのテーマ、プラグインなどを最新の状態にする
WordPressのテーマ、プラグインなどはできるだけ最新の状態にしておきましょう。
テーマの場合は 外観> テーマ から、プラグインの場合はプラグイン > プラグイン一覧 から
それぞれ「更新」という箇所が出現しますので、クリックすれば更新できます。
特に、プラグインの更新は気付いたらなるべく更新するようしましょう。
WordPressサイトに対する、いわゆるハッキングと呼ばれる行為は、実は管理画面の入り口であるログインページなどからではなくプラグインの穴などを見つけて侵入されることの方が多いです。
プラグインの開発者は穴のような脆弱性を見つけたらそれを改善しますが、それは更新することで次のバージョンから取り入れられます。
なのでプラグインを更新しないということは、セキュリティ的リスクを改善しないで放置するのと一緒なのです。
こういった理由から、テーマやプラグインの更新は気づいた時に定期的に行うようにしましょう。
また、テーマやプラグインだけではなく
WordPressのバージョンやPHPのバージョンも、最新の状態やレンタルサーバーなどが推奨するバージョンに設定するようにしましょう。
PHPのバージョンは、管理画面のサイトヘルスからでも確認できますが、バージョン変更もできるレンタルサーバー側で確認する方法をお勧めします。
例えば、Xサーバーの場合は、「PHP」から「PHP Ver.切り替え」を選択することで
Xサーバーが推奨しているバージョンに設定しましょう。
ただし、WordPressのバージョンが古いままPHPのバージョンを上げてしまったり
古いPHPにしか対応していないコードが記述された状態でPHPのバージョンを上げると、エラーが出てしまうこともありますので
先述しましたが、必ずバックアップを取っておき、元に戻せる状態にしてから更新するようにしましょう。
不要なテーマ、プラグインは削除する
基本的に使用していないテーマやプラグインは無効化し、削除しましょう。
使用していないテーマやプラグインも、有効化の状態になっているとバックエンドでプログラムが動くことによって
サイト全体の動作が重くなってしまうことがあるからです。
例えば、WordPressをインストールした時点で入っているプラグインに、「Hello Dolly」があります。
このプラグインを有効化すると、すべての管理画面の右上に Hello, Dolly からの歌詞がランダムに表示されます。
しかしこのプラグインは、セキュリティを強化してくれたり機能を追加してくれるプラグインではないので
正直ほとんどの人にとってはいらないです。笑
なので、こういったプラグインが入っていたら、無効化するだけでなく削除もしてしまいましょう(Hello Dollyの影響でサイト全体の動作が著しく重くなってしまうことはないとは思いますが、いらないプラグインは削除しようね、という話です)。
また同じ機能を持ったプラグインは、場合によっては競合してしまう可能性もあるので
どちらか一方を無効化したり、削除するようにしましょう。
テーマに関しては、現在使用しているテーマと、 WordPressが標準で搭載してくれている20XX年系のテーマを1つ残し、2つのテーマが存在するようにしておくといいと言われています(不要なテーマはできるだけ削除した方がいいが、テーマに問題があった場合に切り替えるテーマが必要なため)。
ログイン画面のURLを変更する
WordPress管理画面のログインURLは、「http(s)://ドメイン名/wp-admin」でありドメイン名以外は固定の値です。
つまり、あるWordPressサイトに訪れトップのページのリンクの後ろに「/wp-admin」を付けると、ログイン画面に移れてしまいます。
分かりやすい仕組みの反面、IDやパスワードの情報が漏れてしまったら、簡単にログインされてしまい
サイトの中身を好きにいじられてしまうと思うと、何とも怖いですね。。
なので、ログイン画面のURLを変更することで不正ログインの防止になります。
ログイン画面のURLを変更できるおすすめのプラグインは、「SiteGuard WP Plugin」というセキュリティ対策プラグインです。
別の記事で、SiteGuard WP Pluginを利用してログイン画面のURLを変更する方法を解説していますので
参考にしてみてください。
サイトをSSL化をする
サイトをSSL化するのもセキュリティ的に有効です。
SSL化とは、Webサイトとサイトを訪問者との通信を暗号化することによって、個人情報の改竄(ざん)やなりすましなどを防ぐことです。
URLの先頭がhttpからhttpsに変更されていれば、SSL化が正しく設定されています。
SSL化は、レンタルサーバーでの設定や、プラグインを利用して行うことができます。
例えば、Xサーバーならサーバーパネルの「ドメイン」から「SSL設定」でSSL化を行うことができます。
SSL化をしたいドメインを選択し、するだけです。
SSL化が完了するまで、数時間かかることもあります。
管理画面のログインパスワードを複雑なものにする
管理画面からのアクセスを簡単に許さないように、ログインパスワードは複雑なものにしましょう。
英字の小文字だけでなく大文字を含めたり、さらに数字を中に入れるなどすると複雑になるのでおすすめです。
逆に、「1234」などの単純な数字の羅列や、誕生日を設定している人がいますが
セキュリティの観点からしたらすぐに見破られてしまうので、やめた方が無難です。
また現在は、Googleが複雑なパスワードを設定してくれる「パスワードマネージャー」などの機能もあるので
それを利用するのもいいでしょう。
ただし、メモをとっておいたりブラウザで記憶する設定をしておくなどして
複雑なパスワードを忘れないような工夫をするのも忘れずに。
Google reCAPTCHAを導入する
これは、特にお問い合わせフォームを実装した際に一緒に行っておきたいセキュリティ対策になりますが
Google reCAPTCHAを導入しておきましょう。
Google reCAPTCHAとは、 なGoogleのサービスのことですが
Google reCAPTCHAを導入しておくことによって、お問い合わせからスパムメールが大量に送られてくることを防ぐことができます。
具体的なやり方については、こちらの記事を参考にしてください。
最後に
ということで、今回はWordPressで行うべきセキュリティ対策7選をご紹介しました。
あなたはどれだけ出来ていましたか?
常にサイトを万全な状態にしておくために、やれることは全てやっておくようにしましょう。
このブログでは、Web制作に関する話題やコーディング、WordPressなどに役立つ情報を発信しているので
次回の記事もぜひ見てくださいね。
わい記事をSNSで拡散すると、有益な投稿をするアカウントだと思われ
フォロー数やいいね数が増えるかもしれないよ!
\ 最新情報をチェック /
コメント