株式会社I-SEED(アイシード)|大阪・心斎橋のWEB制作集団

誰でもできるWordPressセキュリティ対策

誰でもできるWordPressセキュリティ対策

HISAHISA
この記事は、2020年2月10日に編集し、約 6 分で読めます。

今回は「WordPress のセキュリティ対策」についてです。

WordPress は世界中で今も第一線で使用されている CMS です。
I-SEED でも WordPress での開発・納品が多いです。

WordPress のメリットとしては

  • 無料(オープンソース)
  • インストールなどの初期設定が簡単
  • デザイン(テーマ)が豊富
  • 簡単に機能を追加できるプラグインが豊富
  • 管理画面が最初から整備されているので、クライアント側で入力ができる

など、挙げればきりがないほどありますが、最大のデメリットが今回のテーマでもある「セキュリティ」です。

先に言っておきますが、WordPressは決してセキュリティ対策が甘いというわけではありません。
頻繁にバージョンアップがありますし、対策用プラグインも多数用意されています。
ただ、世界中で使用されているということは、比例してそれだけ狙う輩も多いですし、セキュリティ対策ができていない管理者も多いので、相対的にそういう印象を持たれがちです。
WordPress も、しっかりセキュリティ対策すれば、安全な運用が可能なのです。

今回の記事は、「誰でもできる」ということを重要視して、エンジニアでない管理者の方でも、WordPressのセキュリティ対策ができるように書いています。
是非参考にしてみてください。

セキュリティ対策プラグインを導入する

身も蓋もないですが、セキュリティ対策プラグインを入れるのが一番簡単で手っ取り早いです。
オススメするプラグインは「SiteGuard WP Plugin」です。

SiteGuard WP Plugin | ソフトウェアWAFのJP-Secure
SiteGuard WP Pluginは、管理ページとログインページの保護を主な目的とする、WordPress向けのシンプルなセキュリティプラグインです。インストールするだけで簡単にセキュリティを向上でき、完全日本語対応しています。

WordPress のプラグインメニュー → 新規追加 → プラグインの検索 で「SiteGuard WP Plugin」と入力して、有効化するだけで使用できます。

有効後は、以下の対策をしてみてください。

ログイン画面のURLを変更する

WordPressへの攻撃は、主にログインページ画面に行われます。
初期設定の「wp-login.php」や「wp-admin」を使用していると、攻撃対象となります。
そこで、ログイン画面のURLを変えてやるのです。

この機能は、SiteGuard WP Plugin を有効化するだけでオンになりますが、以下の手順でオリジナルのログイン画面URLを発行できます。

  1. SiteGuard WP Plugin メニューの「ログインページ変更」を選択
  2. 「変更後のログインページ名」に、新しいログイン画面となるURLを入力
    ※ 意味のある英語よりも、日本語をローマ字にして、ランダムな数字も入力するとより良い。

このままだとログイン画面URLを変更しても、wp-login.php にアクセスすると、自動的に上記ページに遷移(リダイレクト)できてしまいます。
オプションで、「管理者ページからログインページへリダイレクトしない」にチェックをつけると、上記で決めた新しいログインURL以外ではアクセスできなくなります。
新しいログイン画面URLを各所に伝えるなど、管理上問題ないか確認してからチェックをつけてください。

ログイン画面に画像認証機能を追加する

もしログイン画面に対して攻撃されても、画像認証機能が付いていれば、ログインされる危険性はかなり減ります。
導入すると、以下画像の様に、表示されている画像から文字を読み取って入力しなければログインできなくなります。

WordPress ログイン画面 画像認証

ログインが若干面倒にはなりますが、効果はあります。

この機能をオンにするには、SiteGuard WP Plugin メニューから「画像認証」を ON にしてください。
設定画面では、画像認証を求める箇所と、入力文字をひらがなが英語のどちらか選択することもできます。

ログインに失敗したときの制限をかける

サイトを攻撃する輩はユーザーIDやパスワードを自動生成して、何度もログインを試みようとします。
これに対しては、何度かログインに失敗したら、しばらくログインできないようにしてやるのが効果的です。

この機能は SiteGuard WP Plugin を有効にすると、自動的にオンになります。
設定画面では、制限する時間などを細かく設定することもできます。

プラグイン以外でのセキュリティ対策

上記セキュリティ対策プラグインの導入だけでもかなりの効果が見込めますが、それ以外でもできるセキュリティ対策をご紹介しておきます。
少し難易度が上がるものもありますが、プラグインと合わせて導入するとさらに強固なセキュリティとなります。

管理者アカウントのユーザー名とパスワードを変更する

WordPress の管理者アカウントにログインされてしまうと、あっという間にサイトを掌握されてしまいます。
そうならないように、管理者アカウントのログイン情報は厳重にしてください。

よくやりがちなのが、ユーザー名に「wp-admin」などの誰もが想像しやすいものを使用してしまうことです。
また、パスワードも複雑なものを使用してください。
以下サイトで自動生成することも可能です。

パスワード生成(パスワード作成)ツール
パスワード生成(パスワード作成)するweb・ウェブ制作に役立つ便利ツール。お好みのパスワードを生成(自動作成)することができるツールです。

WordPress 本体と各種プラグインのアップデート

WordPress はセキュリティ対策として、頻繁にアップデートを用意してくれています。
また、各種プラグインもそれに対応してアップデートされることがあります。

これらを最新版にアップデートするだけで、セキュリティ対策として効果があります。

ただ、WordPress 本体のアップデートをしてしまうと、オリジナルや古いテーマを使用している場合、表示が崩れたり、サイト上にPHPのエラーメッセージが出てしまうことがあるので、必ずバックアップをしてから行いましょう。

プラグインのアップデートは、そこまで影響は無いと思いますが、こちらも念の為バックアップをしておくことをオススメします。

使用していないプラグインの削除

使用していないのにインストールしているプラグインは、できる限りアンインストールするようにしましょう。

ログイン画面にベーシック認証を設定する

ログイン画面(wp-login.php)に別途パスワード(ベーシック認証)を設定することで、セキュリティを高めることができます。

ベーシック認証を導入する手法は2パターンあり、「サーバー側の機能」または「.htaccess」があります。
「サーバー側の機能」のほうが簡単で、契約しているサーバーの管理画面から設定できます。
「.htaccess」での設定は以下記事が参考になります。

Basic認証(基本認証)でアクセス制限をかける方法
ウェブサイト内の特定ページやディレクトリにアクセス制限を施す設定方法として、Basic認証(ベーシック認証/基本認証)の使い方を初心者向けに解説。ユーザー名(ID)とパスワードの入力が必要な会員制ホームページの作成方法をご紹介。HTMLの修正は不要で、.htaccessファイル等を書けば簡単にパスワード認証を設定できま...

ログイン画面にIP制限をかける

ログイン画面に接続できるIPを制限することにより、指定のネットワーク以外からのアクセスを拒否できます。
設定するには、「.htaccess」に以下のコードを書き込み、アップロードします。

<Files wp-login.php>
order deny,allow
deny from all
allow from 許可するIP
</Files>

許可するIPには、ご自身のIPを入力してください。
現在使用中のIPを知りたい場合は、以下サイトで確認できます。

アクセス情報【使用中のIPアドレス確認】
あなたのアクセスしているIPアドレス情報などをENVとJavaScriptで取得し表示します。あなたのIPアドレスからポート疎通・ping疎通・DNS索引・WHOIS情報も取得できます。

まとめ

まだまだセキュリティ対策はありますが、今回ご紹介したものは導入しやすいと思います。

私もこれまで何度も制作した WordPress が狙われるという事案に遭遇してきました。
「WordPressは必ずいつか狙われる」と想定して、上記セキュリティ対策を必ずしておいてください。

ただ、いくらセキュリティ対策をしても、ログイン情報が流出するような管理体制では意味がないので、この機会に社内ルールなどを一度見直してみるのも良いと思います。

サイトへの攻撃は WordPress が原因というより、管理がずさんなため起こることがほとんどです。
この場合、WordPress を敬遠して、他のものを使用しても結局は同じことです。

今一度しっかりセキュリティ対策をして、WordPress と良い付き合いをしていきましょう。

この記事を書いた人
HISA

ホームページ作成をメモ帳時代からやってます。ゲーム大好き!「格闘ゲーム」や「デジタルカードゲーム」を好みます。大会にもチラホラ参加しています。

HISAをフォローする

WEBの事でお悩みなら、まずは一度 I-SEED にご相談ください!

I-SEED は 「デザイン」「SEOマーケティング」「システム開発」を併せ持つWEB制作会社です。

コーポレート、オウンドメディア、ECなど様々な分野のサイト制作を得意としています。システム開発も自社で行っているので、様々なプロジェクトに柔軟かつ迅速に対応できるのが強みです。

大阪に良いWEB制作会社がいないとお困りの方は、是非一度 I-SEED までご相談ください。

I-SEED では随時採用も行っています。各種エンジニア、ディレクター、デザイナー、ライター、マーケターの全職種を募集しています。ご興味がある方は採用ページもご覧ください。

ブログページに戻る