WordPressを導入する人が知っておきたいことのひとつにセキュリティ対策を挙げることができます。
WordPressは知名度が高く、オープンソースソフトウェアなため、攻撃の対象になりやすいです。そのため、WordPressを導入するなら、セキュリティ対策についてしっかりと知っておく必要があるでしょう。
今回は、WordPressのセキュリティ対策強化のポイントを8つご紹介しますので、WordPressを導入したサイトを安全に運用したい人はチェックして下さい。
WordPressハッキングの状況
セキュリティ対策ポイントをご紹介する前に、WordPressのハッキング状況を先に見ていきましょう。
2016年WordPressのハッキング状況
2016年第1四半期のCMSハッキング状況は、WordPressが第1位で78%、次いでJoomla!が14%、Undefinedが6%です。第2四半期、第3四半期に関してもWordPressがハッキングされやすいCMS第1位となっています。
2017年WordPressのハッキング状況
2017年に関しても、ハッキングなどで感染が報告されているCMS第1位はWordPressで、その割合は83%にも及びます。
WordPressはほかのCMSに比べ、ずば抜けてハッキングされている割合が高いと言えるでしょう。
WordPressのセキュリティ対策
このように、WordPressは過去にハッキング被害を受けているため、WordPressを導入される人はしっかりとWordPressのセキュリティ対策を把握しておく必要があります。
早速、セキュリティ対策の方法を8つご紹介していきますので、是非参考にして下さい。
① WordPressの更新を欠かさない
WordPressはオープンソースソフトウェアとして有名です。
オープンソースソフトウェアは、プログラムが公開されているため、誰でもソースコードを読むことができます。そのため、悪意のある人がソースコードを読み、脆弱性を見つけてそこをついて攻撃してくることがあるのです。
基本的に脆弱性が見つかると、WordPressはバージョンアップしてセキュリティが強化されます。そのため、常にWordPressのバージョンを最新のものにしておくことは立派なセキュリティ対策と言えるでしょう。
② テーマの更新でセキュリティ強化
WordPressだけでなく、テーマも定期的に更新する必要があります。
なぜなら、WordPressだけでなく、テーマにも脆弱性が見つかる可能性があるからです。基本的に脆弱性が見つかった場合、CMSと同様にテーマのバージョンがアップします。テーマがバージョンアップしたら、必ず更新をするようにしましょう。
WordPressのセキュリティ対策について調べている方の中には、まだ利用するテーマが決まっていない方もいるのではないでしょうか。こちらでは、ビジネス向けの国産テーマをご紹介していますので、参考にしてみて下さい。
③ プラグインも定期的にアップデート
WordPressやテーマと同じように、プラグインに関しても定期的にアップデートをしておくようにしましょう。プラグインも定期的にアップデートしておくことで、脆弱性を狙われる危険性を軽減できます。
また、使わないプラグインは停止中ではなく、必ず削除するようにして下さい。なぜなら、停止中であってもプラグインがインストールされているだけで脆弱性を狙われてハッキングされる可能性があるからです。セキュリティ対策のためにも、使わないプラグインは削除し、安全にサイトを運用できるようにしましょう。
また、こちらの記事ではWordPressのプラグインを利用する際に注意しておきたいポイントをご紹介しています。詳しく知りたい方は是非アクセスしてみてはいかがでしょうか。
④ 管理者IDとパスワードは推測されにくいものにする
WordPressを管理するユーザーには、管理者IDとパスワードが付与されます。実際にサイトを編集する時は、管理者ログイン画面から管理者IDとパスワードを入力してアクセスし、作業を行うことになるでしょう。
もし、この管理者IDとパスワードが推測されやすいものであった場合、侵入される危険性は非常に高くなります。そのため、管理者IDやパスワードは推測されにくいものを選択するといいでしょう。
管理者IDやパスワードは、単純なものにせず、“大文字”や“記号”を交えるなどすることでハッキングされづらくなります。逆に「test」や「demo」、「root」など容易に推測できる管理者IDやパスワードは必ず避けるようにして下さい。
⑤ データベースの接頭辞に“wp_”は使わない
WordPressを動作させるためには、データベースが必須です。
そのため、WordPressをセットアップする画面の中でWordPressに使用するテーブルの接頭辞を決めます。この接頭辞ですが、デフォルトでは「wp_」となっています。そのため、デフォルトの接頭辞でそのままWordPressを導入してしまう人が非常に多いです。
MySQLに接続するためには、MySQLのIDやパスワードが必要になるため、接頭辞だけでデータベースの内容を変更することはできません。しかし、デフォルトのままでは推測されやすいので、適切とは言えないでしょう。接頭辞の文字列が「wp_」という人は、推測されづらい文字列に変更するようにして下さい。
⑥ WordPress管理画面にログインする際のURLを変更する
WordPressを導入してサイトを運営している人であれば誰でも知っていることですが、WordPressの管理画面にアクセスする際にはログイン画面のURLを経由します。
例えば、「https://〇〇○.com/wp-admin」や「https://〇〇○.com/wp-login」などです。
デフォルトの状態のまま運営していると、ログイン画面は公開されている状態になります。つまり、誰でもログインページにアクセスできてしまうのです。
ログインページにアクセスできたからといって、管理画面に入るためにはログインIDとパスワードが必要なので、Webサイトのコンテンツを変えられてしまうということはありません。
しかし、もし推測して正しいユーザー名とパスワードが入力できてしまった場合、管理画面に侵入できてしまいます。そのため、管理者以外の人もログインページにアクセスできる状態はセキュリティ対策として適切とは言えないでしょう。
アクセスをさせないためにも、ログイン画面のURLを変更して下さい。「SiteGuard wp plugin」というプラグインを導入すれば、簡単にログイン画面のURLを変更することができます。是非、試してみてはいかがでしょうか。
⑦ 管理画面の画像認証機能を追加する
ログイン画面のセキュリティ対策をさらに強化するために、管理画面の画像認証機能を追加してみてはいかがでしょうか。
画像認証機能を追加することで、プログラムが読み取れない画像の文字も入力する必要があるため、Webスクレイピング(人間ではなくプログラムでWebサイトを巡回する行為)によるハッキングを防止することができます。
そのため、画像認証機能を搭載することで、セキュリティ対策をさらに強化することができるでしょう。
ちなみに、上記で紹介したプラグイン「SiteGuard wp plugin」を使えば、管理画面の画像認証機能を容易に搭載できます。セキュリティ対策を強化するために、是非活用して下さい。
⑧ コメント機能を外してセキュリティ強化
WordPressには標準機能としてコメント機能が搭載されています。
コメント機能を設置することで、記事を読んだ読者からコメントをいただけるというわけです。
しかし、このコメント機能のおかげでコメントスパム被害に遭われる方が非常にたくさんいます。
コメントスパムとは、コンテンツに全く関係のない内容を“大量”にコメントする行為です。
プログラムでコメントをするため、Webサーバーに負荷がかかり、Webサイトがダウンしてしまう可能性もあります。
また、URL付きのコメントを送信して、そのURLにアクセスしてしまった自分の読者に被害を与えるケースもあります。
コメントスパムへの対応の仕方はいくつかありますが、コメント機能が絶対必要なサイト以外はコメント機能を外すことをおすすめします。なぜなら、コメント機能を外すことで、コメントスパムをシャットアウトすることができるからです。
まとめ
WordPressを導入すれば便利にサイトを構築・運用できますが、有名かつオープンソースソフトウェアなため、ハッキングの脅威にさらされやすいです。
安全に運用するために、作った大切なコンテンツを守るためにも、WordPressを利用する人にとってセキュリティ対策は必要不可欠と言えるでしょう。