WordPressは世界中誰でも利用出来るオープンソースなのでセキュリティ対策が弱いと言われています。
WordPressを導入した後にセキュリティ対策をしっかりしないとwebページの改ざん被害などにあう可能性もありますので最低限のセキュリティ対策を行いましょう。起こってからでは遅いからね。
10年間Webディレクターとして働いた経験をもとに必要な対策を紹介します。Wordpressを導入してセキュリティ対策を考えている方は参考にしてくださいね。
WordPressのセキュリティ対策の紹介
今回紹介するセキュリティ対策は最低限の方法です。個人ブログであればこれ位の対策で十分かと思います。基本的な方法なので作業は簡単ですよ。
対策内容を書く前に改ざんされた事例をちょっと紹介します。
WordPressの改ざん事例
WordPressで被害にあった事例を何個か書きます。
[1]Webページを書き換えられた
一番多いケースがコチラ。Webページに勝手にログインされ勝手に書き換えられていました。全ページに英語のテキスト文章が3行追加されたいた。とか、フッターにリンクが貼られたいたなどWebページを勝手に書き換えられる事がありました。
Webページの書き換えは私の元にも「企業のWebサイトが改ざんされたので対策して欲しい」と問い合わせが何回かあったので意外と身近に起こっている事例です。
[2]不正プログラムをダウンロードさせる
これもWebページの書き換えですが、サイトに入ると別ページへ勝手に移動して不正なプログラムをダウンロードさせる事例もありました。
[3]個人情報流出
サーバー内にウイルスを埋め込みサーバー上にある情報や、ログインしたPCの個人情報などを抜き取られる事もあります。
ECサイトからカード情報などを抜き取られるケースもあるそうです。
個人情報の流出は私自身は対応したことはないけれどもよくニュースになっているので他人事と思わずしっかり対策をしないといけませんね。
以上が事例の紹介です。
ちょっと怖いですよね。Web上にデータがあり誰でもアクセス出来てしまう状況なので改ざんが起こる可能性がある事は理解しておいた方がいいと思います。
なぜ改ざんが起こるのか?
改ざん被害が多くのケースは単純な事です。
- セキュリティソフト・セキュリティのプラグインを導入していない
- WordPressのバージョンをずっとあげていない
- Web修正を担当した人のPCにセキュリティソフトが未導入
- パスワードが簡単すぎる
- 管理画面のURLが決まっている
大手サイトやサーバー攻撃を受けたなどは防ぎようがないかもしれませんが、私が聞いた話だと被害にあった方の多くはファイルの未更新がほとんどでした。
理由は色々あるにせよしっかりと管理しておけば防げるのでこれから行う対策をしっかりしましょう。
作業を行う前には必ずデータのバックアップを取っておきましょうね!
基本的なWordpressのセキュリティ対策
基本中の基本の対策を紹介します。誰でもやっている対策だけど定期的に見直さないとウィルスが入ってくるので基本を怠らずに対策していきましょう。
[1]パスワードの強化
当たり前の事だけど説明します。
どのサイトでも同じだと思いますが「パスワード」は複雑なほどいいです。「admin」とか「password」とかは絶対にダメですよ。
ちなみに、ワードプレスのアカウント名は誰でも分かっちゃうんです。このURLを入力すればURLにアカウント名が表示されます。
http://自分のWebサイトのアドレス/?author=1
怖いよね。アカウト名を防ぐプラグイン(Edit Author Slug)もあるけどパスワードを強化しておくことが最も重要です。
一番いいパスワードはWordpressを設定した時に最初に表示されるパスワード。覚えられないけどこれ位複雑なパスワードが一番効果的ですね。
ユーザー設定で自動で強力なパスワードを作ってくれるのでそのパスワードを使うのが一番セキュリティが強固です。例えば「sZzC$bQafviZI%YC7BR2xjbY」みたいな。
覚えられないけどね。覚えられるパスワードを設定する方は大文字小文字の英数字を使って複雑なパスワードを設定してみてね。
WordPress設定画面の「ユーザー」→「あなたのプロフィール」でパスワードが作れるので強力と表示されるパスワードを設定しましょう。
[2]使っていないプラグインの削除
使っていないプラグインは削除しましょう。特に開発者の更新が止まっているプラグインは一番危険です。セキュリティ対策も昔のまま止まっているのでプラグイン経由でウイルスが入ってきてしまいます。
インストールしたままだと容量を取ってサイトが重くなるからね。使っていないプラグインは削除して整理た方がいいですよ。
利用中のプラグインも最新版が出たら随時更新して最新にする事でセキュリテ対策に繋がるので更新していくか削除するか定期的に見直すことをオススメします。
[3]wp-config.phpファイルのパーミッション変更
WordPressの中にある「wp-config.php」ファイルを書き換えさせないようセキュリティを強化します。
wp-config.phpファイルにはデータベース(IDやパスワードなど)の大切な情報が記述されているのでアクセスされると簡単にワードプレスへログインされてしまいます。
wp-config.phpファイルのセキュリティ対策
wp-config.phpのセキュリティはパーミッションの変更を行います。
細かい設定は省くけど、パーミッションを「400」に変更する事で管理者しか書き換えが出来なくなるんです。
FTPで操作する方法が一番簡単だけど、サーバーの管理画面から変更は誰でも出来るのでやり方を紹介します。
私が使っているのはエックスサーバー。ログインしてから「ファイル管理」の中へ。
ファイル管理の中にWebのデータがあるのでwp-config.phpの場所を探します。
私の場合は「ドメイン名」→「public_html」の中にありました。
最初から400になっていたので変更しませんでしたが、権限が400になっていない人は修正しましょう。これで外部からのアクセスは防げます。
.htacessでの設定も可能です。
wp-config.phpと同じ階層の.htacessに下記コードを記載してください。
|
<files wp–config.php>
order allow,deny
deny from all
</files>
|
[4]セキュリティプラグインはSiteGuardを導入
次はプラグインを導入してセキュリティを強化しましょう。
WordPressを導入している方で一番人気のセキュリティ対策プラグイン「SiteGuard」。
一番の魅力は国産のプラグインなので画面が分かりやすい!そして機能が充実しているんです。
SiteGuardは主に管理ページの保護を中心としたセキュリティで不正ログインを防いでくれます。
SiteGuardの主な機能はコチラ
- 管理ページにアクセス制限をかける
- ログインページのURLを変更
- ログインページに画像認証を追加
- ログインのメールアラート機能
- XMLRPCの悪用を防ぐ
- プラグインの更新をメールでお知らせ
などがあります。
詳細はWebに載っていますので見てみてね。
不正なログインを防ぐ為に入れてほしいプラグインなのでぜひ利用してみてね。
起こってからでは遅いので出来ることをやろう
紹介した4つが最低限対策するべきWordpressのセキュリティ対策でした。
ハッキングや改ざんは目に見えない脅威なのでどこまで対策をすればいいか悩むところだと思いますが、ブログを運営していて一番困るのは記事データを書き換えられることだと思います。
当たり前のことですが、知らない人にログインさせない事で防げるので今回紹介した対策は必ず実施しましょう!早ければ10分くらいで終わるから。
また必要な対策があれば更新していきますね。
