この記事で解決できるお悩み
こんにちは、カワタツです。
このようなお悩みを解決する記事を書きました!
今回は実際にぼくがしている、WordPressブログのセキュリティ対策を7つご紹介します。
記事の前半では『セキュリティ対策が必要な理由』と『起こり得る被害』について解説しつつ、記事の後半では具体的な『セキュリティ対策7つ』と『おすすめプラグイン』をご紹介しますね。
初心者でも簡単にできて、これだけしておけば大丈夫という内容なので、ぜひ最後までご覧いただき、しっかり対策しておきましょう。
すぐにセキュリティ対策を読みたい方は
▼セキュリティ対策を読む
からどうぞ。
WordPressブログの開設がまだの人は、下記の記事で説明しているのでどうぞ。
無料メルマガで発信中
ブログ運営に役立つ情報を無料メルマガで発信しています。
今メルマガにご登録いただくと、記事構成テンプレートをプレゼント。
\不満足なら1秒で解約できます/
WordPressブログにセキュリティ対策が必要な理由2つ
まずは「そもそもセキュリティ対策って必要なの?」という疑問にお答えします。
WordPressにセキュリティ対策が必要な理由は下記2つです。
それぞれ解説します。
1.攻撃の対象となりやすい
WordPressはサイバー攻撃の対象とされやすいんです。
なぜならWordPressは世界で最も使用されているCMSだから。
どうせ攻撃するなら、利用者が少ないサービスより多いサービスを狙ったほうが効率がいいですよね。
攻撃者にとったら多くのサイトに影響を与えることができるので、WordPressが狙われやすいわけです。
2.オープンソースの脆弱性
WordPressがオープンソースであることも狙われる理由になります。
オープンソースは誰でも、ソースコードを確認・編集できるというメリットがある反面、脆弱性が発見されやすいというデメリットもあるんです。
また、WordPressの機能拡張のためのプラグインやテーマにも脆弱性が存在する可能性があります。
このようにWordPressは狙われやすい状態にあるので、セキュリティ対策が重要なんです。
WordPressブログのセキュリティ対策をしないことで起こり得る被害3つ
ではセキュリティ対策をしていないことで、どのような被害が起こり得るのでしょうか。
ここでは3つご紹介します。
それぞれ見ていきましょう。
1.ブログの改ざん・データ漏えい
まず第一にWordPressに不正ログインされる被害がありえます。
その結果、ブログ記事を改ざんされたり、個人情報を盗まれる可能性があるんです。
改ざんされた記事を確認しつつ、修正するのは相当な負担ですよね。
また、個人情報が盗まれるとさらに被害が広がる可能性があります。
2.マルウェアの感染
マルウェアとは『悪意のあるソフトウェア』のことで、ユーザーの知識や同意なしにコンピューターシステムに損害を与える目的で設計されています。
自分の知らない間にサイトにマルウェアを仕込まれ、読者のコンピュータに感染するという被害もあるんです。
そうなると自分だけでなく、読者の個人情報が盗まれたりと被害が拡大してしまいます。
自分だけではなく、読者を守るためにもセキュリティ対策は重要になるんです。
3.SEOの評価低下
3つ目はSEOの評価低下という被害です。
サイトが攻撃を受けると、検索エンジンから悪質なサイトと認識されることがあります。
その結果、検索ランキングが下がり、アクセス数が減少してしまう可能性があるんです。
検索結果から除外されることもあるので、しっかりセキュリティ対策はしておきましょう。
WordPressブログのセキュリティ対策7つ
ここからはWordPressのセキュリティ対策を7つご紹介します。
それほど難しいことではないので、ひとつずつ対策をしていきましょう。
1.最新の状態に保つ
最新の状態に保つことは、セキュリティ対策の基本です。
開発者はセキュリティの脆弱性を修正するアップデートを定期的にリリースしているんです。
具体的には下記4つを最新の状態に保つようにしましょう。
- WordPress
- WordPressテーマ
- WordPressプラグイン
- PHP
それぞれ画像で説明します。
WordPress・テーマ・プラグイン
まずはWordPress・テーマ・プラグインを最新の状態に更新する手順のご紹介です。
WordPress管理画面から「ダッシュボード』→『更新』を選択します。
すると更新が必要なものが表示されるので、更新をしましょう。
今回は何も表示されていませんが、更新が必要なものがあれば赤い数字が表示されます。
PHP
PHPとはサーバー上で動作するプログラミング言語のひとつで、主にレンタルサーバーの管理画面でバージョンを変えることができます。
ここではエックスサーバー を例に解説します。
まずはエックスサーバー のサーバーパネルにログインしてください。
ログインしたら『PHP Ver.切替』を選択しましょう。
つぎに該当するドメインを選びます。
推奨となっている中で最新のバージョンを選択し、『変更』をクリックしましょう。
以上で完了です。
PHPを更新することで、処理スピードが早くなる可能性もありますよ。
推奨バージョン以外は不具合がある場合があるので、推奨バージョンを選択するようにしましょう。
2.不要なプラグイン・テーマの削除
使っていないプラグインやテーマは削除しましょう。
使っていないプラグインやテーマは、セキュリティの更新が行われないまま放置されることが多く、潜在的な脆弱性となり得ます。
無効化していても、攻撃されることがあるので削除しておいたほうがいいですよ。
プラグインの削除方法
まずはプラグインの削除方法から説明します。
WordPressの管理画面より『プラグイン』→『インストール済みプラグイン』を選択しましょう。
もし削除したいプラグインが有効化されていれば、『無効化』してください。
無効化したら『削除』をクリックします。
下記のように確認されるので、『OK』をクリックしましょう。
以上で削除完了です。
テーマの削除方法
つづいてWordPressテーマの削除方法を説明します。
WordPress管理画面から『外観』→『テーマ』を選択しましょう。
つづいて削除したいテーマにカーソルを合わせ『テーマの詳細』をクリックします。
つぎに『削除』をクリックしましょう。
以下が表示されたら『OK』をクリックします。
以上で削除完了です。
3.強力なパスワードの使用
パスワードは推測困難な複雑なものにしましょう。
パスワードが簡単だと、容易に破られ不正ログインの原因になります。
具体的には下記を意識しましょう。
- 英数字、記号を組み合わせた8文字以上にする
- パスワードの使いまわしをしない
- 定期的に変更する
- 誕生日など推測されやすいものにしない
パスワードの変更は、まずWordPress管理画面から『ユーザー』→『プロフィール』を選択します。
そして下の方へスクロールし『新しいパスワードを設定』をクリックしましょう。
新しいパスワードを入力したら、『プロフィールを更新』をクリックします。
以上でパスワード変更の完了です。
パスワードはできるだけ『強力』となるようにしましょう。
4.アクセス制限
レンタルサーバーによっては、ログイン画面にアクセス制限をかけることができます。
これによりWordPressの管理画面にアクセスするときに、IDとパスワードが必要になりセキュリティが強くなるんです。
エックスサーバー での設定方法をご紹介します。
まずエックスサーバー のサーバーパネルにログインしましょう。
ログインしたら『アクセス制限』をクリックします。
つぎに該当のドメインを選択しましょう。
つづいて『wp-admin』のアクセス制限を『ON』にして『設定する』をクリックします。
つぎに『戻る』をクリックしてください。
つづいて『wp-admin』の『ユーザー設定』をクリックしましょう。
任意の『ユーザーID』と『パスワード』を設定し『確認画面へ進む』をクリックします。
IDとパスワードは忘れずにメモしておきましょう。
『追加する』をクリックしましょう。
以上で設定完了です。
WordPressの管理画面にログインする際に、下記が表示されるようになります。
先ほど設定した『ユーザーID』と『パスワード』を入力しないと、ログインできないようになりました。
5.ユーザー名の偽装
実は、WordPressへログインするためのユーザー名は、誰でもかんたんに調べることができるんです。
ユーザー名が分かってしまえば、あとはパスワードを推測するだけでいいので、攻撃しやすくなりますよね。
そこでユーザー名を分からなくしようというわけです。
ユーザー名が表示されているのは下記2箇所。
記事の著者情報を偽装する
ひとつめは記事の著者情報です。
お使いのテーマによりますが、上記のように記事の最初か最後に執筆者の名前が表示されることがあります。
この表示名がデフォルトでは『ユーザー名』になっているんです。
表示する名前を変更しておきましょう。
WordPress管理画面から『ユーザー』→『プロフィール』を選択します。
つづいて『ニックネーム』の欄に任意の名称を入力し、下にスクロールして『プロフィールを更新』をクリックしましょう。
すると『ブログ上の表示名』で先ほど入力したニックネームを選べるようになるので、そちらを選び再度『プロフィールを更新』をクリックしてください。
以上で変更完了です。
投稿者アーカイブのURLを偽装する
もうひとつは『投稿者アーカイブのURL』です。
投稿者アーカイブは下記のURLでアクセスすることで、誰でも閲覧することができます。
https://サイトのURL/?author=1
実はこの投稿者アーカイブページのURLに、ユーザー名が表示されているんです。
下記は当サイトの投稿者アーカイブページです。赤枠の部分が『ユーザー名』になります。
このURLを変更することで、ユーザー名を分からなくするというわけです。
方法はプラグインの『Edit Author Slug』を使用します。
まずプラグインをインストールし、有効化しましょう。
WordPressの管理画面から『プラグイン』→『新規プラグインを追加』を選択します。
右上の検索窓の『Edit Author Slug』と入力し『今すぐインストール』をクリックしましょう。
インストールしたら、『有効化』をクリックしてください。
プラグインを有効化したら、WordPress管理画面から『ユーザー』→『プロフィール』を選択します。
下までスクロールすると『投稿者スラッグ編集』という欄ができているので、『カスタム設定』を選択し、任意の名称を入力したら『プロフィールを更新』をクリックしましょう。
以上で完了です。投稿者アーカイブURLのユーザー名の部分が、設定した名称に変更されているので確認してみてください。
6.ログイン試行回数の制限
短時間に連続してログイン失敗したときに、アクセス制限をかけることでパスワード総当たりによる不正アクセスを防ぐことができます。
レンタルサーバーによっては、ログイン試行回数を制限できる機能がある場合があるので、そちらを使うのがオススメです。
レンタルサーバーに機能がない場合は、プラグインの『Limit Login Attempts Reloaded』を使いましょう。
ちなみにエックスサーバー はログイン試行回数制限の機能が初期状態でONになっています。
エックスサーバー のセキュリティ対策機能については、下記をご覧ください。
7.定期的なバックアップ
定期的なバックアップを取っておくことも大切です。
万が一被害を受けたときに、復旧することができます。
レンタルサーバーによっては、バックアップ機能を備えているものもあるので、手間がかからずオススメです。
ちなみにエックスサーバー でも無料で自動バックアップ機能を提供していますよ。
エックスサーバーにお得に申し込む方法は下記を参考にどうぞ。
レンタルサーバーにバックアップ機能がなければ、プラグインの『UpdraftPlus』がオススメです。
WordPressブログのセキュリティ対策におすすめなプラグイン3つ
最後にWordPressのセキュリティ対策におすすめなプラグインを3つご紹介します。
ちなみにプラグインのインストール方法などは、下記の記事をご覧ください。
1.Edit Author Slug
『Edit Author Slug』はユーザー名がURLに表示されないようにし、不正なアクセスを防ぐことができるプラグインです。
設定方法は『投稿者アーカイブのURLを偽装する』をご覧ください。
2.Limit Login Attempts Reloaded
『Limit Login Attempts Reloaded』はログイン試行回数を制限することができるプラグインです。
設定方法を解説します。
プラグインをインストールし有効化したら、WordPress管理画面の『Lomit Login Attempts』→『設定』を選択しましょう。
通知を受けるメールアドレスを入力し、下へスクロースします。
そしてロックの条件を入力したら、『設定を保存』をクリックしましょう。
以上で設定完了です。
3.UpdraftPlus
『UpdraftPlus』はデータのバックアップと復元ができるプラグインです。
設定方法を見てみましょう。
プラグインをインストールし有効化したら、WordPress管理画面から『設定』→『UpdraftPlus バックアップ』を選択します。
『設定』タブを開き、バックアップする頻度と保存しておくファイルの数を設定し『変更を保存』をクリックしましょう。
設定した頻度で自動バックアップしてくれるようになります。
『バックアップ / 復元』タブの『今すぐバックアップ』をクリックすることで、手動でバックアップを取ることも可能です。
データを復元したい場合は、同じく『バックアップ / 復元』タブの『復元』からできます。
まとめ:WordPressブログのセキュリティ対策
今回はWordPressのセキュリティ対策について解説しました。
おさらいです。
WordPressのセキュリティ対策を怠ると、ブログ改ざんやデータ漏えいなど、深刻な被害につながる可能性があります。
ぜひ上記7つの対策をし、安全なブログ運営を行いましょう!
フリーWi-Fiを使うときの、セキュリティ対策を下記でご紹介しているので、合わせてどうぞ。
今回は以上です。最後までお読みいただき、ありがとうございました。参考になれば幸いです。
無料メルマガで発信中
ブログ運営に役立つ情報を無料メルマガで発信しています。
今メルマガにご登録いただくと、記事構成テンプレートをプレゼント。
\不満足なら1秒で解約できます/
記事構成の作成方法は、こちらの記事を参考にどうぞ。