- セキュリティ
サイト引越し屋さん編集部
WordPressセキュリティ診断と27個の対策を解説
- WordPressはセキュリティが弱いと聞いて不安を感じている
- WordPressにセキュリティ対策をしてハッキングを防ぎたい
- そうは言うもののどんな対策をすればいいのかわからない
そんな悩みを抱えていませんか?
WordPressは世界で最も利用されている無料のWebサイト構築システムですが、その反面セキュリティの弱点(脆弱性)もあり、サイトがハッキングされてしまう事故が起きているのも事実です。
ところが、それらの事故ではセキュリティ対策が十分ではなかったケースも見られ、事前にセキュリティ対策をしていれば防げる事故が大半です。
そこで今回は、無料で実践できるWordPressのセキュリティ診断方法と、セキュリティ対策を27個ご紹介します。
是非、WordPressのセキュリティを強化いただき、安心安全なサイト運営を実現してください。
それでは本題に参りましょう。
「WordPressの管理を自分でやるのが面倒くさい」
「万が一のサイバー攻撃からサイトを守りたい」
「過去にサイトに不具合があって困った経験がある」
そんなときはサイト引越し屋さんにお任せください。
5,500円~(税込)で承っております。
目次(クリックで飛べます!)
WordPressのセキュリティが弱い理由と危険性
WordPressの特性上、セキュリティが狙われやすい理由はいくつかあります。
- WordPressはユーザー数やサイト数が多いため、ターゲットになりやすい
- 管理画面のURLや内部構造がわかりやすい
- オープンソースのため、脆弱性が発見されやすい
このように、WordPressはユーザー数が多くて人気のCMS(コンテンツマネジメントシステム)だからこそ、セキュリティ対策は欠かせません。
効果的な対策を施し、トラブルや被害を防ぐ必要があります。
WordPressのセキュリティが弱いと何が起きるのか
WordPressにセキュリティ対策を実施していないと、以下のような悪質な被害に遭う危険性が高くなります。
- 情報流出
- サーバーダウン
- データ改ざん
- ファーマハックエクスプロイト
- 悪意のあるリダイレクト
- クロスサイトスクリプティング(XSS)
- DDoS攻撃
- アカウントの乗っ取り
このような危険性に晒されると自分だけでなく顧客やユーザーに被害が起きかねません。
訪問者が多いサイトや企業の公式サイトなどの場合は、特に被害が大きくなりやすいので注意したいですね。
参考:個人情報とは?定義や具体例、取扱い方法についても徹底解説! | 認証パートナー
WordPressのセキュリティ診断方法
WordPressサイトを運営しているならば、セキュリティレベルをチェックすることをお勧めします。
今回は代表的なチェック方法をご紹介します。
下記2つの方法を試して、あなたのWordPressサイトのセキュリティを診断してみましょう。
セキュリティ診断の専用ツールやプラグインで診断する
一つ目の方法は、セキュリティ診断のプラグインやツールを使う方法です。
無料で提供されているものもあり、それらを利用してセキュリティ診断を定期的に行いましょう。
具体的なプラグインやツール名に関してはこちらのページで紹介しております。
セキュリティ診断を得意とする業者に依頼する
より専門的な診断を受けたいと思う方は、セキュリティ診断を得意とする業者に依頼するのもおすすめです。
専用ツールによるセキュリティ診断、専門スタッフによる手動チェックなどを実施してもらえます。
【初級編】WordPressセキュリティ対策8選
まずは、WordPressユーザーが手軽に行えるセキュリティ対策をご紹介します。
1.WordPress本体のバージョンアップを行う
WordPressのソフトウェアを定期的に更新しましょう。
WordPressの脆弱性は日々運営によって修正されますので、定期的にアップデートを行うことでバグの修正などが行われ、セキュリティが強化されます。
一般的には、WordPressの管理画面からワンクリックで更新(自動バージョンアップ)が可能です。
ただし、サーバーの事情や元のWordPressバージョンが古すぎるなどの理由で、自動バージョンアップができない場合があります。
その際は、バックアップを取得しながら手動でバージョンを更新する必要があります。
2.プラグインやテーマのバージョンアップを行う
WordPressのプラグインを利用されている方は、Wordpress本体だけではなくプラグインのアップデートも定期的に行いましょう。
また、WordPressテーマ(テンプレート)も最新版にアップデートしておきましょう。
どちらもWordPressの管理画面からワンクリックで行えます。
3.不要なプラグインやテーマを削除する
使用していないプラグインやテーマは削除しておきましょう。
脆弱なWordpressプラグインやテーマを狙う悪質な攻撃を防ぐために、有効化されていないとしても可能な限り消去しておくべきです。
4.テーマファイルの編集を避ける
セキュリティ面を考慮すると、直接テーマファイルを編集することは避けたほうが良いでしょう。
予想外の不具合が起きてしまったり、セキュリティ上の問題が発生したりする可能性があるためです。
どうしてもWordPressのテーマファイルの編集が必要な場合は、ローカル環境(自分のPC内に仮想環境を構築すること)で慎重に行いましょう。
5.テーマやプラグインは公式のものを使用する
非公式のテーマやプラグインには、悪意のあるコードが含まれている可能性があります。
安全性の高い公式のプラグインを利用し、非公式のものは避けましょう。
6.レンタルサーバーへのログイン情報を強化する
利用中のレンタルサーバーへのログインを強化するのも、大事なセキュリティ対策の一つです。
推測しづらいパスワードを使ったり、定期的にパスワードを変えたりすることが一般的です。
サーバー領域に不正アクセスが発生してしまうと、他のユーザーへの被害拡大も懸念されます。
そのため、サーバー運営者からあなたのアカウントのサービスが制限される可能性があります。
7.FTPサーバーへのログイン情報を強化する
FTPサーバーへのログインも同じく強化しましょう。
FTP(File Transfer Protocol)とは、パソコンからサーバーへデータを転送するときに使う通信技術やルールを意味します。
FTPサーバーは、サーバーからデータをパソコンへ直接ダウンロード、あるいはパソコンからデータをアップロードする際にアクセスするサーバーです。
こちらも有効なセキュリティ対策としては、推測しづらいパスワードを使ったり、定期的にパスワードを変えたりする方法が挙げられます。
8.WordPress管理画面のログインURLの変更
通常のWordpressの管理画面は、サイトの末尾に「/admin/」と入れることで管理画面にアクセスすることができます。
そのため、関係者以外でも簡単に管理画面へ到達できてしまいます。
デフォルトのログインURLを変更して、セキュリティを向上させましょう。
ログインURLを変更できるプラグインには「SiteGuard WP Plugin」があります。
【中級編】WordPressセキュリティ対策10選
次に中級者向けのセキュリティ対策方法をいくつかみてみましょう。
1.セキュリティに強いレンタルサーバーを選ぶ/移転する
レンタルサーバーによって、セキュリティ対策はやや変わってきます。
求めているセキュリティ対策を実施しているのか、対策内容を確認しておきましょう。
また、サポート対応の内容(メールだけではなく、電話相談もできるのか等)もチェックしておくべきです。
安全性の観点から評価が高いレンタルサーバーを選びましょう。
2.管理画面へのIPアドレスを制限する
運営管理者以外の管理画面へアクセスを防ぐために、IPアドレスを制限することも可能です。
管理者画面へのアクセスが可能なIPアドレスを限定することで、関係者外による不正アクセスを未然に防ぐことができます。
3.Basic認証を追加する
Basic認証は、二段階認証の一つです。
管理画面ログイン時のパスワードの要求が2度になるので、第三者からの不正アクセス対策になります。
WordPressの管理画面のログインページに、管理画面とは異なるパスワードを設定しましょう。
Basic認証は、レンタルサーバーが提供するアクセス制限機能にて設定できるケースが多いです。
4.セキュリティ監視サービスを導入する
WordPressの運用状況を24時間監視してくれるサービスもおすすめです。
トラブルが発生した際の早期発見や報告が行われ、トラブルに対する早期対処をすることができます。
5.WordPress管理画面のログイン情報を強化する
ログイン失敗回数を制限して、Wordpressの管理画面へのログインを強化しましょう。
「ブルートフォースログイン攻撃」と言われるハッキング手法(機械的にパスワードを総当たりで入力し突破する手段)に対して、ログインの失敗回数を制限することで効果的に防げます。
ログイン回数の制限は、WordPressのプラグイン「SiteGuard WP Plugin」で設定できます。
こちらのプラグインは、手軽にセキュリティ対策ができるお勧めのプラグインの一つです。
6.WordPressのログイン時に画像認証を導入する
画像認証はよく実施されるセキュリティ対策です。
WordPressへログインする際に画像認証を導入すれば、ロボットによる機械的な不正アクセスを防止できます。
したがって、前述した「ブルートフォース攻撃(総当たり攻撃)」にも対応可能となります。
「SiteGuard WP Plugin」を使えば、ログイン時の画像認証を導入できます。
7.WordPressのバージョン情報を非表示にする
WordPress情報を非公開にすれば、古いバージョンの脆弱性を狙ったハッキングに遭う可能性を減らすことができます。
WordPressのコアファイルの一つ「functions.php」ファイルの中身を一部編集する方法、プラグインの「Acunetix WP Security」を使用する方法があります。
8.スパムコメントやスパムメールを防止する
悪質なスパムメールやスパムコメントは、サーバーの処理領域を無駄に奪い、悪意のあるサイトへ誘導する可能性があります。
「Akismet」などのプラグインを利用することで無料でスパムを防止することができます。
9.ユーザー毎の権限管理を徹底する
ユーザーが管理できる範囲を明確に把握し、管理者権限を厳格に管理しましょう。
アクセス権限を適切に管理することで悪質なユーザーによる勝手な仕様変更やプラグインの削除や導入、乗っ取りなどを未然に防ぎましょう。
10.常時SSL(https)化する
SSLを導入することでユーザーとサーバー間の通信を暗号化することができます。
SSL化を行うことで第三者による傍受や改ざんを防ぐことができます。特に、サイト内で支払情報や個人情報などを取り扱う場合は、情報の流出を防ぐためにも必ずSSL化をしましょう。
最近では、Googleの方針でSSL化されていないサイト(httpサイト)には、暗号化されていない旨がエラーで警告表示されるようになりました。
サイトの印象は下がりますし、検索順位にも悪影響を及ぼしかねません。
【上級編】WordPressのセキュリティ対策9個を解説
次に、上級者向けのWordpressセキュリティー対策方法を紹介します。
1.WAF(ファイアウォール)を導入する
ファイアウォールとは、その名の通り危険な情報を通過させないための壁です。
インターネットと企業内ネットワークの間に設置され、事前に決められたルールのもとで「通過させても良い情報なのか」を判断してくれます。
ファイアウォールでアクセスを制限させられるため、不正アクセスやサイバー攻撃に対する安全性を高めることができます。
「SiteGuard WP Plugin」や「All In One WP Security & Firewall」のプラグインを使用すれば、ファイアウォールを簡単に導入できます。
※2.WordPressのコアファイルのパーミッションを変更する
WordPressの情報が保存されている重要なファイルをコアファイルと呼びます。
対象のファイルはこちらです。
- wp-config.php
- .htaccess
パーミッション設定を変更すれば、アクセスできるユーザーを制限できます。
※パーミッションとは各種ファイルやフォルダに設定できる権限のようなものです。「ファイルの中身に書き込みできる」「ファイルの中身を読み取りだけできる」「書き込みも読み取りもできない」などの設定に編集することができます。
wp-config.phpファイルの最初のパーミッション設定は「646」「666」になっているのですが、この状態ではファイルの内容が誰でも見ることができてしまいます。
そこで、設定「646」や「666」をサイトのオーナーのみが読み取れる「600」に変更することで、セキュリティの向上が期待できます。
.htaccessファイルは「604」か「606」の設定を推奨します。
3.PHPをバージョンアップする
PHPのバージョンは定期的に更新されるので、バージョンアップを行いましょう。
そもそもPHPはWordPressのコアファイルで使用されているプログラミング言語で、WordPressの大部分はPHPで書かれています。
定期的に最新のPHPバージョンに更新することで、WordPressの脆弱性にも対応できます。
特に注意すべきポイントは「バージョンの古いPHPはセキュリティサポートが終了している可能性がある」という点です。
2022年4月時点では、PHPのバージョンが7.2以前の場合はサポート対応がすでに終了しています。
サポートが終了してしまったバージョンを使用していると、セキュリティの脆弱性が上がりパフォーマンスが低下してしまいます。
その場合は、新しいバージョンのPHPに更新を検討しましょう。
4.データベースへのセキュリティを強化する
Webサイトの情報が入っているデータベースへのセキュリティ管理も大事です。
企業活動における重要なデータや顧客情報が格納されているため、サイバー攻撃のターゲットになりやすいです。
そのため、データベースのセキュリティ強化は必須といえます。
ただし、データベースのセキュリティ対策には高度な専門知識が必要になるので、専門業者に依頼したほうが良いでしょう。
6.XML-RPCを無効にする
XML-RPCとはWordpressの遠隔操作を可能とさせる機能です。
一方で、ブルートフォース攻撃や大量アクセスによるサーバーダウン外部からWordPressを攻撃する入口になってしまうので、無効に設定しておきましょう。
(削除ではなく無効にしましょう。)
その際にプラグインが動作しなくなる可能性があるので、必ず動作確認を行いましょう。
具体的にxmlrpc.phpを無効化する方法は、こちらのサイトに詳しくご紹介されています。
7.REST APIを無効にする
REST APIとは外部からWordpressの投稿等の情報を取得することができる機能です。
こちらも同じく悪用される可能性がありますので無効にしましょう。
※プラグインが動作しなくなる可能性があるので、必ず動作確認を行いましょう。
8.プレフィックス(接頭辞)を変更する
WordPressのテーブルのPrefix(プレフィックス変数)を変更することもセキュリティ対策になります。
テーブルがデフォルト設定の「wp_」のままだと、テーブル名が特定されやすくデータベースへの不正アクセスが起きる可能性があります。
9.HTTPセキュリティヘッダーの使用
WordPressのコアファイルの一つ.htaccessファイルにHTTPセキュリティヘッダの追加設定を変更すると、
セキュリティが向上しサイバー攻撃を防止できます。
具体的には、以下の記述を.htaccessファイルに追記します。
Header always set Strict-Transport-Security: “max-age=31536000” env=HTTPS
Header always set Content-Security-Policy “upgrade-insecure-requests”
Header always set X-Content-Type-Options “nosniff”
Header always set X-XSS-Protection “1; mode=block”
Header always set Expect-CT “max-age=7776000, enforce”
Header always set Referrer-Policy: “no-referrer-when-downgrade”
Header always append X-Frame-Options SAMEORIGIN
詳しい設定方法についてはこちらのサイトでご紹介されております。
>>HTTPセキュリティヘッダを設定しセキュリティを強化するには
万が一事故が起きたときに備えたバックアップも忘れずに!
WordPress運用においてもっとも欠かせない作業はデータのバックアップの取得です。
万が一の手違いや、悪質なハッキングによりデータが消去されてしまった場合に備え、バックアップは必須です。
バックアップはWordPressのプラグインを使う方法などがありますので、バックアップについて詳しくはこちらの記事を参考にしてみてください。
まとめ
WordPressを運営管理されている方は、セキュリティ対策を施してみましょう。
是非とも挑戦してみてください。
サイトののセキュリティー対策をすることで大事な情報や顧客を守ることができます。
手間を惜しまず挑戦してみてください。
サイト引越し屋さんでは代行業務の相談を受け付けております。ぜひ気軽にご相談ください。
「WordPressの管理を自分でやるのが面倒くさい」
「万が一のサイバー攻撃からサイトを守りたい」
「過去にサイトに不具合があって困った経験がある」
そんなときはサイト引越し屋さんにお任せください。
5,500円~(税込)で承っております。
この記事を書いた人
サイト引越し屋さん編集部
日本で最も利用されているサーバー移転&保守代行サービス『サイト引越し屋さん』の中の人です。 サイト引越しに関わる技術情報をはじめ、WordPressやその他のWebサービスに関するノウハウを発信しています。 全日本SEO協会所属。
本サイトにてご提供している情報については、最新かつ正確な情報を提供するよう努力していますが、情報の正確性や完全性を保証するものではございません。また、コンテンツには一部プロモーションが含まれております。本サイトの情報を利用することによって生じたいかなる損害に対しても、当社は責任を負いかねます。情報をご利用される際は、ご自身の判断と責任において行っていただきますようお願い致します。