【セキュリティ対策の基本を解説】WordPress初心者が対応すべき最低限のセキュリティ対策



 

こんにちは。分析おたすけマンこと、山根です(Twitterはこちらから)。

 

集客用のWebサイト構築に適しているWordPressですが、ぜひ知っておいてほしいことがあります。

それは、

セキュリティ対策は万全に!

ということ。

この記事は、WordPress初心者必読。
必ず対応しておきたいWordPressのセキュリティ対策を紹介します。

 

当ブログ(ライフ・チェンジング・ハックス)では、WordPress(ワードプレス)でサイトやブログを運用することをおすすめしています。
WordPressは、専門的な知識がなくとも、大手企業に負けず劣らずの本格的なサイト運用が可能ですし、検索エンジンから流入を獲得するうえで大事なSEO対策にも有利です。

 

「WordPressって何?」という方は、詳しく説明した記事があるので、まずは読んでみてください。

あわせて読みたい

WordPressとは?個人や企業のオウンドメディアにワードプレスをおすすめする理由

 

 

WordPressにセキュリティ対策が必要な理由

セキュリティ対策のイメージ画像

 

WordPressは、オープンソースソフトウェアという特徴があります。

オープンソースソフトウェアとは、ソースコードを無償で公開し、改良などを制限しないソフトウェアのこと。
デザインテーマやプラグインが使えるのも、オープンソースというメリットがあるからこそです。

 

しかし、オープンソースであることのデメリットもあります。
WordPressは便利な反面、脆弱性が発見されやすく、ハッカーの標的になりやすいんです。

 

脆弱性(ぜいじゃくせい)とは?

プログラムの不具合や設計上のミスが原因となって発生したセキュリティ上の欠陥のこと。セキュリティホールとも言われます。
セキュリティのリスクは、

  • 外部からくるリスクである「脅威」
  • 内部環境やミスなどの「脆弱性」

に分類できます。

 

そういった話を聞くと「なんだか怖いから、WordPressやめておこう……」と思われるかもしれません。
でも大丈夫です。
セキュリティ対策については、専門業者に依頼せずとも自分で簡単に対応することができます。

WordPressはメリットのほうが大きいソフトウェア。
サクッとセキュリティ対策をして、WordPressの恩恵を享受しましょう。

 

もしセキュリティ対策しなかったらどうなる?

 

セキュリティ対策をしなかった場合、以下のような可能性が考えられます。

  • WordPress管理画面のユーザー名・パスワードが漏洩
  • 不正に操作されてWebサイトが改ざん
  • 悪質なコメントスパムが大量に来てしまう
  • 個人情報を抜き取られる

最悪の場合、自分のWordPress管理画面にログインできなくなったり、サイトが表示されずにエラー画面になってしまうということも考えられます。

そのような事態になってしまってから対応するのは、かなり大変です。
時間や労力を無駄に使ってしまうことになりますからね。

「セキュリティ? 大丈夫でしょ」と思わずに、WordPressをインストールしたら、早急に対策することをおすすめします。

 

 

WordPressの基本的なセキュリティ対策

 

セキュリティ対策の基本として、以下の点はとくに注意しましょう。

  • WordPressの管理画面のユーザー名とパスワードに気を配る
  • テーマやプラグインは、なるべくWordpress公式のものを利用する
  • WordPressのバージョン、テーマやプラグインは、最新版にしておく
  • WordPressの管理画面とログイン画面をSSL通信に設定

 

上記以外にも設定しておきたいセキュリティ対策があるのですが、少し難易度が高いです。
後ほど説明しますね。

 

山根ただし
基本的な対策を詳しく説明します。

 

WordPress管理画面のユーザー名とパスワードに気を配る

WordPressのログイン画面
▲WordPressのログイン画面

 

もっとも基本的な対策は、WordPressの管理画面のユーザー名とパスワード
WordPressに関する被害でもっとも多いのは、ユーザー名・パスワードの漏洩による管理画面への不正ログインなんです。
不正にログインされ、Webサイトが改ざんされると最悪です。

基本的なことですが、「admin」というユーザー名を変更する対策は盲点だったりするので、対応済かどうかチェックしてみてください。

 

WordPress管理画面のユーザー名をadminから変更

 

WordPressをインストールした際、ユーザー名「admin」が設定されていることがあります。
不正ログインを試みる第三者は、まず「admin」でのアタックを試みます。

管理画面のユーザーに「admin」が存在している場合は、ユーザー名を変更して、削除してしまいましょう。

 

WordPressの管理画面から、「ユーザー」メニューに遷移すれば、サイトのユーザーを追加・編集・削除できます。

WordPressユーザーの管理
▲WordPressユーザーの管理

 

WrodPressの公式オンラインマニュアルも用意されているので、詳しくはそちらでも確認してみましょう。

 

WordPress管理画面のパスワード

WordPress管理画面のパスワードはなるべく推測しにくいものがおすすめです。
例えば、以下のようなパスワードは避けたほうが無難です。

  • ドメインの一部
  • 短い文字列
  • 辞書に載っているような意味をなす単語
  • adminやpasswordなど推測しやすいもの

万全を期すのであれば、パスワードはブラウザに保存しないで、ログインごとに入力することも重要です。

 

テーマやプラグインは、なるべくWordpress公式のものを利用する

 

WordPress公式のものというのは、wordpress.orgで紹介されているテーマやプラグインとなります。

公式のものはソースコードチェックがされたうえで、WordPressの公式サイトに登録されています。
ですから、基本的には安全ということになります。

WordPressの公式サイトに登録されているプラグイン
▲WordPressの公式サイトに登録されているプラグイン

 

公式のテーマやプラグインを選ぶときの注意点

とはいえ、何千種類もの公式テーマやプラグインが紹介されていて、選ぶのは大変です。
なかには日本語に翻訳されていないものもあるので、どんな役割のプラグインかわからないものも多いです。

そんなときは、

  • ダウンロード数(多くのユーザーがダウンロードしているプラグインであれば信頼できる)
  • 評価(星5に近い高い評価のプラグインを選ぶ)
  • 更新頻度(長い間、更新されていないプラグインは使用しない)

ということを参考に、検討してみましょう。

また、使わなくなったプラグインは削除することをおすすめします。
あらためて使用するときは、再度インストールすればいいですしね。
考えられるリスクは避けておきましょう。

非公式のテーマやプラグインは駄目というわけではない

とはいえ、公式のテーマやプラグインが機能的に優れているのか? というと、必ずしもそうではありません。
非公式のものでも、優れたテーマやプラグインはたくさんあります。

例えば、当ブログ(ライフ・チェンジング・ハックス)で使用している「 THE THOR(ザ・トール)」というテーマ。
非公式ですが、とても優れているテーマです。
プラグインでも「Rinker」は非公式ですが、便利で手放せません。

非公式のものを使用したい場合は、検索して情報収集をしてください。
レビューなどを見て、安全なようであれば利用しましょう。

 

WordPressのバージョン、テーマやプラグインは最新版にしておく

 

脆弱性が発見された場合、WordPressはその都度バージョンアップを行います。
つまり、WordPressをはじめ、テーマやプラグインのバージョンが古いということは、リスクが高まるということです。

基本的には、常に最新バージョンにしておくことがおすすめです。

最新バージョンにアップデートするときの注意点

しかし、注意点も1つあります。
2019年6月現在、WordPressのバージョンは「5.2.1」ですが、「5」→「6」になるような大型バージョンアップのときは、注意が必要です。

テーマやプラグインに、最新バージョンとの互換性がなく、不具合を起こしてしまう場合があります。
大型バージョンアップの際は、テーマやプラグイン制作者が検証したのち最新版にアップデートすることをおすすめします。

 

WordPressの管理画面とログイン画面をSSL通信に設定

 

SSLというのは、Secure Sockets Layer/セキュア・ソケット・レイヤーの略。
暗号化とも言われます。
対応した場合、「http://」に「https://」とsが加わります。

これはセキュリティを強化したhttpによる通信ということを表しています。

暗号化すると、

  • 不正傍受
  • 不正侵入

によって盗まれたデータを悪用されないようにできます。

少し難しいですが、要はインターネット上に存在する自分のファイルに鍵を掛けて、鍵を持っている人がアクセスできるというイメージです。

 

SSL化については、下記の記事で詳しく説明しているので、ぜひ読んでみてください。

あわせて読みたい

【サイト運営には絶対必要】常時SSL化とは?http→httpsリダイレクト設定まで解説

 

WordPressのセキュリティをもっと強化する設定

 

上記で紹介した基本的なセキュリティ対策の他にも、できれば対応したい設定があります。

 

上記については、プラグインを使ったり、ソースコードを書き加えるなどの作業が発生します。
リンクがあるテキストは、クリックすると解説記事に遷移するので、目を通してみてください。
リンクは随時追加していきますね。

 

 

まとめ:セキュリティ対策は早めの対応がおすすめ

 

この記事では、WordPressのセキュリティ対策について、基本的なことをまとめました。

セキュリティ対策の不備により予期せぬ事態となってしまい、復旧に余計な労力を使うのは本当に時間の無駄です。
「あのときやっておけば良かった……」とならないように、早い段階での対策をおすすめします。

 

リスクにすべて対応することは現実的に不可能と言えますが、リスクを管理して正確な判断ができるようにしておきましょう。

 

山根ただし
世界中を繋ぐインターネットですから、情報セキュリティについて意識することが大事です。

 


 

よく一緒に読まれている記事

 



最新情報をチェックしよう!
>【LCH式】サイト改善コンサルティング

【LCH式】サイト改善コンサルティング

勘や経験に頼らないデータドリブンで、Webサイト・ブログを改善します!

特徴1:
Googleアナリティクスを利用した改善提案

特徴2:
データドリブンマーケティング

特徴3:
ご依頼主に合わせた改善提案

CTR IMG