WordPressのセキュリティを強化する5つの対策【あなたは万全?】

「WordPressでブログを運営してるけど、不正アクセスや乗っ取りが多いみたいだから、サイバー攻撃を防ぐためのセキュリティ対策について教えて欲しい。もし、ブログの健康状態を調べられるサイトがあれば、ついでにお願いします。」

この記事ではこういった疑問に答えます。

本記事の内容

  • WordPressのセキュリティ対策【5つあります】
  • WordPressのセキュリティ強化プラグイン2選
  • WordPressのセキュリティ状態を調べる方法

WordPressはオープンソースかつ利用者が多いことから、サイバー攻撃の標的にされやすく、実際にハッキングされた事例が多くあります。

セキュリティ対策を専門とする企業自体がハッキング被害を受けるぐらいなので、サイバー攻撃を完全に防ぐことはできませんが、それでもできる限りの対策はするべきです。

そこでこの記事では、WordPressで施すべきセキュリティ対策と、サイトの健康状態を調べるサイトについて解説します。

ちょっとその前に、、、

セキュリティ対策の話では、「脆弱性(ぜいじゃくせい)」という言葉がよく使われます。
脆弱性とは、簡単に言うと、プログラムの不具合が原因となるセキュリティ上の欠陥のことです。
よく使われるので覚えておきましょう。

WordPressのセキュリティ対策【5つあります】

WordPressにおけるセキュリティ対策は5つあります。

WordPressのセキュリティ対策5つ

  • 対策1:プログラムを最新バージョンに保つ
  • 対策2:公式以外のプラグインは使わない
  • 対策3:アカウント情報を複雑にする
  • 対策4:不要なプラグインは削除する
  • 対策5:サーバー側で設定できる対策を行う

どちらかと言うと、具体的な設定をするというよりは「心掛け」に近い内容です。

それぞれ解説します。

対策1:プログラムを最新バージョンに保つ

セキュリティ対策の最も基礎的なことは、プログラムを常に最新バージョンに保つことです。

WordPress本体をはじめ、プラグイン、テーマを常に最新バージョンに更新するようにしましょう。

プログラムの更新は、機能の追加やコードの最適化以外に、脆弱性や動作不良の改善も行われるので、セキュリティ力を保つためにも重要な対策です。

ナオ

もし最新バージョンのWordPressに対応できていないプラグインがあれば、そのプラグインは利用しない方がいいでしょう。

対策2:公式以外のプラグインは使わない

WordPressのプラグインには、公式サイトで配布されるものと、個人サイトで配布されるものがあります。

個人サイトで配布されるものは「野良プラグイン」と呼ばれ、プラグイン自体に悪意のあるプログラムが埋め込まれていることがあるので利用は避けましょう。

公式サイトだからといって全てが安全という訳ではありませんが、少なくとも野良プラグインと比べたら安全性が担保されています。

補足:有名プラグインでも過信しないように

有名プラグインの「All in One SEO Pack」であっても、しばしば脆弱性が発見されます。

人為的に作られるプログラムだけあって脆弱性が発見されることはしょうがないのですが、プラグインを導入する前には「プラグイン名+リスク、プラグイン名+脆弱性」と調べることをおすすめします。

ナオ

そもそも、プラグインの導入は最低限にしておくと良いでしょう。

対策3:アカウント情報を複雑にする

管理画面にログインするためのアカウントとパスワードは、誰もが思いつくようなものでなく、複雑にしましょう。

不正ログインの手法は、無数の組み合わせを自動でひたすら攻撃するものなので、安易なパスワードにしていると簡単に突破されてしまう可能性があります。

解読されにくいパスワードを考えるのは大変なので、パスワード生成ツールの「LUFT」や「TECH-UNLIMiTED」を使うことも一つの手です。


例えば、LUFTを使うとこんな感じでパスワード例を生成してくれます。

ナオ

特に、自分の名前や誕生日などをパスワードに使うのは避けましょう。

対策4:不要なプラグインは削除する

利用していないプラグインがあれば、リスクを減らすためにも、すみやかに削除しましょう。

また、1年以上更新されていないプラグインは、開発者から放置されているので、代替えとなるプラグインを探すか、自分でカスタマイズした方がリスクを分散できます。


こんな感じで、利用しているプラグインだけインストールしておくと良いでしょう。

プラグインに関する注意点は「【断言】WordPressのおすすめプラグイン4+9選【入れ過ぎ注意】」で詳しく解説しています。

ナオ

わりと放置されているプラグインは多いので、インストールする際は、最終更新日を確認しておきましょう。
【断言】WordPressのおすすめプラグイン4+9選【入れ過ぎ注意】

対策5:サーバー側で設定できる対策を行う

サーバーの管理画面からも、セキュリティ対策に関わる設定ができます。

具体的には、2段階認証やWAF、国外からのIP制限などです。

サーバーでのセキュリティ設定に関しては「レンタルサーバー契約後に設定すべき5つのセキュリティ対策【必須です】」で詳しく解説しています。

レンタルサーバー契約後に設定すべき5つのセキュリティ対策【必須】レンタルサーバー契約後に設定すべき5つのセキュリティ対策【必須です】

ナオ

サーバーで設定するセキュリティ対策によっては、動作の不具合が起こるので慎重に設定しましょう。

WordPressのセキュリティ強化プラグイン2選

前述した5つの対策に加え、セキュリティ対策専用のプラグインを利用することもセキュリティ力を高める手段の一つです。

おすすめのプラグインは次の通りです。

セキュリティ強化プラグイン2選

  • その1:SiteGuard WP Plugin
  • その2:Wordfence Security

他にも、セキュリティ対策のプラグインはいくつもありますが、現状おすすめできるのはこの2つです。

それぞれ解説します。

その1:SiteGuard WP Plugin

SiteGuard WP Pluginは、日本企業のジェイピー・セキュアが提供するプラグインです。

主な機能としては、不正ログインを防ぐことで、日本語で設定できるのでとても使いやすいと思います。


設定できる機能はこんな感じで、全部で10つあります。

設定するとしたら、次の3つの機能だけでも十分に効果があります。

  • ログインページ変更:ログインページを変更する
  • 画像認証:ログインページ、コメント投稿に画像認証を追加する
  • フェールワンス:正しい入力を行なっても、ログインを一回失敗する

ナオ

ブログのトラフィックが多くなると、それだけサイバー攻撃に晒される機会も増えるので、タイミング次第で導入してもいいかと思います。

その2:Wordfence Security

Wordfence Securityは、300万以上インスールされているセキュリティの人気プラグインです。

セキュリティ対策の総合プラグインのようなもので、ファイアウォールやセキュリティホールスキャン、IPアドレスのブロックなど、様々な設定ができます。

ただし、日本語対応されていないので、少し扱いにくさを感じるかもしれません。

ナオ

2つのプラグインに共通することですが、セキュリティ関連のプラグインは、動作不良を起こす可能性があるので、テーマとの相性を調べてから利用しましょう。

WordPressのセキュリティ状態を調べる方法

さいごに、運営しているWordPressブログのセキュリティ状態を調べる診断サイトを紹介します。

無料で利用できる診断サイトは次の2つです。

2つのセキュリティ診断サイト

  • その1:WPSEC.com
  • その2:SUCURI

もし、悪意のあるプログラムがあればサーチコンソールから通知があるので、頻繁に診断する必要はありませんが、試しにチェックしてみてください。

その1:WPSEC.comの使い方

WPSEC.comは、ワンクリックでWordPressの脆弱性を診断できるサイトです。

使い方は次の通りです。

STEP.1
公式サイトにアクセスします。

STEP.2
検索ボックスに調べたいURLを入力して、すぐ下のボックスにチェックマークを入れて「STARTSCAN」をクリックします。

STEP.3
こんな感じで、結果が出ます。

なお、サイバー攻撃を受けていたら「Your WordPress website is vulnerable to attack」と表示されます。

その2:SUCURIの使い方

SUCURIは、脆弱性以外に、ドメインがブラックリストに登録されているかも分かる診断サイトです。

STEP.1
公式サイトにアクセスします。

STEP.2
検索ボックスに調べたいURLを入力してクリックします。

STEP.3
結果はすぐに出ます。当サイトだとマルウェアの侵入は大丈夫でしたが、ドメインに問題がある可能性がありました、、、。中古ドメインなのですが、調べてみる必要がありそうです。

繰り返しになりますが、不正アクセスやハッキングはとても身近なところにあります。
セキュリティ対策は、ブログ運営の重要な防衛手段なので、後まわしにしないですぐに設定しましょう。

というわけで以上です。