「WordPressでブログを運営してるけど、不正アクセスや乗っ取りが多いみたいだから、サイバー攻撃を防ぐためのセキュリティ対策について教えて欲しい。もし、ブログの健康状態を調べられるサイトがあれば、ついでにお願いします。」
この記事ではこういった疑問に答えます。
- WordPressのセキュリティ対策【5つあります】
- WordPressのセキュリティ強化プラグイン2選
- WordPressのセキュリティ状態を調べる方法
WordPressはオープンソースかつ利用者が多いことから、サイバー攻撃の標的にされやすく、実際にハッキングされた事例が多くあります。
セキュリティ対策を専門とする企業自体がハッキング被害を受けるぐらいなので、サイバー攻撃を完全に防ぐことはできませんが、それでもできる限りの対策はするべきです。
そこでこの記事では、WordPressで施すべきセキュリティ対策と、サイトの健康状態を調べるサイトについて解説します。
セキュリティ対策の話では、「脆弱性(ぜいじゃくせい)」という言葉がよく使われます。
脆弱性とは、簡単に言うと、プログラムの不具合が原因となるセキュリティ上の欠陥のことです。
よく使われるので覚えておきましょう。
WordPressのセキュリティ対策【5つあります】
WordPressにおけるセキュリティ対策は5つあります。
- 対策1:プログラムを最新バージョンに保つ
- 対策2:公式以外のプラグインは使わない
- 対策3:アカウント情報を複雑にする
- 対策4:不要なプラグインは削除する
- 対策5:サーバー側で設定できる対策を行う
どちらかと言うと、具体的な設定をするというよりは「心掛け」に近い内容です。
それぞれ解説します。
対策1:プログラムを最新バージョンに保つ
セキュリティ対策の最も基礎的なことは、プログラムを常に最新バージョンに保つことです。
WordPress本体をはじめ、プラグイン、テーマを常に最新バージョンに更新するようにしましょう。
プログラムの更新は、機能の追加やコードの最適化以外に、脆弱性や動作不良の改善も行われるので、セキュリティ力を保つためにも重要な対策です。
ナオ
対策2:公式以外のプラグインは使わない
WordPressのプラグインには、公式サイトで配布されるものと、個人サイトで配布されるものがあります。
個人サイトで配布されるものは「野良プラグイン」と呼ばれ、プラグイン自体に悪意のあるプログラムが埋め込まれていることがあるので利用は避けましょう。
公式サイトだからといって全てが安全という訳ではありませんが、少なくとも野良プラグインと比べたら安全性が担保されています。
補足:有名プラグインでも過信しないように
有名プラグインの「All in One SEO Pack」であっても、しばしば脆弱性が発見されます。
人為的に作られるプログラムだけあって脆弱性が発見されることはしょうがないのですが、プラグインを導入する前には「プラグイン名+リスク、プラグイン名+脆弱性」と調べることをおすすめします。
ナオ
対策3:アカウント情報を複雑にする
管理画面にログインするためのアカウントとパスワードは、誰もが思いつくようなものでなく、複雑にしましょう。
不正ログインの手法は、無数の組み合わせを自動でひたすら攻撃するものなので、安易なパスワードにしていると簡単に突破されてしまう可能性があります。
解読されにくいパスワードを考えるのは大変なので、パスワード生成ツールの「LUFT」や「TECH-UNLIMiTED」を使うことも一つの手です。
ナオ
対策4:不要なプラグインは削除する
利用していないプラグインがあれば、リスクを減らすためにも、すみやかに削除しましょう。
また、1年以上更新されていないプラグインは、開発者から放置されているので、代替えとなるプラグインを探すか、自分でカスタマイズした方がリスクを分散できます。
プラグインに関する注意点は「【断言】WordPressのおすすめプラグイン4+9選【入れ過ぎ注意】」で詳しく解説しています。
ナオ
【断言】WordPressのおすすめプラグイン4+9選【入れ過ぎ注意】
対策5:サーバー側で設定できる対策を行う
サーバーの管理画面からも、セキュリティ対策に関わる設定ができます。
具体的には、2段階認証やWAF、国外からのIP制限などです。
サーバーでのセキュリティ設定に関しては「レンタルサーバー契約後に設定すべき5つのセキュリティ対策【必須です】」で詳しく解説しています。
レンタルサーバー契約後に設定すべき5つのセキュリティ対策【必須です】
ナオ
WordPressのセキュリティ強化プラグイン2選
前述した5つの対策に加え、セキュリティ対策専用のプラグインを利用することもセキュリティ力を高める手段の一つです。
おすすめのプラグインは次の通りです。
- その1:SiteGuard WP Plugin
- その2:Wordfence Security
他にも、セキュリティ対策のプラグインはいくつもありますが、現状おすすめできるのはこの2つです。
それぞれ解説します。
その1:SiteGuard WP Plugin
SiteGuard WP Pluginは、日本企業のジェイピー・セキュアが提供するプラグインです。
主な機能としては、不正ログインを防ぐことで、日本語で設定できるのでとても使いやすいと思います。
設定するとしたら、次の3つの機能だけでも十分に効果があります。
- ログインページ変更:ログインページを変更する
- 画像認証:ログインページ、コメント投稿に画像認証を追加する
- フェールワンス:正しい入力を行なっても、ログインを一回失敗する
ナオ
その2:Wordfence Security
Wordfence Securityは、300万以上インスールされているセキュリティの人気プラグインです。
セキュリティ対策の総合プラグインのようなもので、ファイアウォールやセキュリティホールスキャン、IPアドレスのブロックなど、様々な設定ができます。
ただし、日本語対応されていないので、少し扱いにくさを感じるかもしれません。
ナオ
WordPressのセキュリティ状態を調べる方法
さいごに、運営しているWordPressブログのセキュリティ状態を調べる診断サイトを紹介します。
無料で利用できる診断サイトは次の2つです。
- その1:WPSEC.com
- その2:SUCURI
もし、悪意のあるプログラムがあればサーチコンソールから通知があるので、頻繁に診断する必要はありませんが、試しにチェックしてみてください。
その1:WPSEC.comの使い方
WPSEC.comは、ワンクリックでWordPressの脆弱性を診断できるサイトです。
使い方は次の通りです。
なお、サイバー攻撃を受けていたら「Your WordPress website is vulnerable to attack」と表示されます。
その2:SUCURIの使い方
SUCURIは、脆弱性以外に、ドメインがブラックリストに登録されているかも分かる診断サイトです。
繰り返しになりますが、不正アクセスやハッキングはとても身近なところにあります。
セキュリティ対策は、ブログ運営の重要な防衛手段なので、後まわしにしないですぐに設定しましょう。
というわけで以上です。