ブログ

ワードプレスのセキュリティ対策をプラグイン/設定で行いましょう

ワードプレスのセキュリティ対策をプラグイン/設定で行いましょう

ワードプレスのセキュリティ対策ってした方がいいの?
絶対した方が良いよ

この記事ではワードプレスのセキュリティ対策について書いていきたいと思います。ワードプレスでブログやサイトを運営しているなら、気にしておきましょう。

記事の内容
  • プラグインを使ってワードプレスのセキュリティを高める
  • 一部プラグインを使わずにワードプレスのセキュリティを高める

    ワードプレスでこれからブログを始める方や既に運営している方でセキュリティ整えておきたいっていう場合には参考にしてみてください。

    ワードプレスのセキュリティ対策していこう。

    2段階認証を設定する

    2段階認証は設定しているでしょうか?今では結構当たり前ですが、以下のような2段階の認証を突破しないとアクセスできないというものです。

    2段階認証
    1. ユーザー名とパスワードのログイン
    2. ワンタイムパスワードでのログイン

    面倒そうだけどやった方がいいの?
    できるだけ設定するようにしよう。

    ユーザー名とパスワードさえ分かってしまえば、あなたの運営しているブログやサイトは簡単に乗っ取られます。せっかく作ったサイトもぐちゃぐちゃです。

    これを回避するための第一歩として2段階認証はやっておくことをお勧めします。

    2段階認証の設定方法

    プラグインを使うのが簡単でいくつかプラグインはありますが、自分はTwo-Factorを使っています。(現状検索しても出てこず最新のワードプレスでの確認ができていなかったので、別のものを使うのがいいかもしれません)

    設定としてはワンタイムパスワードにしていて、スマホからパスワードを確認してログインという流れです。

    実際にワードプレスでユーザー名・パスワードでログインすると、その後に生成されたコードを入力しないとログインすることはできません。

    認証コードはアプリで表示されるコードですね。

    2段階認証はログインする時にちょっと面倒だけどやっておくと少し安心です。

    ユーザー名・パスワードだけじゃなく画像内の文字を入力させるようにする

    ワードプレスの管理画面にログインする際にユーザー名とパスワードだけじゃなく文字の入力もやっているでしょうか?

    ユーザー名とパスワードだけのログインだけだと不安な場合は設定しておくといいです。

    画像認証の設定方法

    SiteGuardというプラグインを使って設定することができます。

    このプラグインはいろいろな項目を設定することのできるプラグインで、画像認証を追加するとさっきの画面のように画像内の文字を読み取らないといけなくなります。

    ログインパスワードの複数回間違えでログインロックさせる

    ユーザー名やパスワードを複数回間違えるとロックして欲しいですよね。レンタルサーバーで設定できるものもあるけど、プラグインを入れることで簡単に設定できます。

    SiteGuardのログインロックを使う

    SiteGuardのログインロックを使うことで、ログイン失敗を繰り返すと一定時間ロックすることができます。

    自分の場合はそんなに間違えることはないと思うので大丈夫でしょう。

    ログインページのURLを変更する

    ワードプレスのログインのURLは/wp-login.phpと簡単に分かってしまいますよね。デフォルトだとどのサイトでもこれなはずです。

    このURLの変更をSiteGuardプラグインで行うことができます。

    ワードプレスのログインページは推測されやすいので、気になる人は設定しておくといいでしょう。

    ポイント

    「管理ページからログインページへリダイレクトしない」にはチェックを入れておきましょう。
    リダイレクトされないようにすることで、ログインページのURLが分からなくなります。

    変更後のログインページは、管理ページ(/wp-admin/)からのリダイレクトで知ることができますが、「管理ページからログインページへリダイレクトしない」にチェックをすることで、これを防止できます。

    プラグインの更新を頻繁に確認する

    プラグインの更新をしていない場合って結構あるんじゃないかなと思います。自動更新して動かなくなったら怖いし、とりあえずそのままでいいやっていうパターンありますよね。

    ただこれは結構危険でプラグインに脆弱性が発見されてもずっと更新されずにそのままということです。手動で更新するのが面倒な場合は、自動更新を設定しておくといいでしょう。

    プラグインの脆弱性ついてくるとかあるのね。
    全然あるよ。

    プラグインも全てコードだしオープンソースになっているものがほとんどです。例えばこれはcontact-formっていうプラグインのコードだけどこんなふうに誰でも見ることができる。

    誰でも見ることができるし誰しもコードを変更できる可能性がある(レビューがあるので変な変更はされません)からこそ、バグも潰れていきます。

    ただ逆に言えばコードを見ることができるので、悪意があれば脆弱性を突いて・・・とかいうことも考えられます。

    こういったコードでできたプラグインを複数インストールしていれば、それだけ不安になってきますよね。コードにバグは付き物なので不要なプラグインは削除して、できるだけ更新するようにしておきましょう。

    ワードプレスの更新を行う

    ワードプレスももちろんオープンソースでコードを見ることができます。ワードプレスもプラグインと同じで更新するようにしておきましょう。

    ワードプレスの利用者はとても多いですが、裏を返せば脆弱性を突かれやすいです。

    W3 Techs

    43.0%か、使っている人多いね。
    とても多い!

    世の中にサイトのほとんどはワードプレスといってもいいぐらいです。それだけ使われているなら、攻められるのも頷けますよね。

    前のバージョンの脆弱性が残っているままだと怖いですからアップデートは気にしておくといいですよ。

    テーマの更新も確認しておく

    テーマの更新も頻繁に確認してして、更新がある場合には更新しておくといいですね。

    使っているテーマに更新があれば、[外観→テーマ]から更新をすることができます。

    マルウェアのスキャンする

    ワードプレスのプラグインにはマルウェアをスキャンしてくれるプラグインがあって、例えばWP Doctorを使うと簡単にマルウェアのスキャンをしてくれる。

    改ざんされたファイルなどをチェックして検出してくれるので便利です。

    ワードプレスドクターのクラウドサーバー経由で日々増え続ける最新のマルウェアパターンを取得し、ワードプレスのファイルとデータベースを内部から完全スキャンし、ハッカーが改ざんしたファイルをプログラムが調査、チェックにより検出します。
    ワードプレスが乗っ取りされたときにマルウェアの位置や、改ざん箇所を調べることができます。

    プラグインのダウンロードはWP Doctorのページ内から行うことができますよ。

    パスワードを強固なものにしておく

    容易に推測されるようなパスワードはやめておきましょう。また、レンタルサーバーのパスワードにも気を使うといいですね。

    レンタルサーバーのパスワードも

    ワードプレスを運営しているレンタルサーバーにもログインされれば、サーバー内のファイルを自由に編集することができてしまいます。

    こちらにも簡単に推測されないようなパスワードを設定しておくといいでしょう。レンタルサーバーでも2段階認証の設定などをすることができます。

    エックスサーバーサイトエックスサーバーの2段階認証設定

    まとめ

    今回はワードプレスのセキュリティについて少し書いたけど、今回紹介した内容は以下です。

    まとめ
    • 2段階認証を設定する
    • ユーザー名・パスワードだけじゃなく画像認証も入れる
    • ログインパスワードの複数回間違えでログインロックさせる
    • ログインページのURLを変更する
    • プラグインの更新を頻繁に確認する
    • ワードプレスの更新を行う
    • マルウェアのスキャンする
    • パスワードを強固なものにしておく

    何かやっていないもので設定してもいいかなっていうものがあれば設定してみるといいでしょう。自分がせっかく作ったサイト改ざんされたら嫌ですからね。