最低限これだけは必須！WordPress8つのセキュリティ対策

WordPressを開設したはいいけど、WEBの知識に自信がなかったり、セキュリティに関してなんとなく心配ではあるけどどうしたらいいか分からない、と不安に思っている方は多いのではないでしょうか。

結論から言うと、セキュリティ対策は必要です。

よく分からないから、、、と放置してしまうのはとても危ない事なのです。

世の中に存在する全サイトのうち、WordPressサイトの使用率は現在約43%、CMSに限っては60%を超えています。

これだけのシェア率を誇るだけあって、ハッカー達の標的にされる割合も比例して多いのです。

そこで今回は、WordPress初心者の方でもすぐに実践できる対策を8つご紹介します。

リスクを知り、対策を取る事で、自分のサイトを守りましょう！

WordPressのセキュリティリスクとは

対策方法をお伝えする前に、セキュリティ対策の重要性をお伝えしたいと思います。

WordPressが狙われる理由

WordPressが狙われる理由は冒頭でもお伝えしましたが、何といっても「シェア率の高さ」です。

ターゲットが少ないところを狙うよりも、多いところを狙った方が勝率は上がりますよね。

皆んながみんなセキュリティ対策をしているわけでも無いですし、数打ちゃ当たります。

WordPressを使う限り、「自分も狙われる可能性がある」と当事者意識を持ち対策を練る事はとても大事なことなんですよね。

狙われるとどんな被害を受けるのか

色々な方法を生業にしている悪い人たちがいますが、主な被害の受け方は下記です。

ネット社会である現代、これからはもっと他の手法で攻めてくる可能性もあります。

WordPressのセキュリティ対策6つ

今回紹介する方法はこちらの5つです。

• 端末自体のバージョンを最新にする
• WordPress・テーマ・プラグインのバージョンを最新にする
• 利用していないプラグインは削除する
• ログインパスワードの見直し
• セキュリティUPプラグインを導入する
• 定期的なバックアップ

端末のバージョンを最新にする

WordPressはPC・スマホのどちらからでも管理する事が可能です。

管理のしやすさからパソコンでの利用者の方が多いかと思いますが、どちらにせよ利用端末のセキュリティ対策が基本となります。

セキュリティソフトの有無は個人の考え方に左右されるところではありますが、利用端末のバージョンを最新に保つ事は日頃から気にかけておいた方がいいです。

WordPress内でどれだけセキュリティ対策を行なったとしても、管理している端末自体にマルウェアが侵入してしまうと意味がなくなってしまう可能性があります。

WordPress・テーマ・プラグインのバージョンを最新にする

WordPressそのものや、各テーマ・各プラグインは仕様変更や不具合修正以外にも、セキュリティ強化のためのアップデートを随時行なっています。

日々進化するマルウェアなどの対策としてアップデートをしてくれているのであれば、利用する側も最新バージョンに更新して利用するようにしましょう。

WordPress本体・プラグイン・テーマの更新は全て同じ管理画面から操作できます。

【ダッシュボード】→【更新】

更新項目がある場合は、ダッシュボードの【更新】欄の横に、更新項目の件数が表示されます。

画像の場合は、「プラグインの更新が必要です」というアナウンスのため、プラグインの項目にも印が付いています。

全ての項目において、念の為、更新する前は必ずバックアップをとってから行いましょう！

利用していないプラグインは削除する

マルウェアはプラグインからも侵入してきます。

プラグイン側も定期的にアップデートを行なっているため、最低限の対策はとってくれていますが、利用していないプラグインについては、設定で更新通知がOFFになっていたりと気づかない場合があります。

脆弱なままのプラグインをそのままにしておくのは、リスク管理上よろしくありません。

プラグインの基本は「信頼できるものを少数精鋭」です。

また、「無効化」のままおいておけばいいのでは？と思うかもしれませんが、無効化処理ではサーバ上にデータが残ったままのため、機能を使っていないだけで存在はしているので、マルウェアの侵入予防にはなりません。

使わないのであれば【削除】しましょう。

実際の削除方法は下記です。

【ダッシュボード】→【プラグイン】

削除方法はとても簡単で、対象プラグインタイトル下部にある【削除】を押すだけです。

ちなみに「有効化」になっているプラグインを消したい場合は、一旦「無効化」にする事で【削除ボタン】が出てきます。

ログインパスワードの見直し

単純な事ですが、とても効果があります。

パスワードについては設定時になんとなく付けてしまったり、いつもと同じものを使い回したりする人が多いのではないでしょうか。

ブログは自分の大切な資産になります。

複雑なパスワードはめんどくさいと感じてしまうかもしれませんが、その一手間が自分のブログを守る事に繋がります。

変更方法は下記です。

【ダッシュボード】→【ユーザー】→【プロフィール】

ページ下部、【アカウント管理】欄の【新しいパスワードを設定】をクリックします。

入力欄が出てくるので、新規のパスワードを入力してください。

入力欄の下に強度チェッカーが付いているので、目安にしてみてください。

パスワードが決まったら、【プロフィールを更新】をクリックし、設定完了です。

セキュリティUPプラグインを導入

セキュリティを上げるためのプラグインはいくつかあります。

しかし、プラグインはたくさん付ければいいと言うものでも無く、付けすぎるとサイトが重たくなったり、本題のセキュリティの面でも逆にリスクを上げる事になってしまいます。

なので、プラグインを導入する前はよく吟味する必要があるのです。

そこで、今回おすすめするプラグインは「SiteGuard WP Plugin」です。

セキュリティ対策として導入している方がかなり多い国産のプラグインです。

基本的なセキュリティ機能が入っており、操作も直感的で使いやすいため、初心者にはおすすめのプラグインです。

大まかな機能はこちらです。

この他にもありますが、ログイン関係をかなり強固に守ってくれます。

いくつか抜粋して解説すると、まず「ログインページ変更」機能については、デフォルト状態だとサイトURLの後に「wp-admin/」を入力すると誰でもログイン画面に入れてしまいますが、こちらの機能を使えば「wp-admin/」の部分を任意のものに変更することができます。

つまり、「ログインするための入口自体を隠してしまおう！」と言うわけですね。

もう一つのおすすめ機能は「画像認証」です。

ログインID・パスに加え、ひらがなや英数字などを入力しなければいけないため、ログインブロック率はかなり向上します。

ちなみに入力項目はひらがな・英数字の2択で選べます。

次に実際の導入方法です。

プラグイン管理画面を開きます。

【ダッシュボード】→【プラグイン】→【新規追加】

キーワード欄に【SiteGuard WP Plugin】を入力し、【今すぐインストール】をクリックします。

インストールが完了したら【有効化】を押して導入完了です。

定期的なバックアップ

他の用途も絡んできますが、バックアップを取る事はとても大切です。

セキュリティ対策として、マルウェアやハッカーの侵入を防ぐといった意味では正直通用しませんが、万が一内容改ざんなどの被害に遭ってしまった場合は、現状復帰までのスピードが全く違います。

基本的には「毎日」の自動バックアップをおすすめします。

初期設定にもおすすめな対策2つ

今まで紹介してきた方法は、今後も継続的に行なっていかなければいけない対策でしたが、こちらではWordPress開設後、初期設定のタイミングで済ましておくと便利なセキュリティ対策を紹介します。

メタ情報の削除

WordPress開設後は利用テーマによって「メタ情報」と呼ばれる項目が、サイトに表示されてしまっている可能性があります。

WordPressにおけるメタ情報とは、「サイト管理者が自分のサイトにログインしたり管理する為のリンク」のことです。

サイトのログインページへだれでもアクセス出来てしまうため、リスクが上がってしまいます。

メタ情報削除に関しては、こちらの記事で解説しています。

ニックネームを変更する

ニックネームに関しては、デフォルトの状態だとログインユーザーIDに設定されています。

こちらも利用テーマによっては、記事投稿時に「投稿者名」としてニックネームがだれでも閲覧できる設定に自動的になっている可能性があります。

ユーザーIDはログインに必要な情報のうちの一つなので、外部にばれてしまうとかなり危険です。

ニックネームに関しては、必ず記事投稿前に設定を済ましておきましょう。

ニックネーム変更についての記事はこちらです。

特別な知識がなくても事前にできる対策はいくつもあります。

セキュリティ対策については後回しにせず、サイトを運営していく前の段階で取れる対策は取りたいですね！

＼当ブログで使用中のテーマ／

「稼ぐ・収益化」の特化型のWordPressテーマ『AFFINGER』

当ブログのリンクから購入していただくと、

限定特典が付いてきます！

AFFINGER購入ページはこちら