WordPressでやっておきたい5つのセキュリティ対策やプラグインのご紹介
更新日:2021年10月8日 / 投稿日:2020年10月14日
WordPressは世界中で利用されていて、CMSとして企業から個人まで様々なユーザーがいます。
その反面、WordPressを使用するにあたって、ちょくちょく耳にするのが「セキュリティの弱さ」について問合せを頂く事があります。
今回はWordPressのセキュリティ対策について、これだけはやっておきたい5つの対策や使用するプラグインなどをご紹介していきます。
~ 目次 ~
なぜWordPressがセキュリティに弱いのか
なぜWordPressはセキュリティ面で不安があるのか、その主な理由を以下にまとめてみました。
- 世界中で利用さているCMSのため、ターゲットにされやすい
- オープンソースのため、脆弱性もみつけやすい
WordPressは個人の方から大企業まで実に多く利用されていて、世界中にあるWEBサイトの約35%以上がWordPressで構築されているとい言われています。
それだけシェアが多く、シェアが多ければそれだけ標的にもされやすくなってしまいます。
また、オープンソースのためコードが一般公開されているので、脆弱性も発見されやすくなってしまう面もあります。
よくあるWordPressへの攻撃実例
では攻撃にあった場合どういった事になるのか、実例も踏まえてご紹介していきます。
これは私の体験談になるのですが、以前リニューアル案件で相談されたサイトでは、すでに不正ログインされていて、リンク先のURLを改ざんされている状態でした。
ですのでその案件ではサイトの復旧を急務に、スタートをした覚えがあります。
では、これからWordPressを利用するにあたって、どういった対策が必要なのかをこれからご紹介していきます。
まずはWordPressの診断をしましょう
自分のサイトのセキュリティチェックを診断する事ができるサイトがありますので、まずはこちらのサイトから一度チェックをしてみましょう。
ワードプレスドクターでは、無料で脆弱性を診断してくれます。
診断方法は、URLを入力してボタンをクリックするだけですので、とても簡単です。
また、こちらのサイトでは、カスタマイズから復旧などの対応も行ってくれるのでとても心強いサイトです。
WP Secも同じく脆弱性の診断を無料で行ってくれます。
これだけはやっておきたいセキュリティ対策5つ
バージョンの削除
WordPressでをデフォルトで使用していると、ヘッドタグにバージョン情報を記したメタタグで出力されます。
これは「このバージョンのWordPressを使用しています」とわざわざ宣言しているようなもので、特にこれが無いいけないというものではないので出力させないようにしましょう。
functions.phpに、以下のコードを追加する事で出力を制御できます。
remove_action('wp_head', 'wp_generator');
ユーザー名とパスワードを同じものにしない
意外とよくあるものが、ユーザー名とパスワードを同じもの、あるいは簡単なものに設定していたためにログイン情報を破られてしまい、不正にログインをされるという事例です。
自分が以前リニューアルで関わったワードプレスサイトでも、このように簡単なユーザー名とパスワードにしていたために不正なログインをされ、乗っ取られるという事態に陥ってしまい、結果として必要以上の労力がかかる事になりました。
パスワードは簡単に破られないものを設定し、しっかりとログイン情報を管理するために
簡単に不正ログインをされないためにも、以下のようなサイトでパスワードを難しいものに設定し、ユーザー名とパスワードをしっかりと管理していきましょう。
こちらのルフトツールズ(LUFTTOOLS) Web便利ツール集では、パスワードの強度から文字数や、英数字や記号の設定に、パスワードの生成する数も設定ができる便利なツールです。
こちらでパスワードを生成し、しっかりと保管をしましょう。
余計なタグを出力させない
WordPressは、制作の知識のない方でも使えるようにするため、色々な事を想定して作られているため、普段では使う事のないタグも出力されたりします。
このタグを削除する事でセキュリティ対策になります。
不要なプラグインは削除する
不要なプラグインをそのままにしていると、プラグインの脆弱性を攻撃される可能性があります。
必要のないプラグインは協力削除をしましょう。
セキュリティ対策のプラグインを導入する
WordPressのセキュリティ対策に役立つプラグイン3選をご紹介します。
1,SiteGuard WP Plugin
WordPressのセキュリティ系のプラグインでは有名なプラグインで、主に、ログインURLを変更したり、ログイン画面に画像認証を追加したできるプラグインです。
また、設定も特に難しい事はないので、簡単に利用できます。
2,All In One WP Security & Firewall
All In One WP Security & Firewall
お名前の通り、色々なセキュリティ機能が備わっているプラグインで、Firewallを導入することもできます。こちらも上記のプラグインと同じく有名なプラグインです。
3,Akismet
こちらも有名なプラグインでWordPressに標準でインストールされているプラグインになります。
初めて利用する場合、「APIキー」を取得して紐付けて利用します。
また、個人利用では無料ですが、商用利用では有料になります。
まとめ
WordPressのセキュリティについて、対策やプラグインのご紹介をいたしましたが、いかがだったでしょうか?
よく利用される反面、攻撃の対象にないりやすいWordPressですが、セキュリティ対策をしっかりして、安心できるサイトを提供できるようにしていきましょう。
この記事を書いた人
KNOWLEDGE BASEの中の人
2013年よりWEB制作会社に入社し、デザイン・コーディングからディレクションと幅広く従事。