こんにちは。Webディレクターのなべちゃんです。
LIGではサイト制作のうちの多くをWordPress(以下:ワードプレス)を使用して構築しています。また、皆さんのなかには企業のコーポレートサイトだけではなく、個人のブログでもワードプレスを使って運用しているよ、という方も多いのではないでしょうか。
かなり多くのユーザーに使われているワードプレスですが、「セキュリティの問題が不安で……」という方も多くいると思います。今回は、プログラミングの知識不要で、ディレクターでも、趣味でブログを運営している方でも簡単に設定できるセキュリティの対策をまとめてみました。
目次
そもそもなぜワードプレスが狙われやすいのか
「ワードプレスはセキュリティがなぁ……」と良く言われると思います。
そもそも、なぜワードプレスが狙われやすいのか。それはLIGもあなたも使おうとしているほど、「多くのユーザーが使っているから」なのです。
W3Techsによると、2021年時点で、世界のWebサイトのうち約40%がワードプレスを利用していて、CMS(コンテンツ管理システム)だと、65%のシェアがあります。
シェアが高いということは、クラッカーにとって改ざん方法を知っていれば、より多くのサイトを狙えるということです。シェアが少ないサイトの脆弱性を狙うよりも、シェアが大きいワードプレスを狙うほうが効率的ということですね。
セキュリティ対策で確認するポイント
ワードプレスはシェアが高い分、セキュリティに関する情報も多くあり、無料のプラグインもあります。狙われやすいから危険と考えるのではなく、プラグインによって安全に利用することができる、と考えるようにしましょう。
また、ワードプレスはプログラムを書かなくても、機能を拡張できる便利なツールなので、セキュリティ対策を施して、簡単に安全にサイトを制作していきましょう。これから、プログラムを書かなくてもできる5つの方法を書いていきたいと思います。
パスワードを複雑なものに変更する
まずはパスワードですね。
ワードプレスとサーバーのパスワードは複雑なものに変更しておきましょう。特にサーバーのパスワードの情報はメールで送られることが多く、覗き見されていないとは言い切れません。
パスワード推測ツールなどを使うと、簡単なパスワードは一瞬で見破られてしまいます。総務省のサイトでは、安全なパスワードとして以下のような定義をしています。
(1) 名前などの個人情報からは推測できないこと
(2) 英単語などをそのまま使用していないこと
(3) アルファベットと数字が混在していること
(4) 適切な長さの文字列であること
(5) 類推しやすい並び方やその安易な組合せにしないこと
引用元|総務省ホームページ
上記のような、複雑なパスワードに設定を行いましょう!
また、定期的にパスワードを変更することは非推奨とされているので、「定期更新」よりも「複雑」なパスワードにして、管理しましょう。
ワードプレスのプロフィールで、「新しいパスワード」を選択すると、複雑なパスワードが表示されるので、できるだけこのような複雑なパスワードの設定を行うことをおすすめします。
ログインURLを変更する
ワードプレスで構築されたサイトは、「ドメイン/wp-admin」のURLでログインページが開くようになっていて、ここでIDとパスワードさえわかれば突破されてしまいます。
ですが、こちらの「SiteGurad WP Plugin」というプラグインを入れ、ログインURLを変更すれば、ログインページへの侵入を防ぐことができます。
また、海外のユーザーから狙われることも多いです。対策として、上記のようにログインページにひらがなの画像認証を配置しましょう。
IDを特定されないようにする
ブログの記事がある場合、ワードプレスの初期設定でIDが丸見えになってしまっているので、注意が必要です。
投稿者とURLに入っている「test」はIDなので、この丸見え状態を回避しましょう。「Edit Author Slug」というプラグインを入れます。
①「ユーザー>プロフィール」のニックネームを適当な値に変更します。②「ブログ上の表示名」を上記の値に変更します。
プラグインを入れると、投稿者編集スラッグが表示されるので、ID以外の値にします。
URLと投稿者が設定した「1」になり、無事に丸見えだったIDを隠すことができました!
SSLに対応する
非SSLサイトの場合、送受信するデータが暗号化されていないため、メールフォームやログイン情報の送信内容を盗み見する可能性が高まります。以前はSSLを使用するには年間数万円の費用が掛かっていたのですが、現在はLet’s encryptやレンタルサーバーがSSLを提供しており、無料で設定することができます。
ログイン画面にBasic認証を追加する
ログイン画面にBasic認証を追加することで、ログイン突破を防ぐことができます。
Xserverやさくらなどのレンタルサーバーは、コードを書かなくてもボタンひとつで簡単にBasic認証を設定することができます。サーバーの設定の仕方に従って、ログイン画面にBasic認証を追加しておきましょう。
もしもに備えた対策をしておこう
クラッカーによってユーザーを乗っ取られてしまったら、サイトが消されてしまったら、という事態を防ぐためにしっかり備えておきましょう。もしブログを運営していて、何百もの記事が一瞬でなくなってしまったら怖いですし、ここまでの積み重ねが水の泡になりかねません。
リスクがあるからこそ、リスクが起こってどうするのかまで考えられると、リスクに対する不安も軽くなると思います。
バックアップを取得する
何かあってもすぐ元に戻せるようにバックアップを取得しておきましょう。サーバー側で無料、一部有料でバックアップを自動で取得することができます。
また、「BackWPup」や「UpdraftPlus」などのプラグインを使ってバックアップをダウンロードすれば、元の状態に戻したいというときも容易です。
個人情報はワードプレスやデータベースに入れない
もしワードプレスを乗っ取られても、個人情報を抜き取られないように、そもそもワードプレスには個人情報を入れないということも、大切です。
例えば、フォームがある場合は、ユーザー情報はワードプレスに置かず、管理者に届くメールで管理したり、MAツールを使用するようにして、入られたときに備えて、個人情報は閲覧できないように設定をしておきましょう。
まとめ
いかがだったでしょうか。
コードを書かなくても、簡単にセキュリティの対策を取ることができるので、まだ何もしていないという方がいたら、起こってしまう前に設定をおすすめします。
ワードプレスは決して危険ということではなく、適切なセキュリティ対策をすることで、簡単に安全性を高めることが可能です。やらないよりやっておく、もしもに備えてバックアップを取得して備えて、不安に思う人を一人でも減らせたら嬉しいです。
LIGはWebサイト制作を支援しています。ご興味のある方は事業ぺージをぜひご覧ください。
