WordPressサイトで「必ず」やっておきたいセキュリティ対策!

2020 2/13
WordPressサイトで「必ず」やっておきたいセキュリティ対策!

WordPressの素のセキュリティは緩いです。

コレはオープンソースであるが故の弊害です。

サクっと : オープンソースとは
設計図や仕様が公開されており、自由に改変などが認められている状態の事。
この仕組みのおかげで、世界中の専門家や知識人が常に改善・修正を行い、我々がその恩恵を受ける事が出来る。どこかの企業が保有するシステムでは、規約や機密で縛られる。)
その一方で、情報が公開されている事で悪意ある人間にとっては標的にしやすい側面も。

え、じゃあある程度知識があれば簡単にハッキング出来ちゃうの…?

出来ます(断言)

というワケで今回は「簡単に出来て効果も高い方法」を6つご紹介します。

とりあえずコレだけやっておけばOKです。

目次

WordPressのセキュリティを上げる6つの方法

セキュリティを上げる、となるとハードルが高そうですが、そんな事はありませんのでご安心下さい。

具体的には以下の6つの方法です。

  1. ニックネームを変える
  2. パスワードを複雑なものにする
  3. WordPressやプラグインのバージョンを常に最新のものにする
  4. 更新が止まっているプラグインは使わない
  5. ログインの設定を行う
  6. ログイン画面のURLを変える

それぞれの設定にかかる目安の時間も併記しています。

よほどの事がない限り、全部一気にやっても15分くらい。

それぞれ解説していきます。

WordPressのセキュリティ向上の基礎の基礎。絶対にニックネームを変えましょう!

設定に必要な目安時間 : 30秒

WordPressの設定にある「ログインID」と「ニックネーム」

どのテーマを使っていても、ほぼ100%デフォルトでは同じものが設定されています。

コレは絶対に変えてください。

変えずにいると「この記事を書いた人」等の項目に、ログインIDが(全世界に)公開されている、という控えめに言って激ヤバな状況になります。

ログインの際に必要な「ログインID」「パスワード」のうち、片方が分かっていれば、セキュリティ強度はめちゃくちゃ下がります。

かの有名な手法「総当たり攻撃」で一発です。

ログインIDと同じものを使用している方は、即変えましょう。

なお、「自分のサイトでは執筆者の情報が記事に出ないからヘーキヘーキ」という方も要注意。

素の状態のWordPressでは、ログインIDを簡単に出せます。

試しにご自身のサイトのURL末尾に「/?author=1」と入力してみてください。
※他の人のサイトでやったらダメですよ

するとなんという事でしょう、ばっちり「ログインID」が出ますね。

こちらについても対策が必要です。
※後述の「WordPressのセキュリティ向上その6:ログインURLを変える」で使用するプラグインで解決できます。

WordPressのセキュリティ向上その2:パスワードを複雑にする!

設定に必要な目安時間 : 3分

このご時世にはあまりいないかもしれませんが、ログインIDとパスワードを同じものにする事は絶対にやめましょう。

上述の「ニックネーム」でもご案内したとおり、設定によってはログインIDは即バレます。

加えてパスワードも同じものだとしたら、誰でもハッキングできます。

WordPressのパスワードは「半角英数字(大文字小文字)」「記号」が使えますので、なるべく複雑なものに変更しましょう。

ランダム生成を利用するのもアリです。

また、パスワード関係ではよく耳にする言葉ですが、定期的に変更するのも効果的です。

WordPressのセキュリティ向上その3:システム周りは常に最新に

設定に必要な目安時間 : 3分

冒頭でもありましたが、WordPressはオープンソースです。

そのおかげで、世のシステム担当者が卒倒する程のスピードと短いスパンで、バグ修正やセキュリティ向上がされています。

なお、「正義と悪の常」というワケではありませんが、基本的に対応は後手に回ります。

  • 脆弱性(セキュリティの穴)が見つかった→そこを守る(穴を埋める)ために改善しよう
  • 新しいハッキング方法が生まれた→その方法をシャットアウトする方法を考えて取り入れよう

といった具合に。

つまり、必要だから更新されているワケです。

常に最新のものにしておきましょう。

WordPressは「自動更新を許可する」設定にすれば勝手に更新してくれます。

プラグインはこまめにチェックして手動更新、もしくは「プラグインを自動更新するプラグイン」で管理しましょう。

WordPressのセキュリティ向上その4:更新が止まっているプラグインは外す。

設定に必要な目安時間 : 5分

これは上述の「その3」とも関連しますが、基本的に古いものはセキュリティが低いです。

新しく出てきたハッキング手法への対策がされていませんし、脆弱性があっても修正されていない恐れがあります。

では「どれくらい前に更新されていれば良いのか?」と言われるとなかなか難しいです。

プラグインも様々で、サイトの根幹に関わるものだと古くても外せませんし、逆に簡単な機能追加のプラグインであればそこまで厳しく見る必要もありません。

私の場合は「1年更新がなければ検討」としています。

そして、2年以上更新がない場合には外します。

WordPressのセキュリティ向上その5:ログイン周りの設定を変える

設定に必要な目安時間 : 3分

ここまでの内容をお読みいただき、取り入れてもらえれば少なくとも「丸腰」の状態は脱しています。

とはいえこのレベルの事はすでにされている方も多いハズ。

ここからはさらにセキュリティを高めていきます。

まずはログイン周り。

「何回もログイン失敗した場合は、入れなくなる」という設定をしていきます。

これにより、「総当たり攻撃」を防ぐ事が出来ます。

サクっと : 総当たり攻撃
機械的に文字列の全ての組合せを試して(総当たりさせて)、不正ログインを試みるもの。
人ではなく悪質なプログラム(ボットなど)によるものが多い。

かなり粗雑な方法に思えますが、出来るまで何度もログインを試みるため、IDが特定されている場合には理論上100%突破されるという恐ろしい攻撃です。

こちらの対策は「Login LockDown」というプラグインをインストールして有効化するだけ。

デフォルトでは

  • 5分以内に2回までなら入力失敗できる
  • 3回失敗したら、60分間は入力出来ない

という設定になっていますので、とりあえずはこのままでもOKです。

ちなみにこの「●分」や「●回」は設定で変更出来ますので、好みに合わせてもっと厳しくしたり緩くしてみてください。

あわせて読みたい
「Login LockDown」の設定方法
「Login LockDown」の設定方法総当たり攻撃などの不正アクセスに有効なプラグイン「Login LockDown」設定方法や内容を解説します。

WordPressのセキュリティ向上その6:ログインURLを変える

設定に必要な目安時間 : 5分

ご存知の方も多いと思いますが、WordPressのログインURLは規則性があります。

ホームページのURL末尾に「/wp-admin/」をいれるとログインページにアクセス出来る、というもので、言い換えれば「知っていれば誰でもアクセスできる」ワケです。

この項でご案内するのは、ログインページのURLを別のもの(任意のURL)に変えてしまおう、という方法。

こちらも別に難しい操作は不要で、プラグインで対応します。

いくつか種類がありますが、オススメは「Login rebuilder」というプラグイン。

ログインページのURL変更はもちろん、上述の「/?author=1(ログインIDが表示される!)」ページへのアクセスも拒否できます。

また、ログインページへのアクセスログもとれます。

不正なアクセスがあれば、そのログを使ってIPアドレス指定で拒否する(サーバー側の設定が必要)といった高度な事もできます。

「Login rebuilder」の導入と設定方法を簡単にご紹介

  1. 「Login rebuilder」をインストールして有効化します。
  2. WordPressの管理画面、左の列の「設定」から「ログインページ」をクリック
  3. 設定画面が開くので、「新しいログインファイル」を任意のもの(任意の文字列.php)に変更。
  4. 設定画面の下の方にある「著者ページへのアクセス」の「404ステータス」にチェックを入れる。
  5. 「変更を保存」をクリック

1.で入力したものがログインURLとなります。

保存後、入力欄の下に「URL」として表示されますので忘れずに控えておきましょう。

また、2.の設定によって、「/?author=1」にアクセスした場合には404ページを表示することができます。

まとめ : WordPressのセキュリティ対策は必須!すぐやりましょう

アクセス数や知名度が上がっていくにつれ、標的にされるリスクは高まっていきます。

素の状態のWordPressはセキュリティが緩く、何も対策を打っていないとひとたまりもありません。

※ちなみにWordPressを使っているかは「ソースコード」と呼ばれるものを見ればすぐに分かります。(お手持ちのPCでも見れます)

副業でやっているアフィサイトがハッキングされて乗っ取られるなら(まだ)マシですが、会社のホームページがハッキングされたらシャレになりません。

積み上げてきたコンテンツも信用も吹っ飛びます。

そうならないためにも、最低限今回ご紹介したセキュリティ対策を行なっておいてください。

関連記事

目次
目次