最近ハッキング被害のニュースをよく耳にしますが、サイトを公開する際にセキュリティ対策は行っていますか?
世界中で人気のWordpressは非常に狙われやすいCMSですが、最低限の対策をしておくことで被害を回避できる可能性は高くなります。
制作したWordpressサイトを公開する前に、セキュリティを強化してあなたのサイトを安全に運用しましょう。
この記事では、サイト公開前・後に実践するべき対策やおすすめのプラグインを解説します。
セキュリティ対策の必要性
WordPressは世界ナンバーワンシェアを誇る大人気CMSです。
Webサイトに関する知識が乏しい初心者でも簡単にサイトを作ることができるのが大きな特徴と言えるでしょう。
しかし世界中で広く使われているため、不正アクセスや情報漏洩、サイトの改ざんなどの標的にされやすいというデメリットもあります。
そこで、大きな被害につながる前にあらかじめセキュリティ対策を行う必要があります。
WordPressサイトを公開する前のセキュリティ対策
ログインURLを変更する
WordPressの初期ログインURLはどのサイトも同じです。
https://サイトドメイン/wp-login.php
https://サイトドメイン/wp-admin
上記どちらかのURLでWordpress管理画面にログインすることができます。
ログインURLを初期設定のまま放置しておくと、誰でもログイン画面に辿り着けてしまうためとても危険です。
プラグインを使ってログインURLを変更しましょう。
ログインURLを変更してくれる代表的なプラグインは以下の2つです。
- WPS Hide Login
- SiteGuard WP Plugin
どちらのプラグインも無料で簡単にログインURLを変更できます。
WPS Hide Login
WPS Hide Loginは、WordPressのログインURLを変更するためだけのプラグインです。
機能が「ログインURLの変更」しかないので、シンプルで使いやすいでしょう。
導入手順は以下の通りです。
WordPress管理画面にアクセスし、左側のメニューから「プラグイン」→「新規プラグインを追加」をクリックします。
検索窓に「WPS Hide Login」と入力し、プラグインが表示されたら「今すぐインストール」ボタンでインストールします。
インストールが完了したら有効化します。
有効化できたら、左側のメニューから「設定」→「一般」に移動して一番下までスクロールします。
すると、ログインURLを設定できる項目が追加されていることを確認できます。
ログインURLにはデフォルトで「login」と入力されているので、変更したいログインページ名を入力してください。
リダイレクトURLは、変更前のログインURL(wp-login.phpやwp-admin)にアクセスされたときに、どのページにリダイレクトさせるかを設定することができます。
デフォルトでは「404」と入力されています。404はエラーページのことなので、希望のリダイレクトURLがない場合この欄は変更しなくても大丈夫です。
変更し終えたら「変更を保存」ボタンをクリックしましょう。
SiteGuard WP Plugin
SiteGuard WP Pluginは、WordPressのログインURL変更や画像認証の導入などの管理ページとログインへの攻撃からの保護に特化したプラグインです。
このプラグイン1つでいくつかのセキュリティ対策が可能なので便利でしょう。
導入手順は以下の通りです。
WordPress管理画面にアクセスし、左側のメニューから「プラグイン」→「新規プラグインを追加」をクリックします。
検索窓に「SiteGuard WP Plugin」と入力し、プラグインが表示されたら「今すぐインストール」ボタンでインストールします。
インストールが完了したら有効化します。
有効化ができると、画像のような通知が表示されます。
下線が引かれている「新しいログインページURL」をクリックしてみましょう。
すると、ログインページに飛ばされます。
URLが変更されていることを確認し、ユーザー名・パスワード・画像認証のテキストを入力後ログインします。
今のデフォルトのログインURLのままでも大丈夫ですが、変更したほうが推測されにくくなります。
変更するには、Wordpress管理画面の左側のメニューから「SiteGuard」→「ログインページ変更」をクリックします。
英数字・ハイフン・アンダーバーを使用して、変更後のログインページ名を入力してください。
オプションの「管理画面からログイン画面にリダイレクトしない」にチェックを入れ、「変更を保存」をクリックします。
※「管理画面からログイン画面にリダイレクトしない」にチェックを入れなかった場合、ログインURLは変更されますが、https://サイトドメイン/wp-admin で新しいログインURLにリダイレクトされてしまいます。
それではログインページURLを変更した意味がないので、必ず「管理画面からログイン画面にリダイレクトしない」ようにしましょう。
これで、wp-login.phpとwp-adminからはログインページにたどり着けないようになりました。
パスワードを強化する
管理画面にログインする際のパスワードを強化することもセキュリティ対策になります。
サイトの内容に関連する単語や数字などは使用せず、大文字・小文字・数字・記号を含む長いパスワードを使用すると推測されにくくなるでしょう。
WordPress管理画面のプロフィール(またはユーザー)から新しいパスワードを入力して、セキュリティレベルを確認してみてください。
セキュリティ用プラグインを導入する
WordPressにはセキュリティ対策をしてくれるプラグインも数多く存在します。
初心者に特におすすめなのが以下の2つです。
- All In One WP Security & Firewall
- SiteGuard WP Plugin
All In One WP Security & Firewall (AIOS)
All In One WP Security & Firewallは、Wordpressのセキュリティ用プラグインの中で評価がかなり高く人気のプラグインです。
下の画像のように、セキュリティレベルの可視化をできるという点が大きな特徴のひとつと言えます。
その他には、ログインURLの変更したり、スマホアプリを利用した2段階認証を導入したり、サイト内のテキストのコピーを禁止したりすることができます。
ただ、日本語に対応していないため、英語が苦手な方は使いづらいかもしれません。
SiteGuard WP Plugin
SiteGuard WP Pluginは、先ほどログインURL変更時にも紹介したプラグインです。
ログインURL変更の他に、管理ページにアクセス制限をかけたり、ログイン失敗回数制限をかけたり、Wordpressのバージョンやプラグイン・テーマの更新が必要な際にサイト管理者に通知を送ったりすることができます。
日本の企業によって開発されたため、全て日本語で表記されているという点が特徴です。
WordPressサイト公開後に行うべきセキュリティ対策
WordPressを最新バージョンにアップデートする
WordPressは年に数回の頻度でバージョンアップを行っています。
発見された脆弱性を改善したバージョンがアップされるので、SiteGuard WP Pluginなどのセキュリティ用プラグインを導入しておきましょう。バージョンアップがあった際に通知を送ってくれるので、定期的に管理画面にログインしてバージョンアップがないか確認する必要がありません。
また、最新バージョンにアップデートをする前に必ずバックアップを取りましょう。
バックアップを取っておけば、アップデートをしたことによってエラーや表示崩れが起きてしまってもすぐに復元することができます。
テーマ・プラグインを最適化する
脆弱性のあるテーマ・プラグインは、たとえ無効化していてもハッキング被害の原因になる可能性があります。
使用していないものがあればすぐに削除しましょう。
また、最新のバージョンにアップデートすることも重要です。
こちらもWordpressバージョンアップと同様、セキュリティ用プラグインを導入して、テーマやプラグインのアップデートがあった際に通知受け取りましょう。
定期的にバックアップを取る
バックアップを定期的に取っておくと、ハッキング被害にあってしまったときのみならず、Wordpress本体やテーマ・プラグインなどのバージョンアップで表示が崩れてしまったときにサイトを復元することができます。
バックアップもプラグインを使って行うことができます。
おすすめは「All-in-One WP Migration」というプラグインです。無料で簡単にバックアップを取ることができます。
All-in-One WP Migration
All-in-One WP Migrationは、Wordpressサイトの引っ越しを簡単に行うことができるプラグインで、バックアップを取る用途でも使用することができます。
表示がシンプルで初心者でも使いやすいプラグインです。
バックアップを取る手順は以下の通りです。
WordPress管理画面にアクセスし、左側のメニューから「プラグイン」→「新規プラグインを追加」をクリックします。
検索窓に「All-in-One WP Migration」と入力し、プラグインが表示されたら「今すぐインストール」ボタンでインストールします。
インストールが完了したら有効化します。
有効化すると、左側のメニューに「All-in-One WP Migration」が追加されます。
ここから「バックアップ」の画面にアクセスします。
「バックアップを作成」ボタンをクリックします。
バックアップの作成が完了すると、ダウンロードボタンが表示されます。ダウンロードしましょう。
これでバックアップの取得は完了です。
バックアップ画面から再ダウンロードすることも可能です。ただ、バックアップファイルをいくつも貯めているとサーバーの容量を食ってしまうので、古いバックアップファイルは削除しておくべきです。
サイトの復元は、インポートメニューから行えます。
ここにダウンロードしておいたバックアップファイルをドラッグアンドドロップするか、「インポート元」→「ファイル」でファイルを選択してインポートすれば、復元完了です。
まとめ
ここまで、Wordpressサイトのセキュリティ対策について解説しました。
すぐにできる対策ばかりなので、サイトを納品/公開する前にぜひ実行してみてください!