テレワーク導入前に知っておきたいWordPressのセキュリティ対策９選

VPN環境の構築

VPN（Virtual Private Network）は、インターネットを通じて仮想的に専用線を用意する仕組みです。

インターネット上を流れる通信は、知識のある人ならば簡単に傍受することが可能であることをご存知でしょうか。

VPN環境を構築することで、仮想的にあなた専用の専用線を用意することができ、第三者から通信内容を傍受されるリスクを低減できます。
また、VPN以外からのアクセスにはIP制限をかけることで、不正アクセスのリスクをさらに下げることができます。

ユーザー情報の確認・再設定

WordPressにログインする際にはログインIDとパスワードの組み合わせである「ユーザー情報」を利用します。

その設定をしっかりと行うために、次に紹介する確認項目をチェックしましょう。

xmlrpc.phpの設定を確認する

「xmlrpc.php」とは、他のプログラムやメールなどからWordPressを操作するための設定ファイルです。

xmlrpc.phpを利用することで、管理画面外から投稿を作成したり削除したりすることができます。

そのため、しっかりと設定しておかないとサイトの改ざんや管理者権限の盗取などの攻撃を受ける可能性があるのです。

xmlrpc.phpの機能を停止するためには、All In One WP Security & Firewallなどのプラグインを利用することで対応できます。

プラグインを導入したくない場合は、「.htaccess」ファイルにxmlrpc.phpへのアクセスを制限する記述をして、対応することも可能です。

ただし、xmlrpc.phpはプラグインで利用されている場合もあるため、全てのアクセスを一概に制限してしまうと不具合に繋がる可能性もあります。
プラグイン側でもxmlrpc.phpにアクセス制限が行われる可能性は認識されていますので、xmlrpc.phpを利用するプラグインの場合は、アクセスを許可する必要があるIPアドレスのリスト（ホワイトリスト）が公開されています。ホワイトリストに記載されているIPアドレスについては、アクセスを許可するようにしてください。

関連記事：XML-RPCについて詳しく見る

WordPress・プラグインを最新バージョンにする

WordPress本体やプラグインは定期的にバージョンアップされています。

バージョンアップの内容には、機能の追加だけでなくセキュリティ対策のためのアップデートも含まれています。

そのため、WordPress本体やプラグインは常に最新バージョンを利用することがおすすめです。

古いバージョンを利用していると、セキュリティ的に弱い部分である「脆弱性」を抱えている状態となってしまいます。

攻撃者はその脆弱性を狙って攻撃を行うため、最新バージョンにすることがセキュリティ対策となるのです。

プラグインの最終更新日を確認する

先ほどもお話ししたとおり、脆弱性対策のためにバージョンアップは重要です。

しかし、プラグインのなかには公開してからバージョンアップが行われないものも存在します。

WordPressのプラグイン導入ページを開くと、プラグインの最終更新日が確認できます。
もし、最終更新日が1年以上前であれば、別のプラグインを導入することを考えましょう。

最終更新日が1年以上前のものは、脆弱性対策が行われていない可能性があります。

詳しい確認方法や安全なプラグインの選び方については、『WordPressのプロ直伝！失敗しないプラグインの選び方』の記事もご確認ください。

定期的にバックアップをとる

定期的にバックアップを取得することもセキュリティ対策となります。

仮にあなたのサイトが攻撃されてしまった場合、バックアップを取得していないと対応することが難しくなります。

たとえば、攻撃を受けてサイトの内容を改ざんされてしまったら、対応に膨大な時間を割かれることになってしまうかもしれません。

しかし、定期的なバックアップを取得していれば、バックアップから状態を復元することができ、時間をかけずに復旧させることができます。

そのほかにも、自身の操作ミスなどによる不具合発生時などにも活用できるため、WordPressを運用する際には定期的にバックアップを取得しましょう。

関連記事：WordPressをバックアップする簡単な方法について詳しく

無料Wi-Fiを使用しない

カフェなどでは「フリーWi-Fi」として無料で使えるWi-Fiが提供されています。
しかし、そのなかにはセキュリティ対策が行われていないものも存在するのです。

セキュリティ対策が行われていないフリーWi-Fiは、通信内容を簡単に第三者が傍受することができます。

そのため、そのようなフリーWi-Fiを利用してWordPressにログインすると、ログインIDやパスワードが盗まれてしまう可能性があるのです。

原則として無料Wi-Fiは利用しないようにし、どうしても利用する必要がある場合はセキュリティ対策が行われているかしっかりと確認しましょう。

もしくは、上述のように「VPN」を利用すると、無料Wi-Fiでも安全性を高めることができます。

サイトのSSL化を行う

「SSL化」とは、Web上での通信を暗号化することで通信内容の傍受を防ぐ仕組みのことで、「SSL化」されているサイトはURLの冒頭が「https://」で始まるのが特徴です。
「SSL化」の設定を行っていないと、例えばWordPressへのログインの際に、ユーザーIDやパスワード等が傍受されてしまい、不正ログインによるハッキング被害を受ける可能性があります。

最近では、サイトを立ち上げる際にデフォルトで「SSL化」されていることも多いですが、まずは、自分のサイトを表示させてURLを確認してください。

URLの冒頭が「https://」で始まっていれば、「SSL化」されています。
「http://」で始まっていれば「SSL化」に対応していないため、「SSL化」の設定を行う必要があります。

また、「https://」で始まっていても安心せず、「s」をとって「http://」でアクセスしてみましょう。
「http://」でアクセスしても、すぐに「https://」に戻れば正しく設定がされています。

一見、おかしいように思うかもしれませんが、これは「http」での通信が起こらないようリダイレクトという処理が行われています。
逆に、「http://」のまま変化せずにアクセス出来てしまった場合は、リダイレクトの設定が必要になります。

WordPressの「SSL化」については、『WordPressのSSL化の設定方法について』の記事で解説していますので、参考にしてみてください。

WAFの導入

WAF（Web Application Firewall、ワフ）は、Webサーバーの前段に設置して通信内容を解析することで、Webアプリケーションの脆弱性を狙う攻撃を検知・遮断することができるセキュリティ対策です。

WAFはWebアプリケーションに特化したファイアウォールで、一般的なファイアウォールでは防ぎきれないサイバー攻撃を防ぐことができます。ECサイトのようにユーザーの入力を受け付けたり、リクエストに応じたページを動的に生成するサイトの場合は特に導入をおすすめします。

WAFの導入もセキュリティ対策として有効ですので、有名なWAFを2つご紹介します。