セキュリティ 2023.07.26

テレワーク導入前に知っておきたいWordPressのセキュリティ対策9選

この記事を書いた人

土井 純也

WordPressスペシャリスト・エンジニア/株式会社e2e 取締役 / CTO

1985年北海道生まれ。
200社以上の大手上場企業のWordPressサイトの制作、保守・セキュリティをサポートしている。

【 展開しているサービス一覧 】
■WordPress開発サービス「wp.make
■WordPress保守/運用サービス「wp.support
■WordPressハッキング/緊急復旧対応サービス「wp.rescue
■WordPressバージョンアップ代行サービス「wp.versionup

新型コロナウイルスの影響により在宅ワーク(テレワーク)の需要が高まっています。

WordPressはインターネット経由でアクセスできるため、テレワークでも問題なく維持・管理が可能です。

しかし、しっかりとセキュリティ対策をしておかないと、不正ログインなどの攻撃を受けてしまう可能性があります。

今回は、テレワーク導入前に知っておきたいWordPressに関するセキュリティ対策について9つの対策方法を解説します。

WordPressの不正ログイン対策3つ

WordPressを利用する上で、不正ログイン対策は欠かせません。
3つの対策方法を紹介しますので、一つずつ見ていきましょう。

VPN環境の構築

VPN(Virtual Private Network)は、インターネットを通じて仮想的に専用線を用意する仕組みです。

インターネット上を流れる通信は、知識のある人ならば簡単に傍受することが可能であることをご存知でしょうか。

VPN環境を構築することで、仮想的にあなた専用の専用線を用意することができ、第三者から通信内容を傍受されるリスクを低減できます。
また、VPN以外からのアクセスにはIP制限をかけることで、不正アクセスのリスクをさらに下げることができます。

ユーザー情報の確認・再設定

WordPressにログインする際にはログインIDとパスワードの組み合わせである「ユーザー情報」を利用します。

その設定をしっかりと行うために、次に紹介する確認項目をチェックしましょう。

ユーザーIDがadminになっていないか

WordPressのデフォルトユーザーIDとして、「admin」という名前のユーザーIDが存在します。
adminユーザーは、WordPressに触れたことがある人ならば誰もが知るユーザーIDです。

そのため、adminユーザーを使い続けていると、通常ならばユーザーIDとパスワードの2つの突破が必要なところ、パスワードのみを突破するだけで不正ログインを行うことができてしまいます。
(しかも、管理者権限を持つユーザーとして)

WordPressを利用する際には、adminユーザーを利用せず、オリジナルのユーザーを別途作成して利用するようにしましょう。

パスワードが単純になっていないか

オリジナルのユーザーを作成しても、単純なパスワードを使っていると簡単に予測できてしまいます。

たとえば、「1234」や「password」のような単純なパスワードであれば、ユーザーIDさえ分かれば簡単に不正ログインできてしまいますよね?

パスワードは次の要件を満たすように設定することがおすすめです。

  • 8文字以上
  • 大文字、小文字、数字、記号を織り交ぜる
  • 意味のない文字列にする

パスワードは短いほど予測しやすくなるため、最低でも8文字以上のパスワードを設定しましょう。

また、数字だけ・アルファベットだけの場合も同様に予測しやすくなってしまいます。
さらに、意味の通じる単語などを利用していると、攻撃者が利用するツールによっては長いパスワードであっても突破することができてしまうのです。

そのため、「3eiK!ab45P」のような複雑なパスワードを設定することをおすすめします。
(これは例ですので、コピペしないようにしてください!)

自分でパスワードを作るのが難しいという方は、以下のような条件に合わせたパスワード生成を行ってくれるツールもありますので、参考にしてみてください。

パスワード生成ツール:https://www.luft.co.jp/cgi/randam.php

関連記事:WordPressの不正ログイン対策についてさらに詳しく

xmlrpc.phpの設定を確認する

「xmlrpc.php」とは、他のプログラムやメールなどからWordPressを操作するための設定ファイルです。

xmlrpc.phpを利用することで、管理画面外から投稿を作成したり削除したりすることができます。

そのため、しっかりと設定しておかないとサイトの改ざんや管理者権限の盗取などの攻撃を受ける可能性があるのです。

xmlrpc.phpの機能を停止するためには、All In One WP Security & Firewallなどのプラグインを利用することで対応できます。

プラグインを導入したくない場合は、「.htaccess」ファイルにxmlrpc.phpへのアクセスを制限する記述をして、対応することも可能です。

ただし、xmlrpc.phpはプラグインで利用されている場合もあるため、全てのアクセスを一概に制限してしまうと不具合に繋がる可能性もあります。
プラグイン側でもxmlrpc.phpにアクセス制限が行われる可能性は認識されていますので、xmlrpc.phpを利用するプラグインの場合は、アクセスを許可する必要があるIPアドレスのリスト(ホワイトリスト)が公開されています。ホワイトリストに記載されているIPアドレスについては、アクセスを許可するようにしてください。

関連記事:XML-RPCについて詳しく見る

WordPress全般のセキュリティ対策3つ

WordPressの不正ログイン対策とは別に、全般的なセキュリティ対策方法を3つ紹介します。

インターネット上で公開するものであるため、次に紹介するセキュリティ対策もしっかりと行いましょう。

WordPress・プラグインを最新バージョンにする

WordPress本体やプラグインは定期的にバージョンアップされています。

バージョンアップの内容には、機能の追加だけでなくセキュリティ対策のためのアップデートも含まれています。

そのため、WordPress本体やプラグインは常に最新バージョンを利用することがおすすめです。

古いバージョンを利用していると、セキュリティ的に弱い部分である「脆弱性」を抱えている状態となってしまいます。

攻撃者はその脆弱性を狙って攻撃を行うため、最新バージョンにすることがセキュリティ対策となるのです。

プラグインの最終更新日を確認する

先ほどもお話ししたとおり、脆弱性対策のためにバージョンアップは重要です。

しかし、プラグインのなかには公開してからバージョンアップが行われないものも存在します。

WordPressのプラグイン導入ページを開くと、プラグインの最終更新日が確認できます。
もし、最終更新日が1年以上前であれば、別のプラグインを導入することを考えましょう。

最終更新日が1年以上前のものは、脆弱性対策が行われていない可能性があります。

詳しい確認方法や安全なプラグインの選び方については、『WordPressのプロ直伝!失敗しないプラグインの選び方』の記事もご確認ください。

定期的にバックアップをとる

定期的にバックアップを取得することもセキュリティ対策となります。

仮にあなたのサイトが攻撃されてしまった場合、バックアップを取得していないと対応することが難しくなります。

たとえば、攻撃を受けてサイトの内容を改ざんされてしまったら、対応に膨大な時間を割かれることになってしまうかもしれません。

しかし、定期的なバックアップを取得していれば、バックアップから状態を復元することができ、時間をかけずに復旧させることができます。

そのほかにも、自身の操作ミスなどによる不具合発生時などにも活用できるため、WordPressを運用する際には定期的にバックアップを取得しましょう。

関連記事:WordPressをバックアップする簡単な方法について詳しく

基本的なWebセキュリティ対策3つ

ここからはWordPress本体のセキュリティ対策ではなく、基本的なWebセキュリティ対策の方法を3つ紹介します。

WordPress本体のセキュリティ対策と合わせて実施することで、より強固なセキュリティ対策ができますので、一つずつ見ていきましょう。

無料Wi-Fiを使用しない

カフェなどでは「フリーWi-Fi」として無料で使えるWi-Fiが提供されています。
しかし、そのなかにはセキュリティ対策が行われていないものも存在するのです。

セキュリティ対策が行われていないフリーWi-Fiは、通信内容を簡単に第三者が傍受することができます。

そのため、そのようなフリーWi-Fiを利用してWordPressにログインすると、ログインIDやパスワードが盗まれてしまう可能性があるのです。

原則として無料Wi-Fiは利用しないようにし、どうしても利用する必要がある場合はセキュリティ対策が行われているかしっかりと確認しましょう。

もしくは、上述のように「VPN」を利用すると、無料Wi-Fiでも安全性を高めることができます。

サイトのSSL化を行う

「SSL化」とは、Web上での通信を暗号化することで通信内容の傍受を防ぐ仕組みのことで、「SSL化」されているサイトはURLの冒頭が「https://」で始まるのが特徴です。
「SSL化」の設定を行っていないと、例えばWordPressへのログインの際に、ユーザーIDやパスワード等が傍受されてしまい、不正ログインによるハッキング被害を受ける可能性があります。

最近では、サイトを立ち上げる際にデフォルトで「SSL化」されていることも多いですが、まずは、自分のサイトを表示させてURLを確認してください。

URLの冒頭が「https://」で始まっていれば、「SSL化」されています。
「http://」で始まっていれば「SSL化」に対応していないため、「SSL化」の設定を行う必要があります。

また、「https://」で始まっていても安心せず、「s」をとって「http://」でアクセスしてみましょう。
「http://」でアクセスしても、すぐに「https://」に戻れば正しく設定がされています。

一見、おかしいように思うかもしれませんが、これは「http」での通信が起こらないようリダイレクトという処理が行われています。
逆に、「http://」のまま変化せずにアクセス出来てしまった場合は、リダイレクトの設定が必要になります。

WordPressの「SSL化」については、『WordPressのSSL化の設定方法について』の記事で解説していますので、参考にしてみてください。

WAFの導入

WAF(Web Application Firewall、ワフ)は、Webサーバーの前段に設置して通信内容を解析することで、Webアプリケーションの脆弱性を狙う攻撃を検知・遮断することができるセキュリティ対策です。

WAFはWebアプリケーションに特化したファイアウォールで、一般的なファイアウォールでは防ぎきれないサイバー攻撃を防ぐことができます。ECサイトのようにユーザーの入力を受け付けたり、リクエストに応じたページを動的に生成するサイトの場合は特に導入をおすすめします。

WAFの導入もセキュリティ対策として有効ですので、有名なWAFを2つご紹介します。

攻撃遮断くん

攻撃遮断くん
攻撃遮断くんは、株式会社サイバーセキュリティクラウドが提供するクラウド型WAFです。

サービス開始から3年半で累計導入者数国内1位のサービスとなっています。

クラウド型とエージェント連動型の2種類のタイプが用意されており、クラウド型はサーバーへのインストールなどが不要で利用できます。

運用も簡単で特別な知識がなくとも導入可能です。

攻撃遮断くんでは、サイバー攻撃の可視化によって攻撃元のIPアドレスや攻撃種別などの確認もできるため、導入することで適切なセキュリティ対策が行えるようになります。

『攻撃遮断くん』公式サイト:https://www.shadan-kun.com/

AWS WAF

AWS WAF
AWS(Amazon Web Service)は、Amazonが提供するクラウドサービスであり、そのクラウドサービス上で提供されるWAFサービスがAWS WAFです。

AWSはITインフラをクラウドで提供するサービスであり、世界中で利用されています。こちらもクラウド型のサービスであるため、運用が簡単である特徴を持ちます。

AWSを利用してWordPressを構築している場合は、セキュリティ対策としてAWS WAFを導入するとよいでしょう。

『AWS WAF』公式サイト:https://aws.amazon.com/jp/waf/

関連記事:タイプ別のおすすめWAF製品9つと選び方について

まとめ

WordPressを利用する際にはセキュリティ対策が欠かせません。
しっかりと対策しておかなければ、サイトの改ざんや不正ログインなどの攻撃を受ける可能性があるからです。

今回ご紹介した9つの対策方法を網羅的に行うことで、サイバー攻撃を受ける可能性を減らせます。
すべてを一度に対策することは大変かもしれませんが、できるところから一つずつ対応しましょう。

そのほかのセキュリティ対策として、不審なメールは開かない、基本的なセキュリティ運用ルールを作成する、ということも有効です。

セキュリティ対策はいずれか一つを行えば良い、ということはありません。
サイバー攻撃を受けないためにも、包括的なセキュリティ対策を行いましょう。

WordPressサイトの保守・運用・管理のご相談はこちら

WordPressサイトの制作・リニューアル等のご相談はこちら

WordPressサイトのハッキングからの復旧・不具合の解消はこちら

WordPress保守・運用のパートナーなら「wp.support」にお任せ!

WordPressサイトを運用していて、以下のようなお悩みはありませんか?

  • 管理画面を使いやすくしたいけれど、カスタマイズする時間や技術がない…
  • サイトのUI/UXを改善したいけれど、自社内では難しい…
  • WordPressサイトを高速化したいけれど、ノウハウがない…
  • セキュリティ対策をしたいけれど、知識のある人材がいない…
  • 日々の業務に追われて、バージョンアップなどの保守業務が放置気味…
  • ちょっとしたトラブルを気軽に相談できる相手が欲しい…

「wp.support」は、WordPressのプロフェッショナル集団によるWordPress保守サービスです。
「セキュリティ対策」「バージョンアップ対応」「定期バックアップ」はもちろん、「電話サポートが無制限」なのでカスタマイズの方法やトラブル発生時にも気軽にプロに相談できます。

既に導入済みのお客様からも、
「些細なことでも気軽に相談できるパートナー的な存在」
「困ったら相談していいんだ、と気持ちが楽になった」
と大変ご好評をいただいています。

WordPress保守・運用のパートナーをお探しなら、ぜひお気軽にお問合せください。

>> wp.supportに無料相談する

バージョンアップが面倒だと思ったら WordPress保守・セキュリティ対策は『wp.support』にお任せ!

wp.support資料

WordPressのバージョンアップやセキュリティ対策にお悩みではないですか?

面倒な保守・運用作業は全て任せて、コア事業に集中してください。
大手・上場企業100社以上のWebサイトの安全を守る、WordPressのプロフェッショナル集団が、あなたのWordPressサイトを守ります!

【対応範囲】
・WordPress、プラグインのバージョンアップ ・セキュリティ対策 ・継続的なバックアップ ・緊急時の復旧対応 ・技術サポート・電話/メールサポート無制限 etc...

WordPressに関することなら何でもご相談ください!