テレワーク導入前に知っておきたいWordPressのセキュリティ対策9選

テレワークのイメージ
  • このエントリーをはてなブックマークに追加
  • Pocket
  • LINEで送る

新型コロナウイルスの影響により在宅ワーク(テレワーク)の需要が高まっています。

WordPressはインターネット経由でアクセスできるため、テレワークでも問題なく維持・管理が可能です。

しかし、しっかりとセキュリティ対策をしておかないと、不正ログインなどの攻撃を受けてしまう可能性があります。

今回は、テレワーク導入前に知っておきたいWordPressに関するセキュリティ対策について9つの対策方法を解説します。

WordPressの不正ログイン対策3つ

WordPressを利用する上で、不正ログイン対策は欠かせません。
3つの対策方法を紹介しますので、一つずつ見ていきましょう。

VPN環境の構築

VPN(Virtual Private Network)は、インターネットを通じて仮想的に専用線を用意する仕組みです。

インターネット上を流れる通信は、知識のある人ならば簡単に傍受することが可能であることをご存知でしょうか。

HTTPによる通信は暗号化されておらず、WordPressにログインする際のログインIDやパスワードは簡単に盗み見ることが可能なのです。

VPN環境を構築することで、仮想的にあなた専用の専用線を用意することができ、第三者から通信内容を傍受されるリスクを低減できます。
また、VPN以外からのアクセスにはIP制限をかけることで、不正アクセスのリスクをさらに下げることができます。

ユーザー情報の確認・再設定

WordPressにログインする際にはログインIDとパスワードの組み合わせである「ユーザー情報」を利用します。

その設定をしっかりと行うために、次に紹介する確認項目をチェックしましょう。

ユーザーIDがadminになっていないか

WordPressのデフォルトユーザーIDとして、「admin」という名前のユーザーIDが存在します。
adminユーザーは、WordPressに触れたことがある人ならば誰もが知るユーザーIDです。

そのため、adminユーザーを使い続けていると、通常ならばユーザーIDとパスワードの2つの突破が必要なところ、パスワードのみを突破するだけで不正ログインを行うことができてしまいます。
(しかも、管理者権限を持つユーザーとして)

WordPressを利用する際には、adminユーザーを利用せず、オリジナルのユーザーを別途作成して利用するようにしましょう。

パスワードが単純になっていないか

オリジナルのユーザーを作成しても、単純なパスワードを使っていると簡単に予測できてしまいます。

たとえば、「1234」や「password」のような単純なパスワードであれば、ユーザーIDさえ分かれば簡単に不正ログインできてしまいますよね?

パスワードは次の要件を満たすように設定することがおすすめです。

  • 8文字以上
  • 大文字、小文字、数字、記号を織り交ぜる
  • 意味のない文字列にする

パスワードは短いほど予測しやすくなるため、最低でも8文字以上のパスワードを設定しましょう。

また、数字だけ・アルファベットだけの場合も同様に予測しやすくなってしまいます。
さらに、意味の通じる単語などを利用していると、攻撃者が利用するツールによっては長いパスワードであっても突破することができてしまうのです。

そのため、「3eiK!ab45P」のような複雑なパスワードを設定することをおすすめします。
(これは例ですので、コピペしないようにしてください!)

自分でパスワードを作るのが難しいという方は、以下のような条件に合わせたパスワード生成を行ってくれるツールもありますので、参考にしてみてください。

パスワード生成ツール:https://www.luft.co.jp/cgi/randam.php

関連記事:WordPressの不正ログイン対策についてさらに詳しく

xmlrpc.phpの設定を確認する

「xmlrpc.php」とは、他のプログラムやメールなどからWordPressを操作するための設定ファイルです。

xmlrpc.phpを利用することで、管理画面外から投稿を作成したり削除したりすることができます。

そのため、しっかりと設定しておかないとサイトの改ざんや管理者権限の盗取などの攻撃を受ける可能性があるのです。

xmlrpc.phpの機能を停止するためには、All In One WP Security & Firewallなどのプラグインを利用することで対応できます。

プラグインを導入したくない場合は、「.htaccess」ファイルにxmlrpc.phpへのアクセスを制限する記述をして、対応することも可能です。

関連記事:XML-RPCについて詳しく見る

WordPress全般のセキュリティ対策3つ

WordPressの不正ログイン対策とは別に、全般的なセキュリティ対策方法を3つ紹介します。

インターネット上で公開するものであるため、次に紹介するセキュリティ対策もしっかりと行いましょう。

WordPress・プラグインを最新バージョンにする

WordPress本体やプラグインは定期的にバージョンアップされています。

バージョンアップの内容には、機能の追加だけでなくセキュリティ対策のためのアップデートも含まれています。

そのため、WordPress本体やプラグインは常に最新バージョンを利用することがおすすめです。

古いバージョンを利用していると、セキュリティ的に弱い部分である「脆弱性」を抱えている状態となってしまいます。

攻撃者はその脆弱性を狙って攻撃を行うため、最新バージョンにすることがセキュリティ対策となるのです。

プラグインの最終更新日を確認する

先ほどもお話ししたとおり、脆弱性対策のためにバージョンアップは重要です。

しかし、プラグインのなかには公開してからバージョンアップが行われないものも存在します。

WordPressのプラグイン導入ページを開くと、プラグインの最終更新日が確認できます。
もし、最終更新日が1年以上前であれば、別のプラグインを導入することを考えましょう。

最終更新日が1年以上前のものは、脆弱性対策が行われていない可能性があります。

定期的にバックアップをとる

定期的にバックアップを取得することもセキュリティ対策となります。

仮にあなたのサイトが攻撃されてしまった場合、バックアップを取得していないと対応することができません。

たとえば、攻撃を受けてサイトの内容を改ざんされてしまったら、対応に膨大な時間を割かれることになってしまうかもしれません。

しかし、定期的なバックアップを取得していれば、バックアップから状態を復元することができ、時間をかけずに復旧させることができます。

そのほかにも、自身の操作ミスなどによる不具合発生時などにも活用できるため、WordPressを運用する際には定期的にバックアップを取得しましょう。

関連記事:WordPressをバックアップする簡単な方法について詳しく

基本的なセキュリティ対策3つ

ここからはWordPress本体のセキュリティ対策ではなく、WordPress周りのセキュリティ対策方法を3つ紹介します。

WordPress本体のセキュリティ対策と合わせて実施することで、より強固なセキュリティ対策ができますので、一つずつ見ていきましょう。

無料Wi-Fiを使用しない

カフェなどでは「フリーWi-Fi」として無料で使えるWi-Fiが提供されています。
しかし、そのなかにはセキュリティ対策が行われていないものも存在するのです。

セキュリティ対策が行われていないフリーWi-Fiは、通信内容を簡単に第三者が傍受することができます。

そのため、そのようなフリーWi-Fiを利用してWordPressにログインすると、ログインIDやパスワードが盗まれてしまう可能性があるのです。

原則として無料Wi-Fiは利用しないようにし、どうしても利用する必要がある場合はセキュリティ対策が行われているかしっかりと確認しましょう。

サイトのSSL化を行う

通常WordPressを運用する場合は「HTTP」と呼ばれるプロトコルを利用して通信を行います。

しかし、HTTPは暗号化されておらず、ログインIDやパスワードが読み取れてしまうのです。

WordPressで作成するサイトをSSL化することで、「HTTPS」と呼ばれるプロトコルを用いた通信に変わります。

HTTPSでは通信内容が暗号化されているため、ログインIDやパスワードを読み取られるリスクを低減できます。

関連記事:WordPressのSSL化の設定方法について

WAFの導入

WAF(Web Application Firewall)は、Webアプリケーションの脆弱性を狙う攻撃を検知・遮断することができる製品の総称です。

WAFの導入もセキュリティ対策として有効ですので、製品の例として2つの製品を紹介します。

攻撃遮断くん

攻撃遮断くん
攻撃遮断くんは、株式会社サイバーセキュリティクラウドが提供するクラウド型WAFです。

サービス開始から3年半で累計導入者数国内1位のサービスとなっています。

クラウド型とエージェント連動型の2種類のタイプが用意されており、クラウド型はサーバーへのインストールなどが不要で利用できます。

運用も簡単で特別な知識がなくとも導入可能です。

攻撃遮断くんでは、サイバー攻撃の可視化によって攻撃元のIPアドレスや攻撃種別などの確認もできるため、導入することで適切なセキュリティ対策が行えるようになります。

『攻撃遮断くん』公式サイト:https://www.shadan-kun.com/

AWS WAF

AWS WAF
AWS(Amazon Web Service)は、Amazonが提供するクラウドサービスであり、そのクラウドサービス上で提供されるWAFサービスがAWS WAFです。

AWSはITインフラをクラウドで提供するサービスであり、世界中で利用されています。こちらもクラウド型のサービスであるため、運用が簡単である特徴を持ちます。

AWSを利用してWordPressを構築している場合は、セキュリティ対策としてAWS WAFを導入するとよいでしょう。

『AWS WAF』公式サイト:https://aws.amazon.com/jp/waf/

関連記事:タイプ別のおすすめWAF製品9つと選び方について

まとめ

WordPressを利用する際にはセキュリティ対策が欠かせません。
しっかりと対策しておかなければ、サイトの改ざんや不正ログインなどの攻撃を受ける可能性があるからです。

今回ご紹介した9つの対策方法を網羅的に行うことで、サイバー攻撃を受ける可能性を減らせます。
すべてを一度に対策することは大変かもしれませんが、できるところから一つずつ対応しましょう。

そのほかのセキュリティ対策として、不審なメールは開かない、基本的なセキュリティ運用ルールを作成する、ということも有効です。

セキュリティ対策はいずれか一つを行えば良い、ということはありません。
サイバー攻撃を受けないためにも、包括的なセキュリティ対策を行いましょう。

WordPressサイトの保守・運用・管理のご相談はこちら

WordPressサイトの制作・リニューアル等のご相談はこちら

WordPressサイトのハッキングからの復旧・不具合の解消はこちら

土井純也

土井 純也 Twitterアイコン Facebookアイコン

WordPressスペシャリスト・エンジニア
株式会社プレートテクノロジー 取締役
1985年北海道生まれ。200社以上のWordPressサイトの制作を担当し、「wp.support」では一部上場企業を含め、様々なサイトのWordPress保守・セキュリティをサポートしている。