【超初心者でも簡単】WordPressのセキュリティ対策10個のポイント！

WordPressは「セキュリティに弱い」「セキュリティ面で不安がある」とよく言われます。
しかし、しっかりと対策を行なっていれば問題なく使うことができ、メリットも多くあります。

WordPressのセキュリティ対策は以下でも詳しく説明していますので、まだ対策がお済みでない方はご覧ください。

本記事では、セキュリティ対策を行うにはどうしたらいいのかを解説していきます。

この記事の目次

1 WordPressのセキュリティ対策10個のポイント
2 WordPressのセキュリティを突かれた場合の対処方法
3 セキュリティ対策はプロにおまかせ

WordPressのセキュリティ対策10個のポイント

セキュリティ対策を行う上で、以下の10個について解説します。

WordPressを最新にする
テーマやプラグインも最新にする
ハッキングに気づける状態にする
定期的なバックアップをとる
不正ログイン対策をする
サーバーのセキュリティ設定を行う
ファイルのアクセス権限を限定する
データベースやテーブル名を変更する
メタ情報にWordPressバージョンを記載しない
セキュリティ対策プラグインを使用する

ご紹介するポイントを実施するだけでも、セキュリティ対策になります。
初心者の方でも簡単にできる対策ばかりなので行なってみてください。

WordPressを最新にする

WordPressのバージョンアップがあった際には、必ずアップデートを行うようにしましょう。
しかし、アップデートを行うとサイトに影響が出てしまうなど、アップデート行いにくいなと思う方がいるかと思います。
しかし、WordPressにはマイナーアップデートとメジャーアップデートの2種類のアップデートがあります。

マイナーアップデートは必ず実施しよう

マイナーアップデートとは、5.2.3の3の部分にあたり、セキュリティや軽微な修正を行なったアップデートになりますので、サイトへの影響が少ないので必ず行うようにしましょう。

メジャーアップデートを実施するときは慎重に

メジャーアップデートとは、5.2.3の2の部分にあたり、大幅な修正を含んでおりサイトの表示やプラグインの動作に影響が出る可能性があります。
メジャーアップデートを行う場合は、バックアップをとったことを確認の上行うことで影響が出た場合に元に戻すことができるので、忘れず行いましょう。

テーマやプラグインも最新にする

テーマやプラグインもWordPress本体のバージョンアップと同様に日々行われています。
アップデートがきた際には必ず行いましょう。

特にテーマやプラグインは日々脆弱性が報告さていますので、注意が必要です。
心配であれば、アップデートを行うと同時にWordPress本体同様に、バックアップをとってから行うようにしましょう。

WordPressの脆弱性報告を確認する

ハッキングに気づける状態にする

ハッキング自体は、サイト管理者に見つからないように隠蔽して行われるのが一般的です。

プラグイン導入やGoogle Search Consoleに登録することで問題が起きた場合に気づくことが可能です。
ハッキングや改ざんがあった場合にプラグインやSearch Consoleが検知した場合は通知を受け取ることができます。

Google Search Consoleはこちら

定期的なバックアップをとる

WordPressのセキュリティ対策をする上で、重要なことでもあるバックアップです。

プラグインによるバックアップ方法はこちらから

バックアップをとっておくことで大きく3つのメリットがあります。
s

不正ログイン対策をする

不正ログインをされてしまうと、乗っ取りや情報改ざんなど行われログインする事ができない状態になる可能性があります。
不正ログインを防ぐために、２段階認証や2要素認証を行うなどして対策をしましょう。

２段階認証を行う方法は、プラグインを使う方法からGoogle Authenticatorを使う方法、秘密の質問を設定するなどがあります。
詳しくは以下の記事を参考にしてください。

WordPressの不正ログイン対策8つと誤った対策方法について

サーバーのセキュリティ設定を行う

WordPressでサイトを構築している場合、レンタルサーバーを使っていることが多いのではないでしょうか。

レンタルサーバーも標的になる可能性があるので、アクセス元を制限したりログイン回数を制限したりすることも有効なセキュリティ対策です。

以下に、代表的なレンタルサーバーのセキュリティ設定をあげてみました。
他にも各社、無料で設定することが可能な場合とオプション機能として提供しているサーバーなど様々ですので、よくある質問やブラウザから検索して設定してみてはいかがでしょうか。

重要なファイルにアクセス権限を設定する

WordPressは様々なファイルで構成されており、ファイルを書き換えることで柔軟にサイトを構築することができます。

しかし、誰でも書き換えることができてしまうと改ざんや削除、悪質なコードを埋め込まれてしまうなどしてしまいます。

.htaccessやwp-config.phpなど特に重要ファイルは権限を変えておくことで、書き換えを防ぐことが可能です。

ファイルごとにパーミッションを設定する

不要なプラグインは削除する

WordPressをより簡単便利に使用するために、プラグインを多く入れてはいないでしょうか。
しかし、実際に使用しているのはごく一部であったり、機能が競合している場合があります。

また、使っていないプラグインを放置しては、サイトに様々な支障をきたします。

プラグインを削除することで、

サイトが軽くなり閲覧しやすくなる
プラグインの管理が容易になる
機能競合がなくなる
脆弱性を利用される可能性が低くなる

といったメリットがあります。

不要なプラグインがないか・機能が競合していないか整理してみましょう。

メタ情報にWordPressバージョンを記載しない

Web上にWordPressで作成したサイトを展開している場合は、HTMLのmetaタグにWordPressのバージョンを記載するのをやめましょう。

WordPressのバージョンが記載されているということは、ハッカーに対して攻略のヒントを与えることと同じです。

消すことで、WordPressを使っているということも記載されませんし脆弱性を狙われる確率も低くなります。

WordPressのバージョン表示を消す方法

3つの手順で消し方を解説していきます。

右クリックから検証を押して、metaタグがあるか確認する
自分のWebサイトを使用している、ブラウザで開き右クリックから検証を開きます。
headタグの中に以下の記述があるかを確認します。

<meta name="generator" content="WordPress 5.2.3">

1

<meta name="generator" content="WordPress 5.2.3">

「5.2.3」の部分には、現在使用中のWordPressのバージョンが入ります。
上記の記述があれば、以下の手順で削除を行いましょう。
headのところにあるバージョンを消す
消すためには、現在使用しているテーマの中にfunctions.phpというファイルがありますので、以下のコードを書き込むだけです。ソースコードは一番下に書き加えれば、反映されます。

remove_action('wp_head','wp_generator');

1

remove_action('wp_head','wp_generator');
消えていることを確認する
消えていることを確認するために、再度Webサイトを開いて検証を押してheadにないかみてみましょう。

セキュリティ対策プラグインを使用する

WordPressのセキュリティ対策を行うことが難しく、初期の状態にしたままといった方が多いようです。
しかし、不正ログインや改ざん・情報漏洩といった被害事例は後を絶ちません。

セキュリティ対策用のプラグインを導入することで、攻撃を未然に防ぐことができるだけでなく、被害を最小限に抑えることができます。

例えば、不正ログインがあった場合でもログイン認証やアクセスログを確認することができれば、ID・パスワード変更やアクセス先の限定など対策することが可能です。
また、不正コードの挿入があったとしても定期的なスキャンやバックアップを行なっていたことによって早期発見やハッキング後の復旧・対策を行うことができます。

初心者やセキュリティに詳しくない方でもプラグインの導入により、セキュリティを強化することができ、ハッキングなどの被害にあう可能性を低くすることができる有効な手段です。

プロが選ぶWordPressセキュリティ対策のおすすめのプラグイン6つ！

こうした少しのことでもWordPressのセキュリティをあげることができるので、積み重ねていきましょう。