【超初心者でも簡単】WordPressのセキュリティ対策10個のポイント!

セキュリティ
  • このエントリーをはてなブックマークに追加
  • Pocket
  • LINEで送る

WordPressは「セキュリティに弱い」「セキュリティ面で不安がある」とよく言われます。
しかし、しっかりと対策を行なっていれば問題なく使うことができ、メリットも多くあります。

WordPressのセキュリティ対策は以下でも詳しく説明していますので、まだ対策がお済みでない方はご覧ください。

本記事では、セキュリティ対策を行うにはどうしたらいいのかを解説していきます。

WordPressのセキュリティ対策10個のポイント

セキュリティ対策を行う上で、以下の10個について解説します。

  • WordPressを最新にする
  • テーマやプラグインも最新にする
  • ハッキングに気づける状態にする
  • 定期的なバックアップをとる
  • 不正ログイン対策をする
  • サーバーのセキュリティ設定を行う
  • ファイルのアクセス権限を限定する
  • データベースやテーブル名を変更する
  • メタ情報にWordPressバージョンを記載しない
  • セキュリティ対策プラグインを使用する

ご紹介するポイントを実施するだけでも、セキュリティ対策になります。
初心者の方でも簡単にできる対策ばかりなので行なってみてください。

WordPressを最新にする

WordPressのバージョンアップがあった際には、必ずアップデートを行うようにしましょう。
しかし、アップデートを行うとサイトに影響が出てしまうなど、アップデート行いにくいなと思う方がいるかと思います。
しかし、WordPressにはマイナーアップデートとメジャーアップデートの2種類のアップデートがあります。

マイナーアップデートは必ず実施しよう

マイナーアップデートとは、5.2.3の3の部分にあたり、セキュリティや軽微な修正を行なったアップデートになりますので、サイトへの影響が少ないので必ず行うようにしましょう。

メジャーアップデートを実施するときは慎重に

メジャーアップデートとは、5.2.3の2の部分にあたり、大幅な修正を含んでおりサイトの表示やプラグインの動作に影響が出る可能性があります。
メジャーアップデートを行う場合は、バックアップをとったことを確認の上行うことで影響が出た場合に元に戻すことができるので、忘れず行いましょう。

テーマやプラグインも最新にする

テーマやプラグインもWordPress本体のバージョンアップと同様に日々行われています。
アップデートがきた際には必ず行いましょう。

特にテーマやプラグインは日々脆弱性が報告さていますので、注意が必要です。
心配であれば、アップデートを行うと同時にWordPress本体同様に、バックアップをとってから行うようにしましょう。

WordPressの脆弱性報告を確認する

ハッキングに気づける状態にする

ハッキング自体は、サイト管理者に見つからないように隠蔽して行われるのが一般的です。

プラグイン導入やGoogle Search Consoleに登録することで問題が起きた場合に気づくことが可能です。
ハッキングや改ざんがあった場合にプラグインやSearch Consoleが検知した場合は通知を受け取ることができます。

Google Search Consoleはこちら

定期的なバックアップをとる

WordPressのセキュリティ対策をする上で、重要なことでもあるバックアップです。

プラグインによるバックアップ方法はこちらから

バックアップをとっておくことで大きく3つのメリットがあります。
s

不正ログイン対策をする

不正ログインをされてしまうと、乗っ取りや情報改ざんなど行われログインする事ができない状態になる可能性があります。
不正ログインを防ぐために、2段階認証や2要素認証を行うなどして対策をしましょう。

2段階認証を行う方法は、プラグインを使う方法からGoogle Authenticatorを使う方法、秘密の質問を設定するなどがあります。
詳しくは以下の記事を参考にしてください。

WordPressの不正ログイン対策8つと誤った対策方法について

サーバーのセキュリティ設定を行う

WordPressでサイトを構築している場合、レンタルサーバーを使っていることが多いのではないでしょうか。

レンタルサーバーも標的になる可能性があるので、アクセス元を制限したりログイン回数を制限したりすることも有効なセキュリティ対策です。

以下に、代表的なレンタルサーバーのセキュリティ設定をあげてみました。
他にも各社、無料で設定することが可能な場合とオプション機能として提供しているサーバーなど様々ですので、よくある質問やブラウザから検索して設定してみてはいかがでしょうか。

重要なファイルにアクセス権限を設定する

WordPressは様々なファイルで構成されており、ファイルを書き換えることで柔軟にサイトを構築することができます。

しかし、誰でも書き換えることができてしまうと改ざんや削除、悪質なコードを埋め込まれてしまうなどしてしまいます。

.htaccessやwp-config.phpなど特に重要ファイルは権限を変えておくことで、書き換えを防ぐことが可能です。

ファイルごとにパーミッションを設定する

不要なプラグインは削除する

WordPressをより簡単便利に使用するために、プラグインを多く入れてはいないでしょうか。
しかし、実際に使用しているのはごく一部であったり、機能が競合している場合があります。

また、使っていないプラグインを放置しては、サイトに様々な支障をきたします。

プラグインを削除することで、

  • サイトが軽くなり閲覧しやすくなる
  • プラグインの管理が容易になる
  • 機能競合がなくなる
  • 脆弱性を利用される可能性が低くなる

といったメリットがあります。

不要なプラグインがないか・機能が競合していないか整理してみましょう。

メタ情報にWordPressバージョンを記載しない

Web上にWordPressで作成したサイトを展開している場合は、HTMLのmetaタグにWordPressのバージョンを記載するのをやめましょう。

WordPressのバージョンが記載されているということは、ハッカーに対して攻略のヒントを与えることと同じです。

消すことで、WordPressを使っているということも記載されませんし脆弱性を狙われる確率も低くなります。

WordPressのバージョン表示を消す方法

3つの手順で消し方を解説していきます。

  1. 右クリックから検証を押して、metaタグがあるか確認する
    自分のWebサイトを使用している、ブラウザで開き右クリックから検証を開きます。
    headタグの中に以下の記述があるかを確認します。

    「5.2.3」の部分には、現在使用中のWordPressのバージョンが入ります。
    上記の記述があれば、以下の手順で削除を行いましょう。
  2. headのところにあるバージョンを消す
    消すためには、現在使用しているテーマの中にfunctions.phpというファイルがありますので、以下のコードを書き込むだけです。ソースコードは一番下に書き加えれば、反映されます。
  3. 消えていることを確認する
    消えていることを確認するために、再度Webサイトを開いて検証を押してheadにないかみてみましょう。

セキュリティ対策プラグインを使用する

WordPressのセキュリティ対策を行うことが難しく、初期の状態にしたままといった方が多いようです。
しかし、不正ログインや改ざん・情報漏洩といった被害事例は後を絶ちません。

セキュリティ対策用のプラグインを導入することで、攻撃を未然に防ぐことができるだけでなく、被害を最小限に抑えることができます。

例えば、不正ログインがあった場合でもログイン認証やアクセスログを確認することができれば、ID・パスワード変更やアクセス先の限定など対策することが可能です。
また、不正コードの挿入があったとしても定期的なスキャンやバックアップを行なっていたことによって早期発見やハッキング後の復旧・対策を行うことができます。

初心者やセキュリティに詳しくない方でもプラグインの導入により、セキュリティを強化することができ、ハッキングなどの被害にあう可能性を低くすることができる有効な手段です。

プロが選ぶWordPressセキュリティ対策のおすすめのプラグイン6つ!

こうした少しのことでもWordPressのセキュリティをあげることができるので、積み重ねていきましょう。

WordPressのセキュリティを突かれた場合の対処方法

WordPressのセキュリティ設定をおこなっていても、セキュリティを突かれてしまう可能性は0ではありません。

ハッキングの被害を抑える一番の方法は、一刻も早く正常な状態に復旧する事です。

「ハッキングされた通知が届いた」「サイトに不明な挿入がある」「表示がおかしい」といった、脆弱性を突かれてしまった場合は以下を参考にしてみてください。

あなたのWordPressサイトがハッキングされた時の12の兆候

ハッキングから自力復旧!WordPressサイトを正常に戻す手順を解説

セキュリティ対策はプロにおまかせ

WordPressはセキュリティが弱い・不安と言われますが、各項目にあったようなセキュリティ対策を行うことで、使っていても気になることはありません。

今ではハッキングも自動化が進み、セキュリティの弱いサイトをプログラムでピックアップしてハッキングを仕掛けます。
セキュリティ対策を行なっていないと、ピックアップされてしまう可能性が出てきます。

セキュリティを狙われてしまうのはOSSだからということもありますが、それだけでなく
使っている管理者本人の管理が杜撰であることも多々あります。
こうした状態を防ぐ事ができれば、サイト構築・運営が簡単でメリットの多いWordPressを安心して使うことでできます。

セキュリティに関して対策を行い、安心安全なサイト運営を行いましょう。
自社内にノウハウやリソースがない場合には、安全なサイト運営をサポートさせていただくことも可能ですので、WordPressの保守に困った場合は、ぜひ一度ご相談ください。

WordPress保守サービスについて相談する

  • このエントリーをはてなブックマークに追加
  • Pocket
  • LINEで送る

記事が気に入ったら
wp.supportを "いいね!"
Facebookで更新情報をお届け。

WordPressの保守・セキュリティ対策なら「wp.support」

WordPressのプロによる保守サービス

ワードプレスのバージョンアップセキュリティ対策
お悩みではないですか?
「何かが起きる前に!」
WordPressのプロフェッショナル集団が対応します。
初期費用は一切頂きません。月額4万円〜
SSL対応、定期バックアップもお任せ下さい。