こんにちは、富男です。
WordPressは、世界中で利用されるオープンソースで最も有名なCMS(コンテンツマネジメントシステム)です。
専門知識がなくても誰でもサイト作成をすることができるので、
アフィリエイトサイトではかなりの人がWordPressを使っているんではないでしょうか。
しかし、専門知識がなくても利用できてしまうため、かなりの人が必要な対策ができていないそうです。そういったスキを狙う悪質なクラッカーも多くいます。
今回、WordPressで安全にサイトを運営していくために、絶対にやっておきたいセキュリティ対策についてまとめています。
初心者でも簡単にできることばかりなので、できるところから始めてみましょう。
悪意のある攻撃を受けるとどうなるの?
それではまず、悪意のある攻撃を自分のサイトが受けたらどうなるのかをご説明します。
WordPress管理者アカウントの乗っ取り
一番怖いのが管理者アカウントの乗っ取りです。
これをされてしまうと、ハッカーは管理パスワードを勝手に変更してしまい、
自分がサイトへログインすることができなくなってしまいます。
また、管理者アカウントが自由に使えるということは、
管理者画面から設定の変更や設定削除も自由にできてしまいます。
ほかにもWordPressの管理画面からはメールアドレスを確認することができるので、
メールアドレスがハッカーにばれ、悪用されることもあります。
コンテンツやページデータの改ざん
改ざんとは、Webサイトのコンテンツまたはシステムなどが、悪意ある者によって書き換えられることを言います。
せっかく作ったコンテンツの中身が、全く違うものに書き換えられていたり、全て削除されてしまうと辛いですよね。
それだけならまだしも、怪しい別のサイトなどへサイト閲覧者を飛ばしたり、気づかない間にウィルスを撒き散らすリンクを貼られてたりするかもしれません。
多くの被害が及ぶと、サーバを借りているレンタルサーバから苦情が来たり、もしかするとニュースの記事になってしまうかもしれません。
個人情報漏洩
サイト自体が顧客の個人情報を持つサイトだと、その顧客情報の漏洩にも繋がります。
そうなると、あなたのサイトのセキュリティに対し、責任が問われることになります。
自分のサイトの被害だけでなく、周りにも多くの影響が発生してしまうということですね。
上記のとおり、悪意のある攻撃を受けてサイトに良いことはありませんので、対策をしていきましょう。まずは基本的な対策です。
WordPressのセキュリティ対策の基本
WordPress本体やテーマ・プラグインは、最新版にしておく
WordPressはオープンソースなので、機能追加のスピードも速いですが、
その分脆弱性も発見されやすいです。
テーマやプラグインは新しいバージョンであればあるほど脆弱性に対する対策もしっかりされています。逆に、古いバージョンのプラグインなどは、脆弱性がまだ対策されていないかもしれません、
なので、WordPressのバージョンやテーマやプラグインは可能な限り常に最新版にしておくことをおすすめ致します。また、使わないプラグインは削除するようにしましょう。
管理者ユーザー名とパスワードの強化
万が一攻撃者に管理者アカウントで管理画面へ不正にログインされ成功した場合、思うままにコンテンツ改ざんされたりサイト削除など、自由に乗っ取られてしまいます。
ですので、アカウント作成する際、管理者アカウントは「user」や「admin」のように一般的に知られているような単純なユーザ名にせず、パスワードに関しても他の人に想像されにくいような文字列にしましょう。
SNSで使っているパスワードや誕生日などの覚えやすいパスワードなどを使いがちですが、WordPressの管理者にはそれらは使用せず、可能であれば乱数を使用し、パスワード強度も「強力」となるように設定してください。
サイトのHTTPS化
HTTPSとは「Hypertext Transfer Protocol Secure」の略で、もともとHTTP通信は暗号化されておらず、パスワードなどの個人情報も暗号化されていなかったんですが、それを暗号化する事でより安全に通信を行うためのプロコトルです。
サイトのHTTPS化については以下の記事で説明していますので、参考にしてください。
さくらレンタルサーバーだと無料でHTTPS化することができます。
定期的にバックアップする
セキュリティ対策は気を付けていても100%安心とは言えません。
コンテンツ改ざんや削除などハッキング被害に遭った時のために、バックアップをとっておく事は重要なことです。
できれば毎日、少なくとも週に1回はバックアップを取得するようにしましょう。
それでは初心者でも簡単に使えるWordPressのプラグインを紹介していきます!
プラグインのインストール方法については以下を参考にしてください。
セキュリティ強化するおすすめプラグイン
SiteGuard WP Plugin
まずは「SiteGuard WP Plugin」をご紹介します。SiteGuardはWordPressの管理画面を守る高機能なプラグインです。ログインページのURLをデフォルトのものから変更したりログインに画像認証を追加したり、さらにはログインしていない接続元IPアドレスから管理画面へのアクセスを不可にするなど機能が豊富です。日本製のプラグインなので設定項目が全て日本語で安心ですね。
/login_<5桁の数字>に変更されますので、注意してください。
具体的な設定方法は公式サイトに記載がありますので、そちらを参考にしてみてください。
Google Authenticator
2段階認証の機能をWordPressに追加してくれるプラグインになります。
2段階認証とはIDとパスワード入力のほかに別のセキュリティコードを追加することで、WordPressに対する不正ログインを防止することができる仕組みです。
WordPressのログインID/パスワードがうっかり漏洩したとしても、2段階認証のおかげで不正ログインを防御することができます。
「Google Authenticator」プラグインをインストールすると、シークレットキーを生成され、QRコードが発行されるので、それをスマホなどから読み取ります。
アプリに関しては、以下のリンクよりダウンロードしてください。
- iPhoneアプリ:Google Authenticator
- Androidアプリ:Google 認証システム
ダウンロードしたアプリを起動すると、以下のように一定時間で変わっていく6桁の数字が表示されます。
WordPressログイン時、IDとパスワードに加えて、この6桁の数字を入力することで、管理画面にログインできるようになります。
Edit Author Slug
「Edit Author Slug」プラグインは投稿者アーカイブに表示される「Author Slug」の値、つまりユーザ名の部分を好きな値に変更することができるプラグインです。
WordPressの管理者ユーザー名が外部に漏れてしまうと、不正ログインの際に使用されてしまったりとあまりよろしくないのですが、ユーザー名から自動で作成される「Author Slug」の値が投稿者アーカイブに表示されてしまうためデフォルトの状態ではユーザー名が簡単に分かってしまいます。
試しに、WordPressで作成したサイトのURL末尾に「/?author=1」を付けてサイトへアクセスしてみてください。ユーザー名が含まれたURLが表示されると思います。
「Edit Author Slug」プラグインを使用することで、この「Author Slug」の値を別の文字列に変更しユーザー名を隠すことができるようになります。
インストール後、WordPress管理画面から「ユーザー」>「あなたのプロフィール」へ移動します。
ページを下にスクロールさせると、投稿者スラッグという項目があります。
3つチェックを入れるところがありますが、カスタム設定にチェックを入れて、ユーザー名と異なる文字列を入力しましょう。
これでURLの後ろに「/?author=1」をつけてサイトにアクセスしても、先ほどとは違いユーザー名が表示されなくなったと思います。
まとめ
WordPressは世界中で人気のCMSです。そのため不正アクセスやのっとりの対象になる可能性も非常に高いといえるでしょう。
今回紹介したセキュリティ対策はどれも簡単にできてWordPressのセキュリティを高めるものばかりです。
まだできていなかった人はぜひ設定してみてください!
