WordPress は多くのWEBサイトで使われているため、サイバー攻撃の標的とされる可能性が高いと言われています。これは WordPress に問題があるのでは無く、たくさんのWEBサイトで使われているため攻撃を効率的に行えることが理由のひとつです。そこで今回は、最低限これだけやっておくべき WordPress に必須のセキュリティ対策を5つご紹介いたします。
脆弱性対策
脆弱性(プラグインやテーマの欠陥によって、サイバー攻撃を可能にしてしまうこと)に対する対策は、基本的かつ最も重要なセキュリティ対策です。
脆弱性対策は、なにかを設定すればOK!というものではありません。継続的に取組まなければならないセキュリティ対策のため真面目にやろうとすると、なかなか大変なセキュリティ対策です。
脆弱性対策の具体的な作業は、WordPress で使っているプラグインやテーマを把握し、常に最新版にアップデートすることです。また、WordPress に関する脆弱性情報を継続的に収集することも必要です。
使っているプラグインを把握する
脆弱性情報を活用するためには、WordPress で使っているプラグインやテーマを、すべて把握しておく必要があります。特に WordPress は、魅力的なプラグインが多いため、ついついたくさんのプラグインをインストールしてしまいます。定期的に整理→不要なプラグインを削除して、使っているプラグインを把握しやすいようにしましょう。
WordPress本体・プラグイン・テーマのアップデート
最近のバージョンでは、WordPress本体のアップデートは自動で更新する設定になっていますので、そのままの設定で運用することをオススメします。プラグインやテーマも更新の通知が表示されたら、基本的にすべてアップデートします。
しかし、これらのアップデートにより、WEBサイトの表示崩れなどのトラブルが発生する可能性もゼロではありません。定期的に(できれば毎日)WordPressディレクトリとデーターベースのバックアップ行い、アップデート前に戻せるようにしておくことをオススメします。
関連記事:rsync で WordPress を自動バックアップする方法と復元(リストア)手順
私は WordPress で5年ほどブログサイトを運営していますが、アップデートによってトラブルが発生したことは1度もありません。アップデートによるトラブルをあまり心配する必要は無いと思いますが、備えあれば憂いなしです。
WordPress の脆弱性情報の収集
WordPress の脆弱性情報の収集には、日々公開される脆弱性情報のデータベース「JVN iPedia」がオススメです。公式のツイッターアカウントもありますのでフォローしておくとよいでしょう。
サイト:JVN iPedia - 脆弱性対策情報データベース
Twitter:@JVNiPedia
2段階認証を導入する
これは WordPress に限りませんが、2020年現在パスワード認証だけでセキュリティを確保することは難しくなりました。
WordPress への2段階認証の導入は簡単にできますので、WordPress 管理画面へのログインに2段階認証を導入しましょう。(2段階認証の導入方法は以下の記事にまとめました、あおり文句ではなく本当に5分で導入できます)
SiteGuard WP Plugin を使う
「SiteGuard WP Plugin」は、ログインページや管理画面に関するセキュリティ対策を簡単に行えるプラグインです。導入方法もいたってシンプルで、インストールして有効化するだけでOKです。このプラグインは、セキュリティ関連企業の「株式会社ジェイピー・セキュア」様が開発していますので、安心して使えることも大きな魅力です。
SiteGuard WP Plugin の機能一覧
管理ページアクセス制限 ログインしていない接続元から管理ディレクトリ(/wp-admin/)を守ります。 ログインページ変更 ログインページ名を変更します。 画像認証 ログインページ、コメント投稿に画像認証を追加します。 ログイン詳細エラーメッセージの無効化 ログインエラー時の詳細なエラーメッセージに変えて、単一のメッセージを返します。 ログインロック ログイン失敗を繰り返す接続元を一定期間ロックします。 ログインアラート ログインがあったことを、メールで通知します。 フェールワンス 正しい入力を行っても、ログインを一回失敗します。 XMLRPC防御 XMLRPCの悪用を防ぎます。 更新通知 WordPress、プラグイン、テーマの更新を、メールで通知します。 WAFチューニングサポート WAF (SiteGuard Lite)の除外リストを作成します。
SiteGuard WP Plugin のインストール
[プラグイン]→[新規追加] プラグインの追加画面で、キーワード「SiteGuard WP Plugin」でプラグイン検索してインストールします。
「有効化」をクリックします。
SiteGuard WP Plugin が有効化されるとログインページのURLが変更されます。(忘れずにメモしておきましょう)
以下の機能が初めから有効になっています。このままの設定で十分ですが、必要に応じて機能を有効もしくは無効にしてください。
必ず HTTPS を使う
Google Chrome や Firefox など主要な WEBブラウザは HTTPS を使っていないサイトを表示すると「保護されていない通信」などの警告が表示されるようになりました。もはや公開WEBサイトでは HTTPS は必須と言ってよいでしょう。
ひと昔前は、認証局に申請してSSL証明書を購入するなど、HTTPSの導入には手間も費用もかかりましたが、Let's Encrypt(無料のSSL証明書)が普及したこともあり、Let's Encryp に対応したレンタルサーバであれば簡単に HTTPSが導入できます。
参考資料:無料SSLサーバー証明書 Let's Encrypt - レンタルサーバーはさくらインターネット
WEBサーバーのセキュリティ対策
ここまで WordPress のセキュリティ対策をご紹介しましたが、WordPress を動かしているWEBサーバーに不正アクセスされては元も子もありません。ご自分で WEBサーバーも管理している場合は、あわせて WEBサーバーのセキュリティ対策を確実に行うことも必要です。
関連記事:これだけはやっておこう Linuxサーバのセキュリティ対策5つ
終わりに
以上、5つのセキュリティ対策を確実に実施すれば、WordPressへの攻撃はほぼ防げるでしょう。しかし、WEBサイトの機能や運用の事情などで、すべてを確実に実施することは難しい場面もあるかもしれません。
その場合は、完璧を目指すのではなく「攻撃が成功する確率を下げる」という視点でセキュリティ対策に取組むことをオススメします。WEBサイト本来の目的を見失わずに、運用とセキュリティのちょうど良いバランスを見つけることができるでしょう。
コメント
参考にさせて頂きます。
>smmzwsjさん
コメントありがとうございます。
ご参考になれば幸いです。