WordPressは世界的にも多くのシェアを持っており、たくさんのサイトがWordPressで構築されています。
一方で、WordPressについてセキュリティを心配する声を耳にすることもあります。
そこで今回は、WordPressのセキュリティ面についてお話をしていきたいと思います。
WordPressにはセキュリティ面での問題があるのか
まずはじめに、WordPressが他のCMSと比べてセキュリティ上特に問題があるのかというと、そんなことはないと思います。
WordPressについてセキュリティを心配する声を耳にしやすいのは、WordPressが大きなシェアを持っていることと、オープンソースで開発されていることが大きな要因だと思われます。
しかし、どんなシステムであってもセキュリティ面に配慮した運営なしには安全は確保できませんし、それはWordPressでも同様でしょう。
WordPressサイトの運営においても、セキュリティ対策を行いながら運営していくことが必要だと思います。
ということでここから先では、WordPressサイトを運営していく上でセキュリティ上やっておいた方がいいおすすめの施策について、その中でも比較的取り入れやすいものについて、お話ししていきたいと思います。
WordPressサイトのセキュリティを向上させる具体的な対策
ここからは、WordPressサイトのセキュリティを向上させるための具体的な対策内容をいくつか紹介したいと思います。
プラグイン”Site Guard WP Plugin”の利用
WordPressサイトのセキュリティ対策として、簡単にできるものとしてはプラグインを利用してセキュリティ対策を行う方法がまず挙げられます。
セキュリティ対策ができるプラグインにもいろいろありますが、ここでは日本のウェブサイトセキュリティの専門企業であるJP-Secure(https://www.jp-secure.com/)製の”Site Guard WP Plugin”をご紹介します。
”Site Guard WP Plugin”でセキュリティ対策できる項目はたくさんありますが、主なものをいくつかご紹介します。
- WordPress管理ページ(/wp-admin/)へのアクセス制限
WordPressの管理ページへのアクセスに制限をかけることで、ログインしていない接続元から管理ページへのアクセスができないようにしてセキュリティを向上させることができます。
- WordPressログインページのURLを変更
WordPressのログインページ(wp-login.php)の名前を任意のものへと変更できます。
この機能とオプションを利用して、「サイト名/wp-admin/」へのアクセスを制限でき、セキュリティを向上させることができます。
- WordPressログインパスワードの試行回数に制限をかける
同じ接続元からのWordPressへのログインが複数回失敗した時に、一定期間アクセスが拒否されるようにします。
パスワードに複雑で推測されにくいものを使うことは当然ですが、機械的なログイン試行などによる被害を防ぎ、セキュリティを向上させることができます。
”Site Guard WP Plugin”にはここで紹介したもの以外にもセキュリティ向上のための機能がたくさんありますので、興味のある方は”Site Guard WP Plugin”のページを見てみてください。
なお、”Site Guard WP Plugin”をインストールして有効化すると、その段階で自動的にWordPressのログインページのURLが変わってしまいますので、ご注意ください。詳しくは、”Site Guard WP Plugin”のページをご確認ください。
参考サイト:Site Guard WP Plugin
WordPress本体およびテーマ、プラグインの最新版へのアップデート
WordPress本体およびテーマ、プラグインはセキュリティなどの問題に対処するために、必要に応じてアップデートを公開しています。
WordPressサイトのセキュリティが高い状態を保つためにも、WordPress本体およびテーマ、プラグインの最新版が公開されたら早めに更新していくようにしましょう。
WordPressのテーマやプラグインはある程度メジャーなものを使う
あまりにマイナーなWordPressのテーマやプラグインではセキュリティ上の問題に対しても充分に対策がなされていない可能性があります。
一方、ある程度メジャーなテーマやプラグインであればアップデートも適切に行われ、不具合などがあったとしてもその情報が出回りやすいので、セキュリティ上重大なトラブルを避けることができる可能性が高いと言えます。
使用するプラグインの数を減らす、使用していないプラグインは削除しておく
WordPressのプラグインはとても簡単にいろいろな機能を追加できるので、ついついたくさんのプラグインを使ってしまいがちです。
しかしあまり多くのプラグインを使用してしまうと、動作も重くなってしまいますし、それだけWordPressサイトのセキュリティ面でのリスクを高めてしまう可能性がありますのでおすすめできません。
セキュリティ面でのリスクを減らすためにも、使用するプラグインの数はできるだけ減らして、使用していないプラグインは削除しておくことが大切です。
ユーザーのログインIDとパスワードを共用しない
WordPressを複数のスタッフで運営しているサイトも多いかと思いますが、セキュリティ上のリスクを低減させるためにもユーザーアカウントについては、複数人で同じIDを使用しない、無駄なユーザーを追加しない、必要なくなったユーザーアカウントは削除しておくなどに注意して運用していく必要があります。
また、ユーザーの権限についても適切に制限をかけておくことでセキュリティを高めることができます。
wp-config.phpへのアクセスを制限しておく
WordPressには、セキュリティ上も重要な情報が含まれているwp-config.phpというファイルがあります。
これはあまり簡単にできるとは言えないかもしれませんが、「.htaccess」への記述でwp-config.phpへのアクセスを制限したり、パーミッションを変更することでwp-config.phpへのアクセスに制限をかけることでWordPressサイトのセキュリティを高めることができます。
まとめ
以上、WordPressサイトのセキュリティ対策についてお話ししてきました。
もちろん、さらにセキュリティを高める手段もありますが、今回紹介したような内容の対策でもセキュリティの弱いサイトを探して無差別に仕掛けられるような攻撃に対しては十分な効果があるのではないかと思います。
そして、WordPressサイトを運営している間はセキュリティ対策を継続していくことも大切になってくるでしょう。
また、レンタルサーバーを利用している場合、レンタルサーバー側でWordPressサイト用にセキュリティ対策を用意してくれているところもありますので、チェックしてみるのもいいかと思います。
最後まで読んでいただき、ありがとうございました。
ホームページの制作・運営の参考になれば幸いです。
関連記事:
WordPressサイトではセキュリティとともに、万一の事態に備えてバックアップをとっておくことも重要です。WordPressのバックアップについては、こちらの記事でお話ししていますのでよかったら読んでみてください。
WordPressサイトをバックアップする方法
WordPressサイトにおけるバックアップの重要性ついては聞かれたことがある方も多くいらっしゃるでしょう。今回は、WordPressサイトのバックアップについてお話ししていきたいと思います。
WordPressで作成したホームページの運営について下のページ以下で紹介していますので、よかったら見てみてください。