本記事ではWordPressのセキュリティ対策について解説します。
利用者が多いWordPressは攻撃対象となることも多いため、WordPressでブログを運営している方などは、セキュリティ対策を行うことが肝心です。
セキュリティ対策にはさまざまなものがありますが、今回はその中でも初心者でも簡単にできるものを中心にまとめたので参考にしてください。
WordPressのセキュリティチェック・対策を行うためのプラグイン
WordPressにはセキュリティチェック・対策を行うためのプラグインがあります。
プラグインの中でもおすすめなのは次の2つです。
- SiteGuard WP Plugin
- Google Authenticator
これら2つを導入すれば、最低限度のセキュリティ対策は行うことができます。
SiteGuard WP Plugin
SiteGuard WP Pluginは導入するだけで基本的なセキュリティ対策を行ってくれる優れものです。
日本語のプラグインなので使いやすく初心者にもおすすめできます。
主な機能としては、管理ページにアクセス制限をかける、画像認証、ログインロック、などが挙げられます。
セキュリティに関する知識がなくても対策を行える便利なプラグインです。
Google Authenticator
Google Authenticatorは管理画面へのアクセスを2段階認証にできるプラグインです。
WordPressの管理画面にアクセスする際は、IDとパスワードを入力しているかと思います。
しかし、ID・パスワードを第三者に盗まれると不正アクセスされてしまうかもしれません。
Google Authenticatorを導入することで、ID・パスワードに加えてログイン時にワンタイムパスワードの入力を求めるように変更できます。
スマートフォンにGoogle Authenticatorのアプリをインストールして、そこにワンタイムパスワードが表示されます。表示されるワンタイムパスワードは一定時間ごとに新規のパスワードに変更され、かつ一度しか使うことができません。
ログインの手間はかかりますが、不正アクセスのリスクを格段に抑えることが可能です。
自分でできるWordPressセキュリティ対策
WordPressセキュリティ対策の中でもやっておきたいのが次の3つです。
- 最新バージョンにアップデートする
- 攻撃者に情報を与えないようにする
- 不要ファイルを削除する
1つ1つのセキュリティ対策について詳しく解説します。
最新バージョンにアップデートする
WordPressは常に最新バージョンにしておくことをおすすめします。
古いバージョンには脆弱性が見つかっている可能性もあり、セキュリティリスクが高まるので注意です。
WordPressが最新版になっていない場合、ダッシュボードの欄に「今すぐ更新」などの文字列が書かれていますので、それをクリックすることでアップデートすることができます。
また、WordPress本体だけでなく、テーマやプラグインも最新版にアップデートしておきましょう。
攻撃者に情報を与えないようにする
セキュリティ対策のためには、悪意のあるユーザーに対して情報を与えないようにすることが肝心です。
ユーザーに与える情報が多いと、攻撃手段を考える際に参考にされてしまいます。
たとえば、WordPressのバージョンもユーザーから見えなくすることが重要です。
バージョンを非表示にするには、function.phpに次のコードを追加する必要があります。
remove_action (‘wp_head’, ‘wp_generator’);
不要ファイルを削除する
WordPressに保存されている不要なファイルは削除してしまった方が良いです。
ファイルの情報を見られてしまうと、やはり攻撃手段を考える際に参考にされるためです。
たとえば、以下の3つのファイルはWordPressの動作には関係ないため、ローカルなどに保存しておき、WordPress上からは削除してしまって良いでしょう。
- license.txt
- readme.html
- wp-config-sample.php
また、ファイルだけでなく使っていないテーマ・プラグインも削除した方が、セキュリティリスクを下げられるうえに、WordPressの速度改善に繋がる可能性があります。
セキュリティ強化のためにサーバの設定も変更しよう
WordPressを使うためにレンタルサーバを利用している方が多いでしょう。
レンタルサーバの設定を変更することでセキュリティ対策になることをご存じでしょうか?
次の2つの設定は簡単にできるためしておくと良いです。
- WAFを有効化する
- 海外からのアクセスを無効化する
WAFを有効化する
WAFはWeb Application Firewallの略で、サイトへの攻撃を検出・対策することです。
最近のレンタルサーバの多くはWAFの機能が導入されています。
ただし、WAFは有効化されていないと使うことができません。
サーバの管理画面にWAFという項目があるので手動で有効化しましょう。
Xserverの場合、サーバーパネルにログインして「WAF設定」をクリックし、セキュリティ設定をしたいドメインを選択します。
「WAF設定」から各項目を「on」に変更すれば設定完了です。
海外からのアクセスを無効化する
国内限定公開で問題がないなら、海外からのアクセスは無効化した方が良いです。
アクセスできるユーザーを制限した方がリスクは下げられます。
国内のレンタルサーバの多くは、海外アクセスを無効化することが可能です。
Xserverの場合、サーバーパネルにログインして「WordPressセキュリティ設定」をクリックし、セキュリティ設定をしたいドメインを選択します。
「国外IPアクセス制限設定」をクリックし、すべて「on」に変更すれば設定完了です。
ファイルのパーミッション設定も見直そう
パーミッションとはファイル・フォルダに関する権限設定のことです。
WordPressのファイルやフォルダにはパーミッションが設定されています。
パーミッションによって管理人以外のファイルへのアクセスを制限することが可能です。
重要なファイルは特にパーミッションを変更し、他の人に見られないようにしましょう。
たとえば「.htaccess」というWebサーバソフトの制御を行うファイルはパーミッションを「604」にすることをおすすめします。
「604」にすることで、ユーザーはファイルを読み取ることしかできなくなります。
「wp-config.php」はデフォルトでは「644」になっていることが多いですが、これではユーザーに見られてしまうため、「400」か「600」にしてユーザーは閲覧すらもできないように変更することをおすすめします。
「wp-config.php」にはWordPress本体の設定が書き込まれており、第三者には見られたくないものです。
その他のファイルに関しては「604」にし、その他のフォルダは「705」にするのが一般的です。
ただ、サーバーの仕様によってはアップロードできない可能性があるので注意してください。
ファイルのパーミッションを変更するには?
パーミッションを変更するならFTPソフトを使う方が簡単です。
FIleZillaの場合ですが、アップロードされているファイル・フォルダを右クリックすると「パーミッションの変更」という項目があります。
ここをクリックするとパーミッションを変更できる画面が表示されます。
まとめ
本記事ではWordPressのセキュリティのチェックと対策方法について解説しました。
今回挙げた対策を行うだけで、少しでも被害を受ける可能性を下げることが重要です。
いざというときのために備えることはブログやサイト運営にとって大切でしょう。