文中の説明画像をクリックすると拡大します。
WordPressのセキュリティ対策
WordPressはオープンソース(open source)※であり、世界中で多くの人が利用しています。多くの技術者によって常に開発・チェックされているのですが、同時に利用者も多いため、WordPressサイトはハッカーなどに狙われやすいとも言えます。
そのため、セキュリティ対策が必要になります。
外出するときに自宅に鍵を掛けるのと同じように、自分のサイトにも鍵を掛けておく必要がある、ということです。まず、サイトが乗っ取られるとどういうことが起きるのでしょうか。
※オープンソース(open source)・・・広く一般に公開し、誰でも自由に扱ってよいとされるコンピュータプログラムのソースのこと。
WordPressが乗っ取られるとどうなるの?
WordPressのサイトを乗っ取られると、自分だけでなく様々な所に被害が及びます。まず、以下のようにサイトの情報が書き換えられる恐れがあります。
- サイトを勝手に更新される
- 意図していないコンテンツを公開される
さらにタチが悪いと、以下のようにサイトの訪問者にも被害が及ぶのです。
- 不正アクセスの中継地点にされる
- マルウェア(ウイルスなどの悪意あるソフトウェア)を配布される
被害が拡大すると、結果的にサイト自体を閉鎖しなけらばいけなかったり、検索エンジンなどに自分のサイトが表示されなくなる可能性もあります。
WordPressに限りませんが、セキュリティ対策を怠ると一夜にして作り上げてきたサイトを失ってしまう可能性があるのです。
大事なサイトが失われないために、セキュリティ対策には注意しましょう。
どういう対策をすればいいの?
WordPressでセキュリティ対策をする方法はいくつかあります。
データのバックアップを取る
WordPressを構成しているファイルを書き換えられると、復元することは困難になります。乗っ取りだけではなく何が起こったときにも対処できるよう、常にバックアップデータを取ることをおすすめします。
バックアップデータの取り方として、まず初級者の方にも簡単にできる方法「BackWPup」というプラグインの導入を紹介します。このプラグインを導入すると、サーバー上のファイルやデータベースのファイルなど、重要なデータのバックアップを取ることが可能です。
追記:
ここでは、BackWPupを紹介していますが、BackWPup自体にはバックアップファイルから復元する機能がないので、その他のバックアッププラグインも、是非こちらでご覧ください。
プラグイン「BackWPup」によるバックアップの方法
- まずWordPressの管理画面(ダッシュボード)から「プラグイン」→「新規追加」
- 「BackWPup」でプラグインを検索しインストール
インストールはこちらです。
https://ja.wordpress.org/plugins/backwpup/
- インストールが完了したら同様の画面から有効化をクリック
- 「Yes,I agree」をクリックして同意します
- 「BackWPup」→「新規ジョブを追加」でバックアップするファイルの宛先やスケジュールを決めます。今回設定するのは「一般」のみです。「スケジュール」は、デフォルトで手動になっているので変更は不要です。
基本はデフォルトの設定で問題ありません。画像の赤字の部分を設定しましょう。入力し終わったら「変更を保存」をクリックしてジョブを作成します。 - 「ジョブ」で先ほど作成したジョブを確認し「今すぐ実行」をクリックします。
- 「バックアップ」で実行されたファイルを確認することができます。ここでダウンロードをクリックし自分のPCに保存しておきましょう。
これで、バックアップファイルを自分のPCに保存することができます。ここではシンプルな設定だけを紹介していますが、各項目をお好みの状態に設定して、いろいろと試してみてください。
FTPソフトを使用したバックアップの方法
次に、FTPソフトを使用したバックアップの取り方を説明します(FTPソフトはFileZilla)。FTPソフト(FileZilla)の使い方はこちらをご参照ください。
まずFTPソフトを起動します。
リモートサイト側にあるファイルを全てダウンロードして、ローカルサイト側にコピーします。以上で完了です。FTPソフトを使ったことがない人でも、簡単にできる操作です。
ユーザー名が簡単にわかる方法を対策する
WordPressの初期設定では、ユーザー名とニックネームが同一のままになっています。ニックネームはサイトに投稿者として表示されることもあり、同一のままにしておくと簡単にユーザー名がバレる可能性が高いです。
そのため、管理画面の「ユーザー」→「あなたのプロフィール」からニックネームを変更しておきましょう。
プラグインを導入してセキュリティ対策をする
セキュリティを強化するなら、プラグインを導入しておきましょう。WordPressには、様々なセキュリティ対策プラグインがあり、ここでは2つ紹介します。
プラグイン「SiteGuard WP Plugin」
基本的なセキュリティ対策に有効です。日本語に対応しているので管理しやすく、プラグインを有効にするだけでも機能します。
主な機能は、以下のほか様々です。
- 管理ページへのアクセス制限
- ログインページの変更
- ログインする際に、ユーザー名やパスワードに加えて画像認証を設置
- ログインに一定回数失敗すると、一定期間ロックがかかる
- サイトにログインするとメールで通知
十分なセキュリティ機能が備わっているので、ぜひ導入しておきたいところです。
SiteGuard WP Pluginは、管理画面「プラグイン」→「新規追加」で検索して、インストールできます。
プラグイン「Edit Author Slug」
ユーザー名を特定する方法は、前章の方法以外にもあります。URLに「/?author=1」を追加してページを開くと、URLの最後にユーザー名が表示されます。
「自分のサイトのURL/?author=1」でページを開く
※1で404ページが開くようであれば、数字を2→3と大きくしていく
すると、ユーザー名が表示されてしまう
この「/?author=1」は、投稿者アーカイブページを表示するというコマンドです。要はWordPressでは投稿者アーカイブページのURLには、ユーザー名が表示される仕様になっているのです。
この方法でユーザー名が表示されるのを防ぐプラグインが「Edit Author Slug」です。このプラグインでは、「URLに表示されるユーザー名を、設定した他の名前にすり替える」ことができるのです。
Edit Author Slugは、管理画面「プラグイン」→「新規追加」で検索して、インストールできます。
使い方は、以下で完了です。
- プラグインを有効化
- 「Edit Author Slug」の設定画面に入る
- ユーザー名の代わりに表示する文字を入力
- 変更を保存
「自分のサイトのURL/?author=1」でサイトを表示してみて、URLの最後に任意の文字が表示されていれば成功です。
やっておくと、セキュリティ対策になること
紹介したこと以外にも、日常的に以下のことに気をつけておくとセキュリティ対策になります。
- パスワードは、なるべく数字と英字を混ぜた連続性のないものにする
-
パスワードを安直なものにすると、割り出される可能性があります。特に気をつけたいのは、「ユーザー名と同じにしない」「連続した数字や英字の羅列にしない」ことです。
- WordPress本体やテーマ、プラグインの更新はこまめに行う
-
WordPressやプラグインなどの更新お知らせが、気づくとよく溜まっている人もいるかと思います。こういったアップデートは、機能を充実させる目的だけでなく、セキュリティ対策のためでもあるのです。更新のお知らせが通知されていたら、忘れず更新しておくことが大切です。
まとめ
- WordPressにはセキュリティ対策が必要。
- セキュリティ対策は、デフォルトの設定を変更したり、プラグインを導入することで行なう。
- WordPressやプラグインのこまめな更新もセキュリティ対策になる。
