初心者でもできるWordPressのセキュリティ対策

WordPressは世界的に使われているCMS(≒ウェブサイトなどをカンタンに作るためのシステム)なので、攻撃の標的になりやすいという問題があります。

WordPressが攻撃されると、個人情報が盗まれたり、ブログの内容を書きかえられたりしてしまうなどのリスクがあります。

一般的な話ではないため、メインストリームのメディアではあまり聞きませんが、ちょっと調べると、WordPressが攻撃を受けたという事例がたくさん出てきます。

WordPressを利用する際は、その点を念頭におき、しっかりとセキュリティを強化・対策をすることが大事です。

WordPressのセキュリティを強化する8つの方法

WordPressは無料ブログなどとは違って、自分でセキュリティを強化しなければなりません。

セキュリティを強化と言っても、難しい事ばかりではありません。WordPress初心者の方でもできることがたくさんあります。

WordPressを安全に利用するためのセキュリティ対策の中から、初心者でもカンタンに実施できるものを紹介、解説します。

WordPressをアップデートする

WordPressのアップデート(新しいバージョンの公開)は新機能が追加されるだけでなく、既存の脆弱性(問題点)の修正も含まれています。

新しいバージョンが出たら、バックアップをとって、できるかぎり早くアップデートしましょう。

ユーザー名・パスワードを強力なものにする

WordPressのユーザー名・パスワードは長くて複雑なものにしましょう。

誰でも思いつくような単語や短いものにしておくと、カンタンにWordPressを乗っ取られてしまいます。

WordPressのユーザー名の変更については以下の記事が参考になります。

パスワードの変更については以下の記事を参考にしてください。

プラグインを厳選する

WordPressで利用するプラグインは厳選しましょう。あまりに数が多いと、全てに気を配ることが難しくなり、トラブルへの対応が困難になる可能性があります。また、プラグイン同士の競合なども起きやすくなり、トラブルが起こる可能性が高くなるので、使用するプラグインは最低限にしましょう。

また、使用していないプラグインは停止するだけでなく、削除しましょう。

関連記事

更新されてないテーマやプラグインを使用しない

WordPressにテーマやプラグインを追加する際、更新が止まっているテーマやプラグインを利用するのはやめましょう。

更新が止まっているテーマやプラグインの中には重大なセキュリティ上の問題を抱えている(そしてそれが放置されている)ものが少なくありません。

テーマ、プラグインは公式ディレクトリにあるもののみを利用する

WordPressで利用するテーマやプラグインは信用できるもののみ利用しましょう。

「信用できるかどうか判別が難しい」という方でも大丈夫。何が信用できるのか判別できない方はWordPressの公式ディレクトリに登録されているものを使いましょう。

WordPressの公式ディレクトリに登録されているテーマやプラグインはWordPressコミュニティによる審査を受けているので、一定の安全性が担保されています。

WordPressの公式ディレクトリ

 

ただし、WordPressの公式ディレクトリに登録されているからといって100%安全というわけではないので注意しましょう。

例えば、上で述べたように長い期間更新されていないテーマやプラグインはWordPressの公式ディレクトリに登録されているものでも、利用すべきではありません。

WordPressのログイン画面を強固にする

WordPressのログイン画面はデフォルト(最初)のままでは脆弱です。

悪質なロボットなどに侵入されないよう、ログイン画面を強化しましょう。難しいカスタマイズは不要です。WordPressならプラグインを使ってカンタンにログイン画面のセキュリティを向上させることができます。

 

WordPressプラグイン:WP Limit Login Attempts

WordPressの管理画面のセキュリティを強化するためにオススメのプラグインは「WP Limit Login Attempts」です。

このプラグインはインストールして有効化するだけで、ログイン試行回数に制限を加え(何度もログインに失敗すると、一定時間ログインができなくなる)、さらにキャプチャ画面(ログインする際に画像の英数字を入力する手順)を追加することができます。

WordPressプラグイン:WP Limit Login Attempts

↑WordPressにプラグイン「WP Limit Login Attempts」を追加すると、上のような画面がログイン画面に表示され、画像の英数字を入力してからでないとユーザー名とパスワードを入力できなくなります。

安全なレンタルサーバーを利用する

どれだけセキュリティに注意してWordPressを利用していても、レンタルサーバー側のセキュリティが甘ければ意味がありません。

ロリポップなど過去に問題を起こしているレンタルサーバーは使わないのが無難です。

ロリポップ!のサーバー上にインストールされた WordPress を利用して作成された一部のユーザーサイトにおいて改ざんの被害が発生いたしました。

引用元:レンタルサーバーならロリポップ!

 

オススメのレンタルサーバー

高度なセキュリティを求めると、VPSや専用サーバー(意味がわからなくても大丈夫です)など高価なサーバーを使わなければなりません。

ですが、個人でWordPressを利用している方はミックスホストやロリポップなどレンタルサーバーを利用している方が多いのではないかと思います。

安価(個人で利用するレベル)で、安全性の高いレンタルサーバーはエックスサーバーがオススメです。

エックスサーバーはブロガーやアフィリエイターからの評判が高いです。私も5年以上使っていますが、トラブルなどはありませんでした。

公式サイト:エックスサーバー

SSL化する

WordPressを暗号化するためにSSL化しましょう。

SSL化とはウェブサイトの内容を暗号化することです。SSLに対応したサイトは、サイトのURLが「http://example.com」から「https://example.com」となります(httpの後にsが付く)。

「暗号化ってなに?SSLって美味しいの?」という方でも大丈夫。近年、多くのレンタルサーバーでは誰でも(そこそこ)カンタンに(そして無料で)WordPressをSSL化することができます。

例えば、エックスサーバーでは以下のサイトの解説がわかりやすいです。

 

ウェブサイトをSSL化する手順は、これまで紹介したテクニックと比べると、少々面倒ですが、SSLはGoogleも推奨している非常に重要な技術なのでぜひ実施した方が良いです。

WordPressに限らず、ウェブサイトであれば必ずやるべきと言っても過言ではないレベルの話なので、ぜひトライしてください。

まとめ

今回紹介したセキュリティ対策は、WordPress初心者の方でもカンタンにできるレベルのことだけですが(SSLはちょっと難しいかも?)、これだけでも大幅にセキュリティが強化されます。

WordPressを使い始めたら、最低限ここで紹介したことだけでもやっておきましょう。攻撃され、乗っ取られたりしてからでは遅いですよ!