WordPressのセキュリティ対策まとめ(緊急度別)
このサイトでも何度かWordpressについて触れてきました。今やブログ以外でもWordpressを利用して企業サイトやショッピングサイト等を作成するケースが多くなりました。Wordpress本体は無料であり、さらに様々な無料プラグインによって機能を思うように追加していくことが可能です。
ところが知名度が高いシステムだからこそ、システムの脆弱性を突いてサイトを乗っ取ろうとする悪い人たちも多くいます。なので必ずセキュリティ対策を行いサイトの乗っ取りを防がなくてはなりません。
今回は緊急度別にWordpressのセキュリティ対策をまとめましたので、是非ご参考にして頂ければ幸いです。
■緊急度<高>:至急対策!
「admin」を使わない
ユーザー名を「admin」にしないのは基本中の基本です。Wordpressをインストールした際、ユーザー名が「admin」になってしまう場合があります。その為「admin」のままであったり短かったり、推測されやすいものを利用しているとパスワードを当てれば良いだけなので簡単に乗っ取られます。
ユーザー名を楽々変更できる『Admin renamer extended』というプラグインがありますので、もし「admin」になっている場合は即変更しましょう!
ユーザーのスラッグを変更する
「admin」以外に変更しても、実は簡単にユーザー名を知ることが出来てしまうのです…。つまり一手間かけて対策する必要があります。これもプラグインを利用して対策することが可能なのですぐに対策してください。
>【『Edit Author Slug』でスラッグを変更しよう!】
総アタックに効果あり!
管理画面にログインする際、ユーザー名とパスワードを指定した回数間違えた場合に一定時間ログインを不可能にすることができるプラグイン『Login LockDown』を入れましょう。これを利用することで、手当たり次第ユーザー名とパスワードを試して不正アクセスしようとする攻撃に対して効果があります。
上記の例であれば「5分以内に3回以上間違えたら60分ログインできないようにする」という設定です。
- Max Login Retries:ログイン回数の上限
- Retry Time Period Restriction (minutes):ログインの再試行判断の制限時間(分)
- Lockout Length (minutes):ログインできないようにする時間(分)
■緊急度<中>
ログイン時の情報を隠す
通常ログインに失敗した際、ユーザー名が違っている・パスワードが違っているというエラーが表示されます。これらの情報を隠すことで、容易にユーザー名・パスワードを推測されるのを防ぐことができます。他にもWordPressのバージョンを表示しないように設定することも脆弱性を突かれない為の対策になります。これらを可能にするのが『Secure WordPress』というプラグインです。インストールして表示させたくない項目にチェックを入れるだけで設定が可能です。
>プラグイン『Acunetix Secure WordPress』
管理画面「Acunetix Secure WordPress」の[設定]から必要な項目にチェックを入れるだけ!全部にチェックを入れておけば良いらしいのですが、チェックを入れると不具合が起きるものが合ったのでサイトを確認しながら設定してください。
総合的なセキュリティ系プラグイン『Wordfence Security』
とても高機能で総合的なセキュリティ系プラグインとして知名度も高く人気があります。セキュリティに脆弱性がないかスキャンを行ったり、ファイヤーウォールを設定したり IP ブロック機能があったりします。WordPress のセキュリティがよく分からないという方でも、とりあえずこれを入れておくことをお勧めします。
2段階認証を導入
セキュリティを強固なものにする方法として、スマートフォンやタブレットをを利用したGoogleの2段階認証の導入があります。『Login LockDown』を入れていればここまでしなくても良いかもしれませんが、万が一のことを考えて大切なサイトには導入すると良いと思います。スマートフォンやタブレットを利用しなくてはならないのでやや面倒ですが
■緊急度<小>
WordPressの更新を自動で行う
WordPressは頻繁にアップデートが行われます。更新を行うことはセキュリティ面でもとても大切なことですが、毎回全て手動で更新するのは大変です。日々管理画面にアクセスして更新のチェックができないという方は、本体・プラグイン・テーマの更新を自動で行ってくれるプラグイン『Advanced Automatic Updates』を利用しましょう。