WordPressのセキュリティ対策

WordPressは世界的に使われているCMS(≒ウェブサイトなどをカンタンに作るためのシステム)なので、攻撃の標的になりやすいという問題があります。

攻撃されると、個人情報が盗まれたり、サイトやブログの内容を書きかえられたりしてしまうなどのリスクがあります。

WordPressを利用する際は、その点を念頭におき、しっかりとセキュリティを強化・対策をすることが大事です。

WordPressのセキュリティを強化する8つの方法

WordPressは無料ブログなどとは違って、自分でセキュリティを強化しなければなりません。

初心者の方でもカンタンに実施できるテクニックを紹介・解説します。

ユーザー名を複雑なものにする

WordPressのユーザー名は長くて複雑なものにしましょう。

誰でも思いつくような単語や短いものにしておくと、カンタンにWordPressを乗っ取られてしまいます。

WordPressのユーザー名の変更については以下の記事が参考になります。

参考:ログインユーザー名(admin)の変更方法 – WordPressの使い方と設定 – Webkaru

パスワードを複雑なものにする

ユーザー名だけでなく、パスワードも長くて複雑なものにしましょう。

誰でも思いつくような単語や短いパスワード、シンプルなパスワードにしておくと、WordPressを乗っ取られてしまうリスクが上がってしまいます。

パスワードがシンプルであったり、短いものになっている方は、今すぐパスワードを複雑なものに変更しましょう。

参考:WordPressのパスワードを変更する方法

テーマやプラグインは公式ディレクトリに登録されているものを利用する

WordPressで利用するテーマやプラグインは信用できるものだけを利用しましょう。

「信用できるかどうか判別が難しい」という方はWordPressの公式ディレクトリに登録されているものを使いましょう。

WordPressの公式ディレクトリに登録されているテーマやプラグインはWordPressコミュニティによる審査を受けているので、一定の安全性が担保されています。

WordPressの公式ディレクトリ

更新されてないテーマやプラグインを使用しない

WordPressの公式ディレクトリに登録されているものでも、更新が止まっているテーマやプラグインを利用するのはやめましょう。

更新が止まっているテーマやプラグインの中には重大なセキュリティ上の問題を抱えている(そしてそれが放置されている)ものが少なくないので危険です。

プラグインを厳選する

WordPressで利用するプラグインは厳選しましょう。

あまりに数が多いと、全てに気を配ることが難しくなり、トラブルへの対応が困難になる可能性があります。

また、プラグイン同士の競合なども起きやすくなり、トラブルが起こる可能性が高くなるので、使用するプラグインは最低限にしましょう。

参考:プラグインは何個まで入れて良いのか?

また、使用していないプラグインは停止するだけでなく、削除してしまうのがオススメです。

参考:使わないプラグインはすぐに削除すべき理由

ログイン画面を強固にする

WordPressのログイン画面はデフォルト(初期)のままでは脆弱です。

悪質なロボットなどに侵入されないよう、ログイン画面を強化しましょう。

難しいカスタマイズは不要です。WordPressなら以下のプラグインを使ってカンタンにログイン画面のセキュリティを向上させることができます。

WordPressプラグイン:WP Limit Login Attempts

WordPressの管理画面のセキュリティを強化するためにオススメのプラグインは「WP Limit Login Attempts」です。

このプラグインはインストールして有効化するだけで、ログイン試行回数に制限を加え(何度もログインに失敗すると、一定時間ログインができなくなる)、さらに下の画像のようなキャプチャ画面(ログインする際に画像の英数字を入力する手順)を追加することができます。

こうすることで、画像の英数字を入力してからでないとユーザー名とパスワードを入力できなくなります。

WordPressのログイン画面

WordPressプラグイン:WPS Hide Login

また、ログイン画面のURL(初期はexample.com/wp-loginとなっているもの)を変更するのも効果的です。

WordPressでは「WPS Hide Login」を使うことで、ログイン画面のURLを変更できます。

参考:「WPS Hide Login」でWordPressのログイン画面のURLを変更する方法

アップデートを放置しない

WordPressのアップデートは新機能が追加されるだけでなく、既存の脆弱性(問題点)の修正をし、セキュリティを向上させる要素も含まれています。

新しいバージョンが出たらできるかぎり早くアップデートしましょう。また、その際はバックアップを忘れずに。

安全なレンタルサーバーを利用する

どれだけセキュリティに注意してWordPressを利用していても、レンタルサーバー側のセキュリティが甘ければ意味がありません。

レンタルサーバーを選ぶ際には、価格や使いやすさだけでなく、セキュリティも意識しましょう。

ロリポップなど過去に問題を起こしているレンタルサーバーは使わないのが無難です。

ロリポップ!のサーバー上にインストールされた WordPress を利用して作成された一部のユーザーサイトにおいて改ざんの被害が発生いたしました。

引用元:レンタルサーバーならロリポップ!

オススメのレンタルサーバーは「エックスサーバー」

安全性の高いレンタルサーバーはエックスサーバーがオススメです。

エックスサーバーはブロガーやアフィリエイターからの評判が高いです。筆者も6年以上使っていますが、トラブルがないのはもちろん、高機能かつ使いやすいので、非常に気に入っています。

公式サイト:エックスサーバー

SSLに対応する

WordPressで作ったウェブサイトは必ずSSL化しましょう。

SSL化とはウェブサイトの内容を暗号化することです。

SSLに対応したサイトは、サイトのURLが「http://example.com」から「https://example.com」となります(httpの後にsが付く)。

「暗号化ってなに?SSLって美味しいの?」という方でも大丈夫。大抵のレンタルサーバーでは無料でWordPressのウェブサイトをSSL化することができます。

まとめ

WordPressを使い始めたら、最低限ここで紹介したことだけでもやっておきましょう。

これだけでも大幅にセキュリティが強化されます。

攻撃され、乗っ取られたりしてからでは遅いですよ!