「え、WordPressにセキュリティ対策って必要なの?」
私も最初はそう思っていました。でも、ある日何気なくログイン画面を開いたら、“見覚えのないログイン失敗通知”が続いていて…。
WordPressは世界中で使われている分、悪意ある攻撃の対象にもなりやすいんですよね。
この記事では、私自身が実際に導入して「これはやってよかった!」と感じたセキュリティ対策を5つに絞って紹介します。
難しい設定は一切ナシ。初心者さんでも迷わず始められる内容です。
「どれから手をつければいいの?」という方の参考になれば嬉しいです。
1. WordPressやプラグイン、テーマを常に最新の状態に保つ
最初は「更新ってそんなに重要なのかな?」と思っていたのですが、調べてみると“脆弱性”を突かれる事例が意外と多いようで…!
こうした古いバージョンには、セキュリティの穴が見つかることが多く、攻撃者に狙われやすくなるんですね。
「まだ大丈夫かな」と思って放置していると、気づかないうちに被害に遭ってしまうこともあるそうです。
WordPressを安全に使うためにも、更新は基本中の基本。
自動更新をONにしておくと、うっかり忘れも防げて安心です◎
対策としては、WordPressの管理画面「更新」セクションを定期的にチェックして、更新があれば忘れずに対応すること。
「自動更新」をONにしておくと、うっかり忘れを防げて安心ですよ◎
WordPressの本体・プラグイン・テーマを最新状態に保つのは基本です。
定期的にアップデートし、最新状態に保つことが必要です。
2. 強力なユーザー名とパスワードを使用する
なぜ強力なユーザー名とパスワードが必要なのか?
ブルートフォース攻撃では、攻撃者が自動的に無数のパスワードを試行してアカウントへの不正アクセスを試みます。単純なパスワードや「admin」というユーザー名では、簡単に突破されてしまうリスクがあります。
強力なユーザー名とパスワードの設定方法
推測されにくい、ユニークなユーザー名を使いましょう。パスワードは12文字以上、かつ大文字、小文字、数字、記号を組み合わせて設定します。
パスワードの管理が難しい場合は、パスワード管理ツールを使うと安全かつ簡単に管理できます。
おすすめのパスワード生成ツール
LUFTTOOLS
ランダムな文字列を簡単に生成できるツールです。パスワード生成機能もあり、指定した文字数でランダムなパスワードを作成できます。カスタム設定では、使用する文字や数を自分で選ぶことができますが、強力なパスワードを作成したい場合、細かい文字の選択はシステムに任せた方が簡単です。
一度に10種類のパスワードを生成できるため、複数の候補から最適なものを選べます。
- LUFTLUFTTOOLSにアクセスします。
- 「ランダム文字列生成」のページで、カスタム設定を選択し、使用したい文字や文字数を指定します。
- 自動生成されたパスワードをコピーして、利用するだけです。
ただし、生成されたパスワードの強度をチェックする機能はないため、他のツールで確認するのがおすすめです。
ラッコツールズ
ラッコツールズは、パスワードの文字数(最大50文字)、パスワードに含む文字種(英字大文字、英字小文字、数字、記号)を自由に選び、100個のランダムパスワードを自動生成できます。さらに、「間違えやすい文字は含まない(IJl1jiOo0)」を除外するオプションもあり、間違いにくいパスワードを簡単に作ることが可能です。
一度に16種類のパスワードを生成できるため、複数の候補から最適なものを選べます。
- ラッコツールズにアクセスし、パスワード生成のオプションを選択します。
- アルファベット、数字、記号などを選択し、希望する文字数(8〜50文字)を指定します。
- 作成されたパスワードを確認し、必要なものをコピーして利用します。
強度のチェック機能はないため、別のサービスでパスワードの強度確認を行うとさらに安心です。
これらのツールを活用することで、推測されにくい強力なユーザー名とパスワードを簡単に生成し、WordPressのセキュリティを高めることができます。
3. セキュリティプラグインを導入する(SiteGuard)
おすすめのセキュリティプラグインとして、私が実際に使っているのは「SiteGuard WP Plugin」です。
これ、日本語対応で初心者にもわかりやすいUIが魅力なんです!
特に気に入っているのが、「ログインページURLの変更」機能。
WordPress標準の/wp-login.phpは攻撃の対象になりやすいので、ログインページを自分専用のURLに変えられるのは大きな安心感でした。
詳しい設定方法はこちらの記事で紹介しています。
「何をどう設定すればいいの?」と迷いがちな方も、画像付きで手順を追って確認できる内容になっているので、ぜひチェックしてみてください!
- 日本語対応で使いやすい
- ログインページの保護
- 軽量でパフォーマンスに優れている
- 管理ページの保護
- 定期的なアップデート
WordPressには基本的なセキュリティ機能が備わっていますが、より高度な防御を提供するには専用のセキュリティプラグインが有効です。これにより、ファイアウォールやマルウェア検出など、サイトを守るための追加機能が利用できます。
設定項目
| ログインページ変更 | デフォルトのログインURLを変更し、ブルートフォース攻撃のリスクを軽減します。 |
| 画像認証(ひらがなにすると海外Bot対策に◎) | ログインフォームに画像認証を追加することで、不正ログインを防ぎます。 画像認証は『ひらがな』『英数字』を選べますが、海外からの攻撃を防ぐにはひらがなの方が効果的 |
| ログイン詳細エラーメッセージの無効化 | 認証失敗時のエラーメッセージを一般的なものに変更し、攻撃者に詳細な情報を与えないようにします。 |
| ログインロック | 連続してログイン失敗があった場合、期間・回数・ロック時間をブロックする設定を行います。 |
| ログインアラート | 誰かがログインした際に通知を受け取ることで、不正アクセスの早期発見を促します。 |
| XMLRPC防御 | 不正アクセスの手段として利用されることがあるXML-RPCを無効化するか、アクセスを制限します。 |
| ユーザー名漏えい防御 | 認証エラーやログイン試行時にユーザー名を漏らさないように設定を行います。 |
| 更新通知 | プラグインやテーマの更新があった際に通知を受け取る設定をし、常に最新の状態を保ちます。 |
このチェックリストを活用して、SiteGuardの設定を漏れなく行い、WordPressサイトのセキュリティを強化しましょう。
必要な対策を講じることで、より安全な運営が可能になります。
ありぃ実際にログイン失敗通知が来て「おお…守られてる」と実感したことも!
4. 定期的なバックアップの取得
バックアップの重要性
定期的なバックアップは、WordPressサイトの安全性を保つために不可欠です。予期せぬトラブルやデータ損失(ハッキング、サーバーダウン、誤操作など)が発生した場合、バックアップがあれば迅速に元の状態に復旧することができます。以下の理由から、バックアップは非常に重要です。
- データの保護:サイトのコンテンツや設定を失うリスクを軽減します。
- 復旧の迅速化:トラブル発生時に迅速に復元できるため、ダウンタイムを最小限に抑えられます。
- 安心感の向上:定期的なバックアップがあれば、安心してサイト運営ができます。
バックアッププラグインの選定
WordPressには多くのバックアッププラグインがあります。以下のような人気のプラグインを利用すると簡単にバックアップが取れます。
- UpdraftPlus:スケジュール設定やクラウドストレージへのバックアップが可能。
- BackWPup:簡単にバックアップを設定し、DropboxやAmazon S3に保存できます。
- Duplicator:サイト全体をパッケージとしてバックアップし、移行にも使えます。
UpdraftPlusでのバックアップ方法
UpdraftPlusでのバックアップ方法には「手動」と「自動」の2つのパターンがあります。それぞれの方法を以下に解説します。
手動でバックアップを取る方法
手動バックアップは、自分で必要なタイミングに合わせてバックアップを取る方法です。
※現時点での WordPress情報のバックアップとなる
- WordPress管理画面のプラグインから「今すぐバックアップ」ボタンをクリック
- 手動バックアップ設定のチェックボックスを確認
- 「今すぐバックアップ」ボタンをもう一度クリックして、バックアップが開始
サーバー内に保存されていくため、クリックして各データ毎にダウンロードすることもできる
- 新しいプラグインやテーマをインストールする前
- WordPressのアップデートを実行する前
- 大きなサイトの変更を行う前
自動でバックアップを設定する方法
自動バックアップは、一度設定すると、定期的にバックアップが自動で取られるようにスケジュールできる方法です。定期的にバックアップを取ることで、忘れずにサイトの状態を保護できます。
- バックアップのスケジュールを設定
- バックアップの保存先を選択(Dropbox /Google Drive /OneDriveなど)
- 自動バックアップの完了(指定したスケジュールで自動的にバックアップが行われます)
- 手間がかからず、常に最新の状態をバックアップできる
- もし忘れても、バックアップが定期的に実施されているため安心
- 手動バックアップは、特定のタイミングで必要に応じてバックアップを取りたいときに便利です。
- 自動バックアップは、常にサイトを保護したい場合に最適で、一度設定すれば自動的に安全な状態を維持できます。
この2つのバックアップ方法を組み合わせて使うと、より安心してWordPressサイトを運営できます。
5. 問い合わせフォームにreCAPTCHAを導入する
reCAPTCHAがなぜ必要なのか?
ボットによるスパム攻撃や、不正なフォーム送信を防ぐために、GoogleのreCAPTCHAを導入することは非常に有効です。これにより、フォーム送信が人間によって行われていることを確認し、不正行為やスパムを防止できます。
reCAPTCHAの導入方法
「Contact Form 7」や「WPForms」などのフォームプラグインを使用している場合、簡単にreCAPTCHAを追加できます。Google reCAPTCHAに登録してAPIキーを取得し、プラグインに設定するだけで、問い合わせフォームにボット対策が施されます。
Contact Form 7を例に導入方法を紹介
WordPress管理画面
「お問い合わせ」→「インテグレーション」にあるreCAPTCHAを確認
ここで必要な情報は
①サイトキー
②シークレットキー
シロくま
まず、Google reCAPTCHAのキーを取得します。
| ラベル | サイト名など任意の名前を入力 (例:〇〇サイトreCAPTCHA) |
|---|---|
| reCAPTCHAのタイプ | reCAPTCHA v3(最新) |
| ドメイン | reCAPTCHAを導入するサイトのドメイン (例: example.com)を入力します。 |
| 利用規約に同意 | チェックボックスにチェックを入れて送信 |
| Google Cloud Platform | 「以前にも Google Cloud を使用されたことがあるようです。まず、新しいプロジェクトを作成し、必要な API を有効にします。」と出る場合があります。 1. Google Cloud Consoleにアクセスして、ご自身のGoogleアカウントでログインします。 2. 新しいプロジェクトを作成 ※プロジェクト名に使用できるのは、英数字、単一引用符、ハイフン、スペース、感嘆符です。 3. 再度上記項目を入力して「送信」 |
ありぃあなたのURLが https://aaa.bbb.ccc/ の場合、ドメインとしては aaa.bbb.ccc を登録します。
また、reCAPTCHAはサイトごとに設定する必要があります。
Google reCAPTCHAのキーは、登録されたドメインやサブドメインごとに発行されるため、異なるドメインやサブドメインを持つ複数のサイトがある場合、それぞれに対応するreCAPTCHAのサイトキーとシークレットキーを作成する必要があります。そのサブドメインで正しくreCAPTCHAが機能します。
すでに他のサブドメイン用に作成しているキーは、それぞれのサブドメインにのみ適用されます。別のサブドメインには、それに対応する新しいキーが必要です。
コピーしてダッシュボードの「インテグレーション」のところに貼り付けて「変更を保存」
「reCAPTCHAはこのサイト上で有効化されています」と表示されれば設定完了です。
まとめと優先順位の提案
ここまで5つのセキュリティ対策を紹介しましたが、正直「全部一気にやるのは大変…」という方もいると思います。
そこで、優先度が高い対策だけ先にやっておくと安心です!
- WordPress本体・プラグインの更新確認
- SiteGuardの導入と初期設定
- 強力なパスワード&ユーザー名の設定
あとの2つ(reCAPTCHAとバックアップ)は、時間があるときにゆっくり進めればOK◎
どれも「やって損なし」なので、自分のペースで一つずつ進めてみてくださいね。
