「セキュリティ対策って本当に必要?」と疑問に思う方も多いかもしれません。
WordPressは便利なプラットフォームですが、攻撃対象となりやすい点も事実です。そこで、このブログでは、WordPressを使う上で最低限知っておきたい5つのセキュリティ対策を詳しく解説します。
初心者の方でも簡単に実施できるので、このチェックリストをもとにしてサイトを安全に保ちましょう!
1. WordPressやプラグイン、テーマを常に最新の状態に保つ
WordPressの本体・プラグイン・テーマを最新状態に保つのは基本です。
定期的にアップデートし、最新状態に保つことが必要です。
なぜ最新状態を保つことが重要なのか?
WordPressやプラグイン、テーマの古いバージョンには、脆弱性が含まれていることがあります。攻撃者はこれらの脆弱性を狙ってサイトに不正アクセスを試みるため、システムを最新の状態に保つことが最も基本的な防御策となります。
最新状態を保つための対策方法
2. 強力なユーザー名とパスワードを使用する
なぜ強力なユーザー名とパスワードが必要なのか?
ブルートフォース攻撃では、攻撃者が自動的に無数のパスワードを試行してアカウントへの不正アクセスを試みます。単純なパスワードや「admin」というユーザー名では、簡単に突破されてしまうリスクがあります。
強力なユーザー名とパスワードの設定方法
推測されにくい、ユニークなユーザー名を使いましょう。パスワードは12文字以上、かつ大文字、小文字、数字、記号を組み合わせて設定します。
パスワードの管理が難しい場合は、パスワード管理ツールを使うと安全かつ簡単に管理できます。
おすすめのパスワード生成ツール
LUFTTOOLS
ランダムな文字列を簡単に生成できるツールです。パスワード生成機能もあり、指定した文字数でランダムなパスワードを作成できます。カスタム設定では、使用する文字や数を自分で選ぶことができますが、強力なパスワードを作成したい場合、細かい文字の選択はシステムに任せた方が簡単です。
一度に10種類のパスワードを生成できるため、複数の候補から最適なものを選べます。
- LUFTLUFTTOOLSにアクセスします。
- 「ランダム文字列生成」のページで、カスタム設定を選択し、使用したい文字や文字数を指定します。
- 自動生成されたパスワードをコピーして、利用するだけです。
ただし、生成されたパスワードの強度をチェックする機能はないため、他のツールで確認するのがおすすめです。
ラッコツールズ
ラッコツールズは、パスワードの文字数(最大50文字)、パスワードに含む文字種(英字大文字、英字小文字、数字、記号)を自由に選び、100個のランダムパスワードを自動生成できます。さらに、「間違えやすい文字は含まない(IJl1jiOo0)」を除外するオプションもあり、間違いにくいパスワードを簡単に作ることが可能です。
一度に16種類のパスワードを生成できるため、複数の候補から最適なものを選べます。
- ラッコツールズにアクセスし、パスワード生成のオプションを選択します。
- アルファベット、数字、記号などを選択し、希望する文字数(8〜50文字)を指定します。
- 作成されたパスワードを確認し、必要なものをコピーして利用します。
強度のチェック機能はないため、別のサービスでパスワードの強度確認を行うとさらに安心です。
これらのツールを活用することで、推測されにくい強力なユーザー名とパスワードを簡単に生成し、WordPressのセキュリティを高めることができます。
3. セキュリティプラグインを導入する
なぜセキュリティプラグインが必要なのか?
WordPressには基本的なセキュリティ機能が備わっていますが、より高度な防御を提供するには専用のセキュリティプラグインが有効です。これにより、ファイアウォールやマルウェア検出など、サイトを守るための追加機能が利用できます。
おすすめのセキュリティプラグインとその機能
Site Guard WP Plugin
SiteGuardは、ログインページのURLを簡単に変更できる機能を提供しており、日本製で日本語対応もしているため、特に日本国内のユーザーにとって使いやすい優秀なセキュリティプラグインです。ログインページのURLを変更することで、攻撃者が通常の/wp-login.phpや/wp-adminを見つけられなくなり、ブルートフォース攻撃を避けることができます。
- 日本語対応で使いやすい
- ログインページの保護
- 軽量でパフォーマンスに優れている
- 管理ページの保護
- 定期的なアップデート
設定項目
| ログインページ変更 | デフォルトのログインURLを変更し、ブルートフォース攻撃のリスクを軽減します。 |
| 画像認証 | ログインフォームに画像認証を追加することで、不正ログインを防ぎます。 画像認証は『ひらがな』『英数字』を選べますが、海外からの攻撃を防ぐにはひらがなの方が効果的 |
| ログイン詳細エラーメッセージの無効化 | 認証失敗時のエラーメッセージを一般的なものに変更し、攻撃者に詳細な情報を与えないようにします。 |
| ログインロック | 連続してログイン失敗があった場合、期間・回数・ロック時間をブロックする設定を行います。 |
| ログインアラート | 誰かがログインした際に通知を受け取ることで、不正アクセスの早期発見を促します。 |
| XMLRPC防御 | 不正アクセスの手段として利用されることがあるXML-RPCを無効化するか、アクセスを制限します。 |
| ユーザー名漏えい防御 | 認証エラーやログイン試行時にユーザー名を漏らさないように設定を行います。 |
| 更新通知 | プラグインやテーマの更新があった際に通知を受け取る設定をし、常に最新の状態を保ちます。 |
このチェックリストを活用して、SiteGuardの設定を漏れなく行い、WordPressサイトのセキュリティを強化しましょう。必要な対策を講じることで、より安全な運営が可能になります。
4. 定期的なバックアップの取得
バックアップの重要性
定期的なバックアップは、WordPressサイトの安全性を保つために不可欠です。予期せぬトラブルやデータ損失(ハッキング、サーバーダウン、誤操作など)が発生した場合、バックアップがあれば迅速に元の状態に復旧することができます。以下の理由から、バックアップは非常に重要です。
- データの保護:サイトのコンテンツや設定を失うリスクを軽減します。
- 復旧の迅速化:トラブル発生時に迅速に復元できるため、ダウンタイムを最小限に抑えられます。
- 安心感の向上:定期的なバックアップがあれば、安心してサイト運営ができます。
バックアッププラグインの選定
WordPressには多くのバックアッププラグインがあります。以下のような人気のプラグインを利用すると簡単にバックアップが取れます。
- UpdraftPlus:スケジュール設定やクラウドストレージへのバックアップが可能。
- BackWPup:簡単にバックアップを設定し、DropboxやAmazon S3に保存できます。
- Duplicator:サイト全体をパッケージとしてバックアップし、移行にも使えます。
UpdraftPlusでのバックアップ方法
UpdraftPlusでのバックアップ方法には「手動」と「自動」の2つのパターンがあります。それぞれの方法を以下に解説します。
手動でバックアップを取る方法
手動バックアップは、自分で必要なタイミングに合わせてバックアップを取る方法です。
※現時点での WordPress情報のバックアップとなる
- WordPress管理画面のプラグインから「今すぐバックアップ」ボタンをクリック
- 手動バックアップ設定のチェックボックスを確認
- 「今すぐバックアップ」ボタンをもう一度クリックして、バックアップが開始
サーバー内に保存されていくため、クリックして各データ毎にダウンロードすることもできる
- 新しいプラグインやテーマをインストールする前
- WordPressのアップデートを実行する前
- 大きなサイトの変更を行う前
自動でバックアップを設定する方法
自動バックアップは、一度設定すると、定期的にバックアップが自動で取られるようにスケジュールできる方法です。定期的にバックアップを取ることで、忘れずにサイトの状態を保護できます。
- バックアップのスケジュールを設定
- バックアップの保存先を選択(Dropbox /Google Drive /OneDriveなど)
- 自動バックアップの完了(指定したスケジュールで自動的にバックアップが行われます)
- 手間がかからず、常に最新の状態をバックアップできる
- もし忘れても、バックアップが定期的に実施されているため安心
- 手動バックアップは、特定のタイミングで必要に応じてバックアップを取りたいときに便利です。
- 自動バックアップは、常にサイトを保護したい場合に最適で、一度設定すれば自動的に安全な状態を維持できます。
この2つのバックアップ方法を組み合わせて使うと、より安心してWordPressサイトを運営できます。
5. 問い合わせフォームにreCAPTCHAを導入する
reCAPTCHAがなぜ必要なのか?
ボットによるスパム攻撃や、不正なフォーム送信を防ぐために、GoogleのreCAPTCHAを導入することは非常に有効です。これにより、フォーム送信が人間によって行われていることを確認し、不正行為やスパムを防止できます。
reCAPTCHAの導入方法
「Contact Form 7」や「WPForms」などのフォームプラグインを使用している場合、簡単にreCAPTCHAを追加できます。Google reCAPTCHAに登録してAPIキーを取得し、プラグインに設定するだけで、問い合わせフォームにボット対策が施されます。
Contact Form 7を例に導入方法を紹介
WordPress管理画面
「お問い合わせ」→「インテグレーション」にあるreCAPTCHAを確認
ここで必要な情報は
①サイトキー
②シークレットキー
シロくま
まず、Google reCAPTCHAのキーを取得します。
| ラベル | サイト名など任意の名前を入力 (例:〇〇サイトreCAPTCHA) |
|---|---|
| reCAPTCHAのタイプ | reCAPTCHA v3(最新) |
| ドメイン | reCAPTCHAを導入するサイトのドメイン (例: example.com)を入力します。 |
| 利用規約に同意 | チェックボックスにチェックを入れて送信 |
| Google Cloud Platform | 「以前にも Google Cloud を使用されたことがあるようです。まず、新しいプロジェクトを作成し、必要な API を有効にします。」と出る場合があります。 1. Google Cloud Consoleにアクセスして、ご自身のGoogleアカウントでログインします。 2. 新しいプロジェクトを作成 ※プロジェクト名に使用できるのは、英数字、単一引用符、ハイフン、スペース、感嘆符です。 3. 再度上記項目を入力して「送信」 |
ありぃあなたのURLが https://aaa.bbb.ccc/ の場合、ドメインとしては aaa.bbb.ccc を登録します。
また、reCAPTCHAはサイトごとに設定する必要があります。
Google reCAPTCHAのキーは、登録されたドメインやサブドメインごとに発行されるため、異なるドメインやサブドメインを持つ複数のサイトがある場合、それぞれに対応するreCAPTCHAのサイトキーとシークレットキーを作成する必要があります。そのサブドメインで正しくreCAPTCHAが機能します。
すでに他のサブドメイン用に作成しているキーは、それぞれのサブドメインにのみ適用されます。別のサブドメインには、それに対応する新しいキーが必要です。
コピーしてダッシュボードの「インテグレーション」のところに貼り付けて「変更を保存」
「reCAPTCHAはこのサイト上で有効化されています」と表示されれば設定完了です。
これら5つの対策は、WordPressサイトを保護するために最低限実施すべきものです。
WordPressは強力なツールですが、その反面、適切なセキュリティ対策を取らなければリスクも高まります。
ぜひ、これらのポイントを実行して、サイトを安全に保ちましょう。
- テーマやプラグインは最新化しておく
- ログインパスワードの見直し
- 使っていないテーマ/プラグインは削除しておく
- スパム対策をしておく
