WordPressを安全に運用するにはさまざまな面でのセキュリティ対策が不可欠です。しかしサイト運用の初心者にとっては難しい対策方法もあり、どうすればいいか分からないと悩んでいるWEB担当者は多いのではないでしょうか。
「何の対策もできていない」とお思いでしたら、まずWordPressの拡張機能であるプラグインを利用して基本的なセキュリティを整備しましょう。
目次
1.セキュリティ対策プラグインは必要不可欠
WordPressは何の対策もしていない初期設定だとセキュリティが十分とは言えません。
例えば、WordPressの管理画面へのURLは初期設定だとサイトのドメインから簡単に推測できる仕様になっています。ログインページから不正アクセスを試みるサイバー攻撃(ブルートフォース攻撃など)は管理画面に入らなければ実行できないため、ログインURLを変更することが一定のセキュリティ保護につながるでしょう。
サイバー攻撃についての詳細は「サイバー攻撃の種類をカテゴリごとに分かりやすく解説!」でもご紹介しています。興味があればぜひこちらもご覧ください。
ログイン画面のカスタマイズは内部のファイル(.htaccess)を編集することでも可能になりますが、知識のない人がコードを直接いじるのはおすすめできません。
WordPressはプラグインの導入であらゆる機能を強化できるのが利点でもあるので、どんどん入れて使いましょう。(ただし入れすぎは脆弱性を生む要因になりますし、サイトの表示スピードが遅くなるリスクもあります。必要ないものは入れないようにすることも重要です。)
今回紹介するプラグインだと「SiteGuard WP Plugin」で管理画面をカスタマイズできます。特にセキュリティ関連のプラグインはどんなサイトにも適用できるので、もし入っていないプラグインがあれば導入しておくことをおすすめします。
おすすめセキュリティ対策プラグイン一覧
| おすすめ度 | プラグイン名 | 主な機能 |
|---|---|---|
| ★★★★★ | SiteGuard | 管理画面のカスタマイズ |
| ★★★★★ | Wordfence | サイバー攻撃防止 |
| ★★★★☆ | BackWPup | データのバックアップ |
| ★★★★☆ | Easy Updates Manager | 自動更新アシスト |
| ★★★★☆ | Akismet | スパムコメント防止 |
| ★★★☆☆ | Meta Generator and Version Info Remover | バージョン非表示 |
| ★★★☆☆ | Two-Factor | ログイン二段階認証 |
2.【導入必須編】WordPressセキュリティ対策プラグイン
まずは導入ほぼ必須の基本プラグインをご紹介しましょう。
これから挙げるもの以外にも類似するプラグインはいくつかありますが、今回は当社のセキュリティ保守エンジニアが実際に導入しているものをピックアップします。
SiteGuard:管理画面のカスタマイズ
管理画面をカスタマイズすることができるプラグインです。先述したようにデフォルト設定だとログイン画面から不正アクセスされやすいので、ぜひインストールしておきましょう。
●主な機能
- URL変更
- 管理ページへのアクセス制限
- 画像認証追加
- ログインアラート(メールでの通知) など
Wordfence:サイバー攻撃防止
セキュリティ全般を保護してくれる便利なプラグイン。セキュリティ機能を提供しているプラグインは多種ありますが、当サイトではWordfenceを使っています。
さまざまなセキュリティを一括で実装してくれる上、アップデートも頻繁にあるので安心して使えるプラグインです。
●主な機能
- WAFの設置
- ファイアウォールの設置
- マルウェアスキャン
- ログイン二段階認証
- RECAPTCHA(フォームの不正アクセス防止)
- 侵入アラート
- テーマ、プラグインの脆弱性監視、通知 など
有料版と無料版がありますが、基本的な機能は無料版でも揃っています。
3.【導入推奨編】WordPressセキュリティ対策プラグイン
導入推奨編のプラグインは利用している機能やサーバーの仕様によっては導入をおすすめしているものです。必要なければ入れなくても問題ない場合もありますが、基本的には入れておいたほうがよいでしょう。
当社の保守サービスでは、サイトの状況を見つつ基本的にBackWPupとEasy Updates Managerの導入をおすすめしています。
BackWPup:データのバックアップ
アップデート時の障害やサイバー攻撃の被害にあったときなどには、まず元あったデータを復元する必要があります。
レンタルサーバー(ホスティング)と契約している場合は利用しているサービスによってバックアップ機能がついていることもありますが、自社サーバーを使っている場合や契約サーバーにバックアップ機能がない場合は導入必須のプラグインです。
Easy Updates Manager:自動更新アシスト
WordPressの本体(コア)は自動更新設定が可能で、プラグインとテーマも自動更新機能がついているものも多くあります。
しかし中には自動更新機能がデフォルトでついていないものもあるので、このプラグインを使って自動更新を管理しておくとよいでしょう。自動更新によってアップデートのし忘れによる脆弱性の発生を防ぐことができます。
プラグインの自動更新については「【WordPress担当者必見】プラグインの自動更新機能について!停止方法も解説」もご覧ください。
Akismet:スパムコメント防止
スパムコメントを自動的にスパムフォルダへ振り分けるプラグイン。
ブログやオウンドメディアなどを運用していてコメント欄を実装している場合は導入必須です。コメント欄がない場合は入れなくてもよいでしょう。
4.【あったら便利編】WordPressセキュリティ対策プラグイン
ここからはサイトのセキュリティをさらに強化するためにあったら便利なプラグインをご紹介します。
先述しましたが、プラグインはたくさん入れすぎるとサイトが重くなってしまう可能性もあります。デメリットも考慮したうえで導入してください。
Meta Generator and Version Info Remover:バージョン非表示
WordPressのバージョンを外部から非表示にしてくれるプラグイン。
バージョンの非表示はプラグインを使わなくてもテーマのファイル(functions.php)の記述を変更すれば比較的簡単に実装できます。しかし、「コードを編集するのは怖い」という人は導入しておくといいかもしれません。
ただし24年2月時点で半年間アップデートの通知がないので、これ以上未更新の状態が続くようならインストールはやめておいた方がいいでしょう。導入を検討している方は最新の更新情報を確認してみるのをおすすめします。
Two-Factor:ログイン二段階認証
現在はWordFenceに二段階認証システムが搭載されているため、基本的には必要ないプラグインです。ただし、Wordfenceの二段階認証はアプリを導入しなければならないワンタイムパスワード式で少し手間がかかるので、メール認証、セキュリティキーの認証など違う手段でログインしたい方におすすめです。
5.まとめ
WordPressのセキュリティ対策にはプラグインの導入が欠かせません。管理画面のカスタマイズやWAFを設置できるプラグインをインストールすることで、ある程度のセキュリティを確保することができます。
まだ対策がきちんとできていない方は早めに導入しておきましょう。
ただし中には機能が被っている場合や、サイトの軽量化などを考えるとプラグインではない方法で実装した方がよい場合もあります。
また、「入れたから安全」というわけでもありません。プラグインだけでは回避しきれない攻撃がある点にも注意しましょう。
管理が難しいと思うのであれば、サイト保守に代行してもらうのも一つの手です。特に自社サイトの運用に手が回っていないようなら導入を検討してみてください。
ECマーケティングのWordPress丸ごとお任せ(保守)サービス
自社サイトのセキュリティに不安がある企業でも安心してサイトを運営できるよう、セキュリティ管理のプロが徹底的にサポートします。
当社の保守サービスではバックアップやアップデートの管理からメールサポートでの疑問解消まで、WordPressの運用・管理をあらゆる角度から支援します。
オプションでサーバー保守・障害時の復旧まで承りますので、まずはお問い合わせください。
