WordPress(ワードプレス) は、機能的にも優れていて、無料で使えるため、とても便利なブログシステム(CMS)なのですが…
裏を返すと、それだけ利用者が多いので、クラッカー(悪意をもつハッカー)からも狙われやすいシステムでもあるんですよね。
ご存知ですか?今では、3つに1つのホームページ(Webサイト)が WordPress でつくられているんです。世界で最も人気のシステムなんですよね。
CMSシェア、WordPress が60%へ | マイナビニュース
そのため、クラッカーからも狙われやすく、セキュリティ対策が必須となっているんです。もし、Wordpress(ワードプレス)へ不法侵入されたらどうなると思いますか?
悪ふざけのものから、サイトを改ざんされてしまったり、踏み台として迷惑メールを送信されたり、個人情報を盗まれる事例までたくさんの被害があります。
WordPressはセキュリティ対策しないと危険!乗っ取りされた事例をご紹介 / 美容室ビズ
WordPress を使っていると、セキュリティはどうしても気になるところですよね ^^
なので今回は、セキュリティ対策として最低限この7つだけは、ぜひやっておいてくださいね。っというものだけをお話させてもらいます。
この7つの対策をやっておくだけでも WordPress のセキュリティレベルはかなり上がりますので、ぜひ参考にしてみてくださいね。
最低限これだけはやっておきたい!WordPressのセキュリティ対策 7選
1. 常に最新のシステムにアップデートしておく
先ほどもお話したとおり、Wordpress(ワードプレス) は世界中でたくさんの人に利用されています。つまり、世界中のいろんな人が WordPress のシステム構造を知っているんです。
この状況を例えるなら、自分の家の間取りや防犯システムの仕組みが、泥棒にまで知られてしまっているような、かなりヤバイ状態です。^^;
クラッカー(悪意をもつハッカー)は、どこから侵入すればいいのか研究し放題ですよね。一方、利用者からしてみると危険と隣り合わせで落ち着いていられない状態です。
だからこそ、Wordpress のシステム(本体プログラムとプラグイン)をアップデートして、常に最新の状態に保っておくということが大切なんです。
WordPress は、定期的に脆弱性(セキュリティ的に弱いところ)を解消し、セキュリティを強めていってくれています。
そして利用者に対してアップデートをうながしてくれます。 WordPress から通知がきたら必ずアップデートをしてくださいね。
2. ユーザー名に admin を使わない
WordPress(ワードプレス)を設置したときのID(ユーザー名)は、最初はすべて “admin” なんです。っということは、クラッカー(悪意をもつハッカー)からすると、
「 とりあえず “admin” から攻めてみようかな~♪ だって何も知らず、最初のユーザー名(admin)を使ってる人いそうだしな (* ̄ー ̄)♪ 」
となるわけです。
WordPress を設置し終わったらすぐにユーザー名 “admin” を削除して、新ユーザー名(任意の名前)を設定しましょうね ^^
削除・設定のやり方がわからない方は以下のページを参考にしてみてください。
WordPressのユーザー名(admin)を変更・削除する方法 | WordPress資料一覧 | はっちゃんの初心者 向けWordPressセミナー
3. パスワードを長く(複雑に)しておく
WordPress(ワードプレス)を使うとき最も注意したいのがパスワードです。
SNSで使っているパスワード、自分の誕生日、電話番号など、覚えやすいパスワードを使いがちですが、パスワードは他人から想像しにくいパスワードに設定してくださいね。
でないとクラッカー(悪意をもつハッカー)からパスワードを見破られ、攻撃される可能性がでてきますので。
クラッカーから WordPress を守るパスワードは、いってみれば敵から身を護る防護服!スーパー最強防護服にしなければなりません!
なのでパスワードを設定するときは、パスワードレベルを「非常に脆弱」→「脆弱」→「普通」→「強力」と移り変わる中の「最強」を目指してください ^^
4. なるべくプラグインは利用しない
WordPress(ワードプレス)のプラグインってすごく便利なモノなのですが、便利だからといって、何でもかんでもプラグインで対応させるには、ちょっと考えものなんです。
なぜかというと、プラグインは装着すればするほどセキュリティホール(セキュリティの穴)が空いてしまう可能性が高くなり、クラッカー(悪意をもつハッカー)から侵入されやすくなってしまうからです。
とはいっても、プラグインの開発者も、その穴を塞ぐために改修をしてアップデートしてくれたりするので、きちんと管理されてあるプラグインではそんなに心配する必要はありません。
ただ、ここでお話したいことは、
- 世の中には悪意をもってつくられたプラグインもある。
- 悪意はなくても、きちんと管理されていないプラグインはたくさんある。
- つくりっぱなしでセキュリティ的に弱くなっているプラグインもたくさんある。
- 管理されずに動かなくなってしまっているプラグインもたくさんある。
ということです。
だから、使用頻度が少ないプラグインは利用しないほうがよいですよ。不要なプラグインは消しておいたほうがよいですよ。ということなんです。
何事にもいえることなんですが、絶対安全なモノ(プラグイン)って無いんですよね。なので、なるべくプラグインは利用しないでリスクは最小化しておきましょう ^^
5. ログイン画面へ Basic認証(ベーシック認証)を追加する
「はっ?べ、べーしっくにんしょう?何それ?」っという声が聞こえてきそうですが(笑)大丈夫ですよ!すーんごく簡単です ^^
Basic認証(ベーシック認証)とは、Webページを表示するために、IDとパスワードを入力してもらおうという認証システムのことです。
WordPress(ワードプレス)のログイン画面(URL)は
https://example.com/wp-login.php
というふうに、URLの末尾の部分(wp-login.php)が決まっているので、誰でもログイン画面にアクセスすることができてしまいます。
それによってクラッカー(悪意をもつハッカー)によってつくられたプログラムなどが、IDとパスワードをランダムで入力(総当たり攻撃)し、侵入してくる可能性があるんですよね。
なので、Wordpress のログイン画面に Basic認証を追加することで、侵入者に対してもうひとつの砦をつくりましょうということなのです。
(ログイン画面を開くために認証作業を加えましょうということです。)
簡単にいうと「二段階認証」するということですね。ログイン画面を開くためにログインするようなイメージです ^^
実は、Wordpress のハッキングで、最も多い事例は、ログイン画面からの侵入です。(ログインID、パスワードをプログラムで総当たり攻撃されて破られてしまう。)
そのため、Basic認証(ベーシック認証)は、とても効果的なセキュリティ対策になります。とてもオススメのセキュリティ対策なのでぜひ対応しておいてくださいね。
設定方法は以下のページが参考になります。
6. wp-config.php へのアクセスを制限する
これまた難しい言葉がでてきましたが ^^; 簡単にいうと、
WordPress(ワードプレス)のシステムの中にある wp-config.php というファイルに対して、外部からアクセスできないようにブロックしましょうという話なんです。
なぜアクセスさせないほうがよいのかというと、wp-config.php というファイルにはスゴク大切な情報(データベースにアクセスするためのIDやパスワード)が入っているんですよね。
で、もし、ファイルが盗み取られてデータベースに侵入されてしまうと、記事、写真、タイトル、設定、すべてグチャグチャにされたり、書き換えされたりする可能性があります。
だからこんなに大切なファイルは、外部からアクセスできないようにして、クラッカー(悪意をもつハッカー)の攻撃から守りましょう!という話なんです。
少し難しいかもしれませんが、設定方法についての参考ページを掲載しておきますので、ぜひ設定しておいていくださいね。
WordPress「wp-config.php」へのアクセスを.htaccessにて拒否|Aoplanning
7. 定期的にバックアップする
バックアップは、セキュリティ対策とはちょっと異なりますが、Wordpress(ワードプレス)のデータを守るという意味では同じなので、ぜひ一緒に対策しておいてくださいね。
バックアップは手動でしてもいいですが、オススメの方法はサーバー会社側で定期的に自動バックアップしてくれるサービスを利用することです。
(定期的に手動でバックアップできる人って、たぶん少ないと思うので。すぐ忘れちゃったり、めんどくさかったりするからですね ^^; )
バックアップのサービスはサーバー会社によって、最初から含まれていたり、追加オプションだったりするので、これから WordPress の活用を考えている方は、サーバー会社を選ぶ段階から検討してみてくださいね。
まとめ
WordPress(ワードプレス)はとても便利で人気のブログシステム(CMS)であるため、それに比例してクラッカー(悪意をもつハッカー)から狙われやすくなっています。
そのため、Wordpress を活用する際は、きちんとセキュリティ対策をしておきましょう。
きちんとセキュリティ対策をしていないと、がんばって書いたブログ記事がぜんぶ消えてしまうという最悪なこともありえます。
(書いた記事がぜんぶ消える…。ヒャー考えただけで恐ろしい惨劇ですね。ブログ記事を書く労力・ブログから得られていた効果を一瞬で失うと考えたら大損害になるはずです。)
セキュリティ対策において完璧というものはありませんが、ここでご紹介した内容だけでもだいぶ効果的なので、ぜひ実践してみてくださいね。
WordPressはセキュリティ対策しないと危険!乗っ取りされた事例をご紹介 / 美容室ビズ