WordPressはサーバー上にプログラムを置いて使うツールなので、その性質上セキュリティ対策が必要です。改ざんも遠いどこかの大企業の話じゃなく、個人商店レベルの規模でも実際に起こっています。
「IT詳しくないから」と見て見ぬふりする人が多いですが、実際はそんなに難しいことじゃないので、WordPressのセキュリティ対策、ぜひご自身でもやってみてください。
WordPressのセキュリティを無視するとどうなる?
WordPressのセキュリティを無視して、安全じゃない使い方をしていると、こういう事故にあう可能性があります。
- WordPressに知らない人が勝手にログインして、内容がごっそり書き換えられた
- 勝手にログインされて、個人情報を持っていかれた
- WordPress内のプログラムをあやつられて、下世話な広告が勝手に出るように改ざんされた
- 他のサーバーへの悪意ある行為への踏み台にされた
「改ざん? ハッキング? そんなのゴリゴリのIT系の世界だけの話でしょ?」って思っておられる方が多いです。それは全くの勘違いです。WordPressを使うなら、一般個人でも他人事ではありません。
じっさい私の周りでも、非IT職の個人事業主の方がこういう目にあったという話も聞いています。また中小企業のWordPress製サイトで改ざんが発生、それに対応する仕事をしたこともあります。
WordPressは世界のウェブサイトの4割以上で使われています。それだけ狙われやすいのです。
「初心者だから」は一切通用しない
ところが残念なことに、WordPressを使っていてもセキュリティには無関心な方が多いです。「うちはITに詳しいスタッフがいなくて」「WordPressは初心者なので」といった理由です。
セキュリティには言い訳は通用しません。なぜなら、悪意の人があなたのITスキルを勘案して手加減してくれるなんてこと、どう考えてもありえないからです (笑)。
「セキュリティ対策」っていうとなんか恐ろしげで敬遠してしまうのですが、ようは「守るべきことを守って使おうね」ということなんです。
たとえば花火をするときに、守るべきルールがあるでしょ?「水の入ったバケツを用意しましょう」とか「振り回したり人に向けてはいけません」とか。ルールを守らないと火事になったり、人に迷惑をかけたりしますね。
かんたんにいえば、それと同じようなことです。
「これひとつだけやれば完璧!!」な対策は存在しない
セキュリティ対策においては「これさえやっておけばOK」という単発の答えは存在しません。そういうのを求めている人もいると思いますが。もしも「WordPressのセキュリティを守るためにやるべきたった一つのこと!!!!!」という記事があったとしたら、それは素人が書いたと思っていただいて結構です。
たとえば「うちはWordPressのログインURLをデフォルトから変更してあるので、これでセキュリティはバッチリ」と考えるのは間違いです。
セキュリティ対策は、可能な対策をいくつか組み合わせることが基本です。
WordPressのセキュリティ対策 – やること
とはいえ、それぞれの対策は行為としてはさして難しいものではありません。WordPressのセキュリティを守るためにできることを挙げます。
「サイトヘルス」を良好 (緑色) にする
WordPressに組み込まれている「サイトヘルス」が常に「良好」のステータスになるようにしておきます。「サイトヘルス」の表示はWordPress管理画面にログインすると目にするダッシュボードにあります。ここから「サイトヘルス」画面を見て、問題が指摘されていれば対処します。
WAFを利用する
WAFをONにします。WAFはウェブ上のプログラムの動作を監視して悪意のある動作をブロックします。これはレンタルサーバーに搭載されている機能です。設定箇所はレンタルサーバーのコントロールパネルのどこかにあるはずです。ただし一部のWordPressプラグインはWAFとの相性が悪いので、一時的にONにしたりOFFにしたりという操作が必要になることがあります。
FTPの設定を強くしておく
レンタルサーバーではFTP (サーバー上のファイルを操作できる機能) が提供されているはずです。FTPの接続方法にはいくつか種類があります。セキュリティがより強固なSFTP方式をできる限り使うようにします。また、特定のIPアドレスからのみFTPのアクセスを許可するのも有効です。
スタッフ1人に1アカウントを発行する
WordPressのログインIDは使い回しをせず、スタッフ1人に1つのアカウントを発行します。管理者のパスワードを複数の人に知らせれば、それだけ危険も高まるからです。また、スタッフが退職した場合の対応にも便利です。
常時SSL化する
ようはウェブサイトのURLが https://〜 で始まるように設定しておくこと。これはレンタルサーバーやドメイン販売会社のコントロールパネルで設定する必要があります。
設定ファイル権限を読み込み専用にする
WordPressが必ず持っている設定ファイル wp-config.php のファイル権限を読み込み専用 (400 または 600) にしておきます。これはFTPソフトなどを使って変更することができます。wp-config.php の書き換えによる改ざんが狙われやすく、それを防ぐためです。
セキュリティプラグインをどれかひとつ使う
WordPressのプラグインの中に、セキュリティ対策のためのものがあります。どれかひとつインストールして有効にしておいてください。悪意のあるログインを見張ったり、ログインに画像認証を追加できるものなどさまざまです。おすすめのプラグインは後述します。ただし、セキュリティプラグインを複数入れないでください。
WordPressのセキュリティ対策 – やってはいけないこと
パスワードをかんたんなものにしてはいけません
これが基本中の基本です。WordPressでIDを作ろうとするととても複雑なパスワードを自動でおすすめしてくれます。それを使いましょう。
もはやパスワードは覚えておいて手入力するものではなく、パスワード管理ツールに入力させるもの、と考えを変えましょう。パスワード管理ツールの基本的なものはWindows「資格情報マネージャー」、Google「パスワードマネージャー」、Mac/iPhone/iPad「キーチェーン」などです。
パスワードを使い回してはいけません
どのIDもパスワードが同じだとしたら、どれかがクラックされたら他もそうなる可能性が高まります。だからパスワードはIDごと、サイトごとに違うものを使いましょう。WordPressに関係のない他のサイトのパスワードとかぶるのも避けましょう。そうなると覚えておけないのが普通なので、やっぱりパスワード管理ツールを使うべきです。
ユーザー名を「admin」や「user1」にしてはいけません
悪意のログインの大半が、まずはこれらのIDでのログインを試すからです。
WordPressを更新しないまま使ってはいけません
WordPress本体の更新と、プラグインの更新があります。更新にはセキュリティホールや脆弱性への対応が含まれる場合があります。更新しないまま使うことはこれらを放置したままにするということです。だからWordPressは常に更新しながら使うのが当然と考えてください。
WordPressのセキュリティプラグインの定番
WordPressのセキュリティプラグインでよく使われているものを2つ紹介します。
SiteGuard
ログインURLを変更したり、ログイン時に画像認証をつけたりする機能があります。このプラグインはWordPress管理ページへのログインの保護を強化するという意味合いが強いです。日本では好んで使っている人が多いです。
Wordfence
ログインを2段階認証にしたり、ファイルスキャン (怪しいファイルが含まれているかどうかのチェック)、悪意あるアクセスの記録など多彩な機能を持っているWordPressプラグインです。世界的にみてかなりよく使われています。
セキュリティが脅かされてたらウェブ集客どころじゃない
- 「ウェブサイトを集客に役立てたい」
- 「問い合わせの来るウェブサイトにしたい」
とお考えのことでしょう。でも、ウェブサイトが改ざんされたり、乗っ取られたりの危険があるようでは、集客どころの話じゃないですね。
だからぜひ、WordPressのセキュリティが守られるような使い方をしてください。
いろんな対策を挙げましたが、全部できなくてもいいです。状況はウェブサイトによってまちまちですので、場合によっては「その対策をやると運用上すごく不便」というものもあるかもしれません。それでもいいと思います。そのかわり、できることは対策しましょう。
WordPressのセキュリティでわからないこと、難しいなと思うことがありましたら、ぜひFactory70までご相談くださいね。