WordPressのセキュリティを高める、5つのステップとは?
こんにちは。Wakka Inc. Webディレクターの安藤です。
今日はベンチャー企業の創業者やエンジニアの方に向けて、意外と忘れがちなWordPress自社サイトのセキュリティ対策についてご紹介します。
特にWordPressサイトを長年運用しているとコンテンツやデータも膨大になります。蓄積された記事データなどは集客に欠かせない組織の大切な資産ですので、事業リスクにならないようしっかりとセキュリティ対策を確認することが必要です。
しかし、Webサイトはインターネット上に公開されており、誰でもアクセスすることができるため、外部からの標的になりやすいことが課題です。
そこで、今回はWordPressのセキュリティを高める5のステップをご紹介しますので、セキュリティ対策ができていない方や不安に思う方は一度チェックしてみてください。
WordPressのセキュリティ強化にはヘッドレスCMSの導入もおすすめです。
「あなたにピッタリのヘッドレスCMS選定ガイド」でヘッドレスCMSの特徴と自社に合うかどうかの診断をすることができます。
WordPressにセキュリティ対策が必須な3つの理由
WordPressのセキュリティ対策が必要な理由は下記の3つです。
・非常に有名なCMSである
・オープンソースソフトウェアで誰でもコードを見られるから
・初心者ユーザーが多い
それぞれの理由について詳しく解説します。
有名なCMSで多くの人が使っている
有名なCMSであるという理由からセキュリティ対策が必須です。WordPressはアメリカのホワイトハウスや企業、個人ブログなど国や規模に関わらず多くの人々が使用しています。CMSの中でもシェアが高いためWordPressのセキュリティホールを1つでも見つけてしまえば、多くのサイトを攻撃できます。そのため、攻撃の対象になりやすいといえます。
オープンソースソフトウェアで脆弱性を見つけやすい
2つ目はオープンソースソフトウェアであるということです。インターネット上に無料で公開されており、誰でもPHPファイルの中身を見ることができます。悪意のあるエンジニアの中には、その中から脆弱性を見つけてWebサイトを攻撃する人もいるのです。有料で公開されているものとは異なり、簡単にソースコードが見られるので、注意する必要があります。
初心者が使用しているケースが多い
3つ目は、初心者でも簡単に使用することができる点です。WordPressはカスタマイズなどを必要としない限り、CMS以外の知識は必要ありません。例えば、PHPでプログラミングをしたり、JavaScriptを使用してフロントエンド開発をしたりしなくてもWebサイトを構築できてしまうのです。場合によっては、HTMLやCSSも不要なため、初心者でも足を踏み入れやすくなっています。
しかし、その簡単さが逆に危険を招いているのです。多くの初心者は、サイトを構築することを中心に考えています。セキュリティ対策は後回しにしているケースがほとんどなので、その弱みに漬け込んで攻撃してくるハッカーも少なくありません。
また、セキュリティ対策は管理画面の設定やプラグインをインストールするだけで万全な状態にすることはできません。Webサーバーの設定ファイルを変更する必要もあるため、サーバーサイドの知識が求められます。もちろん、初心者はサーバーサイドに関する技術を持ち合わせていないので、攻撃の標的となってしまうケースが多いです。
WordPressのセキュリティを高める5のステップ
それでは早速、セキュリティを強固にする5のステップをご紹介します。最後のステップまで対策をすることで、攻撃されるリスクを大幅に減らすことが可能です。安心してサイトを運用したい人はぜひチェックしてください。
ちなみに、ご紹介するステップの中には、Webサーバーに大きな影響を与える可能性のある変更が含まれています。そのため、あまり自信のない作業は一人で対応せず経験が豊富な方に相談しながら行うようにしてください。
バージョンを確認する
WordPressやPHPは定期的にバージョンが更新されます。更新の理由はさまざまですが、脆弱性を改善するためにバージョンアップしているケースも少なくありません。もし、更新せずに古いバージョンを使用していると、脆弱性が改善されていないものをインターネット上に公開している状態になります。とても危険なので、必ず更新作業を行うようにしてください。
基本的に古いバージョンを使用している場合、下記の画像のようにダッシュボードで更新を促されます。
もし、上記のように表示されているなら、手順に沿って速やかに更新作業を進めましょう。
ファイルのパーミッションの設定を見直す
サーバーにあるそれぞれのファイルにはパーミッションが設定されています。パーミッション設定が間違っていると他者にファイルの変更や書き込み権限を与えてしまうことになり危険です。そのため、正しく変更しなければなりません。特にパーミッション設定を注意したいのが下記のファイルです。
・.htaccess
・wp-config.php
.htaccessは「604」または「606」、wp-config.phpは「400」または「600」がよいでしょう。共有サーバーの場合「400」に設定できないこともあり、WordPress.org では「600」を適切としています。コマンドでの設定の仕方は下記の通りです。
$chmod 604 .htaccess $chmod 400 wp-config.php
権限を変更したいファイルの階層まで移動し、chmodコマンドで変更します。変更にはルート権限が必要です。
ログイン画面へのアクセスを制限する
WordPressサイトは、ログインをするとき、下記のようなURLにアクセスすることが多いです。
少し知識がある人なら、他人のログイン画面にアクセスすることは非常に簡単になります。そのため、アクセスを許可するグローバルIPを指定すると、そのIPアドレスでアクセスした場合でのみ管理画面を閲覧できるようになるため、セキュリティが向上します。
WordPress直下の.htaccessに下記のコードを追加します。
<Files wp-login.php> Order deny,allow Deny from all Allow from 許可するグローバルIP1 Allow from 許可するグローバルIP2 </Files>
そして、wp-admin/.htaccessを作成し、下記の設定を追加してください。
Order deny,allow Deny from all Allow from 許可するグローバルIP1 Allow from 許可するグローバルIP2
この設定により、「グローバルIP1」と「グローバルIP2」のみがログイン画面にアクセスできます。それ以外は拒否されるため、安全性がかなり向上されるでしょう。
ユーザー名とパスワードを強化する
ユーザー名とパスワードを強化することです。例えば、下記の条件に当てはまるユーザー名はすぐに変更してください。
・ユーザー名が「admin」
・ニックネームとユーザー名が同じ
adminはデフォルトのログイン名です。そのため、ブルートフォース攻撃の対象となりやすくなっています。また、ニックネームとユーザー名が同じである場合、「https://ドメイン/auther=1」とURLに入力すると簡単にユーザー名を発見することが可能です。そのため、ニックネームとユーザー名は必ず違う表記にしてください。
パスワードも同様です。できるだけ推測されづらいものを選択します。同じ英数字の羅列、「123」というようなパスワードはやめましょう。
プラグインを利用する
5つ目は、プラグインを利用することです。WordPressには、標準でスパム攻撃からサイトを守るAkismetがインストールされています。そのほかにもプラグインをインストールすることで、サイトの安全性を高められるのでおすすめです。特に、入れておいたほうがいいセキュリティプラグインは下記の2つになります。
All In One WP Security & Firewall
こちらはサイバー攻撃からWebサイトを守るプラグインです。管理画面の悪用やパスワード攻撃を回避することができます。設定にはあまり時間がかからないので、入れておいて損はないでしょう。
Google Authenticator
2段階認証を実装できるプラグインです。プラグインをインストールして、iPhoneやAndroidにGoogle Authenticatorのアプリをダウンロードします。ログイン画面にアクセスしてアプリに記載されている数字を入力するとログインすることが可能です。2段階認証はセキュリティをより強固なものにするため、インストールしておくことをおすすめします。
WordPressのデータは資産!万全なセキュリティで危険からサイトを守ろう
今回は、WordPressのセキュリティを強化する5つのステップをご紹介しました。それぞれのステップをクリアすることで、外部の攻撃からWebサイトを守ることができます。ぜひ参考にしてセキュリティの確認をしてみてください。
サービスサイトを複数お持ちの企業では、セキュリティの確認は意外と忘れがちになりやすいですので、もし不安に思われる方がいましたら、オフショアラボ型開発サービスでWeb制作から運用保守をトータルサポートしているWakka Inc.にお気軽にご相談ください。
ヘッドレスCMSの選定にお悩みの方へ。
自社に必要なヘッドレスCMSがわかる下記資料もぜひご確認ください。
独自選定の代表的なヘッドレスCMSの特徴をもとに、誰でもヘッドレスCMSの選定ができるポイントを押さえた資料を作成しました。
学生時代にWebサイトを自作したことがきっかけでWebの世界に。制作会社でデザイン、WordPressテーマ開発の実務を経て、テクニカル・ディレクターとして大規模サイト構築のディレクションを経験。2021年からWakka Inc.の日本拠点でWebディレクターとして参画。最近はブロックエディタになったWordPressをもう一度、勉強しています。