WordPressで最低限やっておくべき4つのセキュリティ対策

WordPressで最低限やっておくべき4つのセキュリティ対策 ブログ
WordPressで最低限やっておくべき4つのセキュリティ対策
セキュリティ対策で悩んでいる人
セキュリティ対策で悩んでいる人

WordPressでブログ立ち上げたけど、初心者でもできる最低限のセキュリティ対策はしておきたい。

今日なこんな悩みを解消したいと思います。

WordPressを使っている人は多いと思いますが、意外とセキュリティの対策は甘かったりします

例えば、誰でも管理画面のログイン画面にアクセスできたり…セキュリティがガバガバですよね。

何も起こらないからいい、ではなく何か起こってからでは遅い、といった気持ちが大事で、セキュリティ対策は必ずしておくべきです。

この記事を読んでしっかりセキュリティ対策を行い、WordPressライフを楽しみましょう。

この記事では、1人でWordPressを利用する際の最低限のセキュリティ対策をご紹介しております。

複数人でWordPressを利用する際には、この記事で書いてある内容以外にも必要な対策(例えば管理者権限など)がありますので、ご注意ください。

【4つでOK】最低限やっておきたいWordPressのセキュリティ対策

【4つでOK】最低限やっておきたいWordPressのセキュリティ対策
【4つでOK】最低限やっておきたいWordPressのセキュリティ対策

最低限やっておきたいWordPressのセキュリティ対策は、

  • ログインパスワードは強固なものにする
  • 管理画面にアクセス制限をかける(Basic認証)
  • WordPressバージョンは常に最新状態にしておく
  • テーマおよびプラグインは常に最新状態にしておく

この4つです。

4つだけ?と思うかもしれませんが、これだけでも十分な対策となります。

この4つ以外の対策についても、この記事の『番外編』に記載しておりますので、是非参考にしてみてください。

では、1つずつ見ていきましょう。

その①:ログインパスワードは強固なものにする

まず、管理画面にログインするアカウントのパスワードを強固なものにしましょう。

使用する文字の種類4文字の場合6文字の場合8文字の場合10文字の場合
英字(大文字、小文字区別しない)約3秒約37分約17日約32年
英字(大文字、小文字区別)+数字約2分約5日約50年約20万年
英字(大文字、小文字区別有)+数字+記号約9分約54日約1千年約1千万年
使用できる文字数と入力桁数によるパスワードの最大解読時間(IPA,2008)

こちらは、すこし古い(2008年)データですが、英字6文字のパスワードの場合、37分で解読されてしまうというデータがあります。

こちらは、いわゆる『総当たり攻撃』(ブルートフォースアタック)と呼ばれるパスワード解読方法でのデータとなります。

サイバー攻撃の基礎にもなる手法なので、Webサービスを運営している方は、必ず覚えておきましょう。

英字6文字だと37分で解読されてしまいますが、10文字にするだけで解読時間が32年となります。

さらに数字や記号を加える事で、より解読時間が長くなりますので、これだけでもセキュリティが高まります。

そのため、

  • 定期的にパスワードを変更する
  • 辞書にある単語をそのまま使わない
  • パスワードの文字数は8文字以上にする
  • 「@」や「%」などの記号を混在させる
  • 同じパスワードを複数のサービスで使わない
  • アルファベットは小文字と大文字の両方を入れる
  • 「1234」や「abcd」などの単純な羅列は使わない

これらを意識してパスワードを設定するように心がけましょう。

その②:管理画面にアクセス制限をかける(Basic認証)

WordPressの管理画面に『Basic認証』をかけるのも大事です。

Basic認証』とは、Webサイトに対して、最も簡易的にアクセス制限をかける事ができる認証の事をいいます。

認証をかけるのって難しいのでは?と思われるかもしれませんが、数行の記述で誰でも簡単にアクセス制限をかける事が可能です。

どのような手順で制限をかけるのか、説明致します。

WordPressのサーバーにFTP接続できる事が前提の手順となります。

ステップ①:IDとPasswordの文字列作成

まず、認証するためのIDとPasswordの文字列を作成します。

作成方法はいくつかありますが、たとえばこのサイトから文字列を作成します。

試しにIDを『test』、Passwordも『test』にすると、以下のような文字列が生成されます。

test:08DJIqk5ZmDVI

ステップ②:.htpasswdファイルの設置

ステップ①で作成された文字列を記載した『.htpasswd』というファイルを設置します。

FTPでWordPressのサーバーに接続し、『wp-config.php』ファイルがある階層に『.htpasswd』というファイルを新しく作り、中身をステップ①で生成された文字列にします。

ステップ③:.htaccessファイルの編集

実際に認証をかけるため、『.htaccess』ファイルを編集します。

ファイルを編集するときには、必ず事前に対象ファイルのバックアップをとるようにしましょう。

『wp-config.php』のファイルがある階層に『.htaccess』というファイルがあり、以下の記述をファイル末尾に追記します。

<Files wp-login.php>
AuthUserFile [.htpasswdが設置してあるディレクトリ]/.htpasswd
AuthGroupFile /dev/nul
AuthName "Admin Access"
AuthType Basic
Require valid-user
</Files>

".htpasswdが設置してあるディレクトリ"については、『.htpasswd』を設置したディレクトリに、

<?php
echo __DIR__;
?>

このような記述をしたファイルを追加します。(例えばtest.phpとします。)

このファイルにアクセスすると、".htpasswdが設置してあるディレクトリ"が確認できます。

『.htpasswd』を『wp-config.php』と同じ階層に設置した場合、

https://[WordPressドメイン]/test.php

で確認できると思います。

ステップ④:アクセス確認

ステップ①〜③で正常に『Basic認証』が設定されているか、実際に管理画面にアクセスして確認してみましょう。

もし、管理画面に『Basic認証』がかかっていない or 管理画面以外にも『Basic認証』がかかっている、場合は『.htaccess』の記述を元に戻して原因を調査しましょう。

その③:WordPressバージョンは常に最新状態にしておく

WordPressの本体バージョンも常に最新状態にしておく事が大事です。

新しい機能が追加になる事はもちろんですが、ほとんどは不具合(バグ)や脆弱性の改善のため、WordPress本体がアップデートされます。

そのため、WordPress本体のアップデートがある場合は、できるだけ早めに更新を行った方がいいでしょう

ただしメジャーアップデートには注意が必要

WordPressのアップデートにはいくつか種類があります。

『ver4.8』から『var4.9』など、1つ目の小数点の値が上がる事をメジャーアップデートといいます。

『ver3.9』から『ver4.0』など、小数点より前の値が上がる事もメジャーアップデートといいます。

『ver4.8.1』から『ver4.8.2』など、2つめの小数点の値が上がる事をマイナーアップデートといいます。

マイナーアップデートは特に設定していなければ自動で更新されますが、メジャーアップデートは管理画面から手動での更新となります。

ここで注意が必要なのが、メジャーアップデートの更新は少し様子みた方がいいといった点です。

最初に、できるだけ早めに更新を行った方がいいとお伝えしましたが、メジャーアップデートは基本的にWordPress自体に大きな変更が行われます。

この大きな変更によって、不具合(例えば利用しているプラグインが使えなくなったり、その影響でWordPressサイトが表示できなくなる)や脆弱性のリスクも少なからずあるためです。

そのため、メジャーアップデートの更新については、その後にあるマイナーアップデートがあるまで待った方がいいとされています。

その④:テーマおよびプラグインは常に最新状態にしておく

テーマやプラグインも常に最新状態にしておく事が大事です。

WordPressの本体バージョンと同様に、できるだけ早めに更新を行った方がいいでしょう

使わないテーマやプラグイン、信頼性のないテーマやプラグインは削除しておくようにしましょう。

【番外編】さらにやっておくといいセキュリティ対策

【番外編】さらにやっておくといいセキュリティ対策
【番外編】さらにやっておくといいセキュリティ対策

最低限やっておきたいセキュリティ対策を紹介しましたが、番外編でさらにやっておくいいセキュリティ対策を紹介します。

  • HTTPS環境にする(SSL導入)
  • 管理画面にIPアドレス制限を入れる
  • プラグインでセキュリティ対策を入れる

その①:HTTPS環境にする(SSL導入)

WordPressサイトにSSLを入れる事ができれば、極力入れておいた方がいいでしょう。

レンタルサーバー側でSSLを提供しているところもありますので、詳しくはWordPressを設置しているレンタルサーバーへお問い合わせください。

SSLとは簡単にいいますと、インターネット上でのデータ通信を暗号化し盗聴や改竄を防ぐ仕組みとなります。

その②:管理画面にIPアドレス制限を入れる

固定IPアドレスを持っている人は、管理画面にIPアドレス制限を入れるのもいいでしょう。

設定は簡単で、『.htaccess』の末尾に、

<Files wp-login.php>
Require ip [固定IPアドレス]
</Files>

このように追加するだけで、管理画面に対しIPアドレス制限がかけられます。

パスワードをより強固にする事も大事ですが、IP制限をかける事によって、さらに管理画面に関してのセキュリティ対策はより強力になります。

その③:プラグインでセキュリティ対策を入れる

僕はあまりプラグインには頼りたくはないのですが、便利なプラグインはたくさんあります。

その中でも、

  • 二段認証(『Two-Factor』や『Two Factor Authentication』など)
  • 管理画面全般のセキュリティ対策(『SiteGuard WP Plugin』など)

この辺りのセキュリティ対策のプラグインは入れておいてもいいかもしれません。

まとめ

最低限やっておきたいWordPressのセキュリティ対策のまとめ
  • ログインパスワードは強固なものにする
  • 管理画面にアクセス制限をかける(Basic認証)
  • WordPressバージョンは常に最新状態にしておく
  • テーマおよびプラグインは常に最新状態にしておく
  • HTTPS環境やプラグインを使ったセキュリティ対策も

最低限やっておきたいWordPressのセキュリティ対策を紹介させて頂きました。

どの内容も簡単ですぐに行える対策ですが、わりと大きめなWordPressのサイトでもセキュリティ対策があまいところが多々あります

何かあってからでは遅いので、最低限でもこの記事にある対策は行うようにしましょう。

最後まで読んでいただきありがとうございました!