WordPress(ワードプレス)のセキュリティ対策

WordPressのセキュリティ

WordPressにはWEBサイトの改ざん、個人情報の流出、迷惑メールの踏み台になることがあります。もちろん、これはWordPressに限ったことではなく、HTMLのみで作ったサイト、ムーバブルタイプで作ったサイト、PHPで作ったサイト、その他CMS(コンテンツ管理システム)で管理されているサイト、すべてがそのリスクがあります。

また、管理されているWEBサイトのみならず、WEBサーバーやデータベース(MySQL)に対して直接攻撃を仕掛けてくる場合もあります。

理由は様々であり、一概には言えませんが、単なる嫌がらせ、ハッカー自身の自己顕示欲の誇示、政治的な主張を反映させたいサイバーテロなどがあります。

ここで大切ななのはいくらサイト運営者が正しい目的でWEBサイトを運営していたとしても残念ながら世の中にはそういうことをする悪い人間がいるということを周知する必要があるということです。

WordPressに絶対的なセキュリティに関する解決方法はない

厳しい言い方になりますが、残念ながらWEBサイトを運営する以上、すべてのリスクを回避する方法はありません。ハッカーによる攻撃は日々進化し、特にWordPressの場合オープンソースソフトウェアという特性上、プログラムが公開されています。当然ハッカーはそのプログラムの盲点をつき、あらゆる手段を用いてサイトに攻撃を仕掛けてきます。私たちサイト運営者に出来ることは出来る限り、リスクを低減させることです。実際、確実にゼロに出来るとは言えませんが、少なくとも我々が運営するサイトに於いては未だ不正アクセス、サイトの改ざんなどを受けたことがありません。もちろん、この先もそうだとは言えませんが、適切な対策をすることによって安全なサイト運営が出来ることは間違いありません。また、上にも書いた通り、悪いことをする人間がいるという「性悪説」を前提に考えればサイトの定期的なバックアップも必要になってきます。万が一、サイトが改ざんされてしまったとしてもバックアップを取っておけば復元が可能です。

要はいかにリスクを低減させるかによります。

WordPress救急隊にご相談される方で最も多いのが不正アクセスされ、サイトを改ざんされた(ログインパスワードを変えられサイトに入れなくなった)というものです。

しかし、よくよく聞いてみると、殆どが単純なID(初期IDのadminのまま)と簡単なパスワードだったりすることが殆どです。また、ログインするパソコンにセキュリティソフトが入っておらず(入っていても停止しているという場合もあります)、知らないうちにパソコンがウイルスに感染して、ID、パスワードを覗き見されているということがあります。

WordPressそのものに対するセキュリティ対策はもちろんですがアクセスする媒体にも当然セキュリティ対策は必要ということです。ウイルスバスター、ノートン、ESETなどのウイルス対策ソフトは必ず入れてください。無料でインストールできるWindows Defenderというセキュリティ対策ソフトもありますが、マルウェアの誤検知が多く、個人的にはあまりお勧めはしておらず、弊社ではESETを利用しています。当然、漫画喫茶、ネットカフェなどのパソコンからのログインは絶対に控えるべきです。閲覧するだけであれば問題ありませんが、中にはキーロガーというソフトを利用して他人のパスワード、IDを不正に取得する人がいます。

キーロガー(Keylogger、またはKeystroke logging)とは、コンピュータ(パーソナルコンピュータ)へのキー入力を監視してそれを記録するソフトウェアもしくはハードウェアである。

効果の高いWordPressセキュリティ対策

初心者にでも出来る簡単で効果の高いセキュリティ対策をご案内致します。

ログインパスワードの徹底管理

意外にも多いのが辞めた元スタッフによるパスワード改ざんです。特に殆ど更新しないサイトで、管理をスタッフに任せっきりの場合、改ざんされても気づくのが遅れるということが多いです。

経営者(若しくはサイト運営責任者)の立場からすると、スタッフを常に疑うことになり、心苦しいと思いますが、結果的にサイトを改ざんされてしまったり、ログインができなくなったりすると、不利益を被るのはエンドユーザーである顧客です。情報セキュリティの徹底はサイト運営の基本と考え、ログインパスワードは徹底的に管理してください。また、WordPressのサイトを更新していたスタッフが辞める場合はその都度、パスワードを推測が不可能なものに変更してください。

安全なパスワード

総務省ではパスワードの管理として以下のものを推進定義しています。

1.名前、生年月日、電話番号、住所などから推測できないもの
2.英単語をそのまま使用しない
3.アルファベット(大文字・小文字区別あり)と数字を混在させる
4.8桁以上の文字列
5.連番や同じ数字の繰り返しなど類推されやすい安易な数字にはしない

WordPress及びプラグイン、テーマの更新

結論から言えばハッカーによるサイト攻撃はいたちごっこであり、WordPressやプラグインのバージョンがアップしたとしてもオープンソースソフトウェアの宿命故、必ずといっていいほどプログラムの盲点をついてくるのがハッカーです。

しかし、やはり検出された脆弱性の対応や不具合を修正したものが最新のバージョンであるわけですから新しいバージョンが出たら必ず更新してください。

更新時の注意

WordPress、プラグインの更新が大切だとはいえ、テーマそのものが古く更新に対応しておらず、更新ボタンを押したらサイト上部に不自然なurlが表示されたり、或いはサイト自体が真っ白になってしまうということがあります。信頼できるテーマ作成会社であればテーマも定期的に更新しているため、ほとんどそういう現象はありませんが、テーマを制作した会社が倒産などにより、そもそも無くなってしまった場合はテーマの更新はできませんので注意が必要です。その場合は一端旧バージョンの戻して、新たなテーマを導入するほうが安全です。新たなテーマを導入するとレイアウトが崩れてしまいますが、レイアウト変更についてはホームページ制作会社やWEBデザインに長けたデザイナーさんに相談するとよいでしょう。

特定のIPのみログインを可能にする

WordPressのメリットは出先からスマホでも簡単に更新できることでありますが、企業、店舗、公営団体など、個人情報を扱うようなWEBサイトの場合は情報の漏洩やサイト改ざんのリスクを考え、特定のIPからのみのアクセス可能にすればよりセキュリティ対策の性能は上がります。

SiteGuard WP Pluginの導入

SiteGuard WP PluginはWordPressにインストールするだけで、セキュリティを向上させることができるセキュリティプラグインです。日本語対応のシンプル、簡単プラグインですのでインストールすることをお勧めいたします。公式プラグインですのでダッシュボード(管理画面)のプラグインから導入が可能です。

詳しくはプラグインの制作元である株式会社ジェイピー・セキュアの公式サイト https://www.jp-secure.com/ をご覧ください。

SiteGuard WP PluginではIP制限に加え、ログイン回数制限(複数回パスワードを間違えるとそのIPからログインできなくなる)、画像認証(CAPTCHA)も可能です。

様々な不正ログインを未然に防ぐプラグインがあります

WordPressにはSiteGuard WP Pluginに限らず不正ログインを防ぐための様々なプラグインが用意されています。上手に利用して、セキュリティ対策に出来る限り、不備が出ないようにすることが大切です。また、辞めたスタッフによる不正アクセスにも注意し、スタッフが辞めた場合はその都度パスワードを特定されずらいものに変更してください。また、インターネットカフェ、図書館などにある不特定多数が利用するパソコンからのログインは厳に慎むべきです。

WordPress救急隊ではログインが出来なくなった場合でも対応が可能です

万が一、WEBサイトにログイン出来なくなった場合はWordPress救急隊にご相談ください。症状を判断して安全にログインできる環境をお作り致します。ご相談はメールフォーム、電話にて承ります。

メールフォーム
https://ws.formzu.net/fgen/

電話
050-3512-9325

ページ上部へ戻る