ワードプレスは使いやすいCMSである反面、セキュリティ面が弱いと言われています。
なぜなら、オープンソースであるWordPressは誰でもプログラム構造や仕組みを見ることができるため、脆弱な箇所を見つけられやすく、使っている人口も多いので標的にされやすいためです。
そこで、この記事ではプラグインを導入するだけで簡単にできるWordPressのセキュリティ対策について紹介しています。WordPressで既に運用している方や、これから運用を考えてる方の参考になればと思います。
目次
セキュリティ対策ができる2つのプラグイン
「All In One WP Security & Firewall」
このプラグインは、パスワードを数回間違えたときに、「一定時間ログインページにアクセスできなくなるロック機能」や「海外からWordPressの管理画面にアクセスするのを防ぐ機能」の設定ができます。
このプラグインで「ログインの失敗回数を制限するため」の設定します。
ダッシュボードから「WPセキュリティ」→「ユーザーログイン」へと進みます。
赤枠内の「ログインロックダウン機能を有効化」と「ロック解除リクエストを許可」にチェックを入れます。
その下の「最大ログイン試行回数:5」「ログイン再試行時間:10」「ロックアウト時間の長さ:60」と入力すると「ログイン回数は10分以内に5回までで、失敗したときは60分後に再アクセスできる」という設定になります。
自分で設定したいように数字を入力してください。
「SiteGuard WP Plugin」
このプラグインでは「ログイン画面に画像認証を追加」と「ログイン画面のURLを変更する」設定を行います。
初期設定のままだと、WordPressで運用しているサイトのドメインの末尾に「/wp-login.php」「/wp-admin」を付ければ、誰でも簡単にログイン画面にアクセスできてしまいます。不正ログインされてしまうリスクを下げるため、ログイン画面のURLを変更しましょう。
ダッシュボードから「SiteGuard」>「ログインページ変更」へ進みます。
「変更後のログインページ名」に任意の英数字を入れて、ログイン画面のURLを変更してください。その下のオプションにチェックを入れて、以前のログインURLから変更後URLにリダイレクトしないように設定します。その後、変更を保存してください。
※変更後のログインURLをメモするなどして、忘れないようにしてください。
次に、ダッシュボードから「SiteGuard」へ進んで以下のようにチェックマークが付いているのを確認してください。
「画像認証」にチェックマークを入れると、ログイン画面に画像認証を追加できます。
その他セキュリティ強化の基本的な対策
パスワードを複雑なものに設定する
まず、簡単なパスワードや他で使っているパスワードの使い回しはせず、複雑なものに設定しましょう。
また、パスワードの桁数を増やすことでブルートフォース攻撃(可能な組み合わせを全て試して、パスワード突破を試みる攻撃)の予防になります。その他には、下記の点に注意して、パスワードを作成してください。
- 英語、数字、記号の3種類を使う
- 意味のある英単語を使わない
- 連続した数字を使わない
パスワード作成ツールを使えば簡単に強力なパスワードを作成できます。
WordPress本体やテーマ、プラグインのバージョンを常に最新にする
WordPress本体やテーマ、プラグインのアップデートを忘れず、常に最新の状態にしましょう。
また、テーマやプラグインを利用する際は脆弱性が少ないWordPress公式のものを選び、使わなくなったプラグインは残したままにせず削除しましょう。
管理画面上でプラグインやテーマを編集できないようにする
WordPressでは管理画面からプラグインやテーマのソースコードを書き換えられる機能があります。しかし、通常、WordPressの管理画面上での書き換えは一般的ではありません。そのため、管理画面に不正アクセスされてしまった場合のリスクを想定して、管理画面からのプラグインやテーマ編集をできないようにしましょう。
設定方法
1.「wp-config.php」のファイルを開く
2.「define( ‘WP_DEBUG’, false )」という記述の下に「define( ‘DISALLOW_FILE_EDIT’, true );」と追加する
弊社シロクロでは、WordPressでのサイト構築を得意としています。WordPressに関するお悩みやご質問がありましたら、お気軽にご相談ください。【お問い合わせはこちら】