プラグインを導入するだけ! 簡単にできるWordPressセキュリティ対策

ワードプレスは使いやすいCMSである反面、セキュリティ面が弱いと言われています。

なぜなら、オープンソースであるWordPressは誰でもプログラム構造や仕組みを見ることができるため、脆弱な箇所を見つけられやすく、使っている人口も多いので標的にされやすいためです。

そこで、この記事ではプラグインを導入するだけで簡単にできるWordPressのセキュリティ対策について紹介しています。WordPressで既に運用している方や、これから運用を考えてる方の参考になればと思います。

セキュリティ対策ができる2つのプラグイン

「All In One WP Security & Firewall」

このプラグインは、パスワードを数回間違えたときに、「一定時間ログインページにアクセスできなくなるロック機能」や「海外からWordPressの管理画面にアクセスするのを防ぐ機能」の設定ができます。

このプラグインで「ログインの失敗回数を制限するため」の設定します。

ダッシュボードから「WPセキュリティ」→「ユーザーログイン」へと進みます。

赤枠内の「ログインロックダウン機能を有効化」と「ロック解除リクエストを許可」にチェックを入れます。

その下の「最大ログイン試行回数：5」「ログイン再試行時間：10」「ロックアウト時間の長さ：60」と入力すると「ログイン回数は10分以内に5回までで、失敗したときは60分後に再アクセスできる」という設定になります。

自分で設定したいように数字を入力してください。

「SiteGuard WP Plugin」

このプラグインでは「ログイン画面に画像認証を追加」と「ログイン画面のURLを変更する」設定を行います。

初期設定のままだと、WordPressで運用しているサイトのドメインの末尾に「/wp-login.php」「/wp-admin」を付ければ、誰でも簡単にログイン画面にアクセスできてしまいます。不正ログインされてしまうリスクを下げるため、ログイン画面のURLを変更しましょう。

ダッシュボードから「SiteGuard」>「ログインページ変更」へ進みます。

「変更後のログインページ名」に任意の英数字を入れて、ログイン画面のURLを変更してください。その下のオプションにチェックを入れて、以前のログインURLから変更後URLにリダイレクトしないように設定します。その後、変更を保存してください。

※変更後のログインURLをメモするなどして、忘れないようにしてください。

次に、ダッシュボードから「SiteGuard」へ進んで以下のようにチェックマークが付いているのを確認してください。

「画像認証」にチェックマークを入れると、ログイン画面に画像認証を追加できます。

その他セキュリティ強化の基本的な対策

パスワードを複雑なものに設定する

まず、簡単なパスワードや他で使っているパスワードの使い回しはせず、複雑なものに設定しましょう。

また、パスワードの桁数を増やすことでブルートフォース攻撃（可能な組み合わせを全て試して、パスワード突破を試みる攻撃）の予防になります。その他には、下記の点に注意して、パスワードを作成してください。

• 英語、数字、記号の3種類を使う
• 意味のある英単語を使わない
• 連続した数字を使わない

パスワード作成ツールを使えば簡単に強力なパスワードを作成できます。

WordPress本体やテーマ、プラグインのバージョンを常に最新にする

WordPress本体やテーマ、プラグインのアップデートを忘れず、常に最新の状態にしましょう。

また、テーマやプラグインを利用する際は脆弱性が少ないWordPress公式のものを選び、使わなくなったプラグインは残したままにせず削除しましょう。

管理画面上でプラグインやテーマを編集できないようにする

WordPressでは管理画面からプラグインやテーマのソースコードを書き換えられる機能があります。しかし、通常、WordPressの管理画面上での書き換えは一般的ではありません。そのため、管理画面に不正アクセスされてしまった場合のリスクを想定して、管理画面からのプラグインやテーマ編集をできないようにしましょう。

設定方法

1.「wp-config.php」のファイルを開く

2.「define( ‘WP_DEBUG’, false )」という記述の下に「define( ‘DISALLOW_FILE_EDIT’, true );」と追加する