WordPressのセキュリティ対策10選

スパムメールに記載されているパスワードが自分のものだったWEB制作・集客
2018.09.04
この記事は約4分で読めます。

WordPressはよく狙われるCMS

WordPressは無料かつプラグインが豊富なことで、世界中で利用されているCMSです。
しかし、利用数が多いからこそ、よく狙われてしまいます。
(決してWordPressがセキュリティが弱いシステムだからという理由ではありません。)

狙われるとは、具体的にはコンテンツが改ざんされたり、ウィルスを埋め込まれたり、個人情報を抜き取るような攻撃を受けることです。

WordPressをデフォルトのまま使用していると攻撃を受けやすい為、セキュリティ対策は必須になります。
今回は、管理画面のセキュリティ対策に関してご説明したいと思います。

WordPressのセキュリティ対策10選

WordPressのセキュリティ対策をお教えします。
極力、非エンジニアの方でもできるような対策を10個選びました。
すべて対応することはもちろん、それ以外でも対応が可能なセキュリティ対策は行うようにしてください。
WAFを導入するなど、サーバ監視を強化することも必要です。

管理画面にBasic認証を設定する

管理画面のアクセスした際にBasic認証を表示させます。
管理画面のログインページを表示させる為にはBasic認証を解除する必要があり、セキュリティ強化となります。
Basic認証は.htaccessと.htpasswdファイルで設定します。

管理画面へのアクセスをIPアドレス制限する

特定のIPアドレスしか管理画面にアクセスできないようにします。
外部から管理画面へアクセスすることができず、セキュリティ強化となります。
Basic認証と同様、.htaccessファイルで設定します。

管理画面のURLを変更する

WordPress管理画面のURLは簡単に予想されます。
管理画面URLを変更することで、アクセスへの難易度を高めることができ、セキュリティ強化へ繋がります。
プラグインのLogin rebuilderSiteGuard WP Pluginを使えば簡単に管理画面URLを変更できます。

WordPress管理画面のログインページのURLを変更できる「Login rebuilder」
WordPress管理画面のログインページは特定され易いWordPress管理画面のログインページは特定され易いです。WordPressで作られているサイト(これも容易に判明できます)のURLの後ろに特定の文字列を付与するだけで、管理...
www.thank-u.net
2023.01.13
WordPressのセキュリティを強化できる「SiteGuard WP Plugin」
WordPressは攻撃を受けやすいCMSWordPressで制作されているサイトは攻撃を受けやすいです。それは、WordPressがセキュリティに脆弱なCMSということではなく、世界中で最も利用されているCMSであることが原因です。...
www.thank-u.net
2023.01.16

管理画面のログイン失敗回数を制限する

悪意あるユーザーはWordPress管理画面へのログインを何度も試行します。
その為、一定回数ログインを失敗すると、ロックする仕組みを導入します。
プラグインSiteGuard WP Pluginで設定可能です。

管理画面のログインに画像認証を追加する

WordPress管理画面のログイン認証は通常IDとパスワードで行われます。
画像認証を追加することでセキュリティを強化できます。
プラグインSiteGuard WP Pluginで設定可能です。

管理画面のログインに二段階認証を導入する

WordPress管理画面のログインに二段階認証を導入すれば、管理画面ログイン時にスマホに表示された認証コードを入力する必要がある為、セキュリティを強化できます。
二段階認証はプラグインGoogle Authenticatorで導入可能です。

WordPressの設定ファイルのパーミッションを設定する

WordPressの設定ファイル(wp-config.php)や.htaccessに様々な重要な情報が記述されています。
設定ファイルや.htaccessのパーミッションを設定することでセキュリティを強化することが可能です。
wp-config.phpは600「オーナーのみ読み書き可能」とし、.htaccessは604「読み込み可能、オーナーのみ変更可能」としてください。

管理画面のログイン・パスワードを複雑にする、定期的に変更する

管理画面のログイン・パスワードは複雑にする、そして定期的に変更してください。
パスワードの複雑化と定期的な変更はWordPressに限らず、様々なシステムやアプリで実施してください。

不要なプラグインとテーマを削除する

WordPressには様々なプラグインがあるので、ついついプラグインはインストールしがちです。
しかし、インストールしたものの利用してみると使い勝手が悪かったり、予想していた機能とは違うこともあり、そのまま放置していることがあります。
プラグインを無効化していても、プラグイン自体はインストールされている状態です。
脆弱性にも繋がりますので、使用していないプラグインは削除してください。
同様に使用していないテーマがあれば、削除するようにしてください。

WordPressとプラグインを最新にする

WordPress本体とプラグインの最新バージョンは脆弱性対応がされています。
その為、可能な限り最新バージョンにしておくよう心掛けてください。

以上のように、簡単にできるセキュリティ対策を記載しました。
まだ、実施していないサイト様はすぐに対応することをオススメします。

投稿者プロフィール

navy
EC-CUBE、WordPressをメインに担当しています。
最近、Movable Typeの案件が増えてきたので、MTを勉強中です。

ネイビー色が好きでnavyという名前をよく使うけど、navy=海軍好きで時々勘違いされて困っています。
確かに軍モノ古着は好きですが。。。

お気軽にご相談ください

お気軽にご相談ください

タイトルとURLをコピーしました