【記事内に広告が含まれる場合があります】
ワードプレスのセキュリティを甘く見ているとめちゃくちゃ危険です。
僕はこの認識の甘さによって、ハッキング・マルウェア感染し、けっこうな損害を受けました。
実際に起こったことは
- 管理画面が操作できなくなる
- サーバーの高負荷によりサイトが表示されなくなる
- 記事の乗っ取り・書き換えが起こる
- 検索結果に身に覚えのない記事が表示される
- SEOで複数記事が一気に圏外に飛ばされる
などなど、散々でした。。
これが1つのサイトではなく、同じサーバー内に起こっていたサイトほぼ全部で起こりました。
実際の体験記事がこちらです↓
SEOの順位も、サイトを復旧させてから元の順位までに戻るまで、1か月くらいかかりました。(戻ってきてないものもけっこうあります)
この現象が起こったとき、ほぼSEO一本で生計を立てていたので、目の前が霞むレベルで絶望しました。
このような事態を避けるべく、今回は、ワードプレスで最低限やっておきたいセキュリティ対策や、入れておきたいプラグインをまとめていきます。
WordPressで絶対やっておきたいセキュリティ対策【7つ】
ワードプレスで絶対にやっておきたいセキュリティ対策はこちらです。
もしこの記事を読んでいる時点でやっていないものがあれば、なるはやでやっておきましょう!
1.バックアップを取る
まず大前提として、データのバックアップは取っておきましょう。
仮に何かが起こったとしても、バックアップさえ取れていれば、復活させられます。
逆にバックアップがないと、もうどうしようもありません。
バックアップの取り方は何でも大丈夫ですが、簡単なのは『BackWPup』や『UpdraftPlus』のようなバックアップ系のプラグインを入れておくことです。
その上で、バックアップデータの保存先はサーバー以外の場所にしておくことをおすすめします。
保存先をサーバーにしておくと、サーバーが(急なアカウント停止などで)使えなくなったときに復旧できません。
なので、バックアップ先は、自分のパソコン内やハードディスク、DropBoxのようなクラウドストレージなどにしておきましょう。
ちなみに僕はDropBoxに入れています。
2.ユーザー名・パスワードを超難しくする
ワードプレスがハッキングされる多くの原因が、ログイン時のユーザー名やパスワードが見破られることです。
なので、ユーザー名やパスワードを解読しづらくすることが最重要と言っても過言ではありません。
もし、
- 名前+誕生日
- わかりやすい英語+数字
- 8桁以下など短め
みたいに簡単っぽいものしている方は、見破られる可能性があるので
- 英数字+記号
- 10桁以上などできるだけ長め
- 完全ランダムな配列
のように、解読不能レベルで難しいように設定していきましょう。
特に思いつかない方は、1Passwordのパスワードジェネレーターのようなツールを使うと簡単に協力なパスワードを作れます。
3.ログイン認証を強化させる
ワードプレスのログインURLは
https://abc.com/wp-admin/
のようにサイトURLの後に「wp-admin」が付いた文字列が初期状態です。
なので、設定を変えていないと、簡単にログインページにアクセスされてしまいます。
これを防ぐために『SiteGuard WP Plugin』というプラグインを入れると、自由にログインURLを変更できます。
さらに同じプラグインで、文字認証を導入できるので
ログイン認証を強化したい場合は、導入しておきましょう。
4.2段階認証を導入する
2段階認証は、トップレベルでセキュリティを強化できる施策の1つです。
これをログイン時に導入することで、不正なログインを極限まで防げます。
ログインするときの手間が増えるのが少し面倒ですが、できる方は入れておくといいですね。
2段階認証は『Two Factor』というプラグインを入れると簡単に設定できます。
5.不要なプラグインやテーマを削除する
プラグインやテーマの脆弱性を突いて、ワードプレスが攻撃されることがあります。
入れているプラグインやテーマが多ければ多いほど、その確率は高まりますよね。
なので、もし使っていないプラグインやテーマがあれば、削除しておきましょう。
いったん停止とかではなく、完全削除がベターです。
6.ファイルは常に最新の状態にする
ワードプレスは随時アップデートが行われています。
このとき、更新せずに古い状態にしておくと、古いバージョンにあった脆弱性を突かれてハッキングなどが行われる可能性があります。
なので、ワードプレスに導入しているファイルは、常に最新の状態にしておきましょう。
- ワードプレス本体
- プラグイン
- テーマ
など全てのファイルです。
更新を自動更新にできる場合は、「有効化」にして自動的に更新できるようにしておくといいですね。
7.コメントスパム対策をする
コメント欄から悪質な攻撃をされることもあります。
何も対策せずに放置しておくと
- 踏むと被害に遭うリンクが投稿される
- 大量のスパムコメントによりサーバーが圧迫される
- コメント欄が悪用→記事の品質低下→SEO順位低下
といった、被害が発生する可能性があります。
このような自体を防ぐためには、『Akismet』のようなプラグインを導入すると、悪質なスパムコメントを排除できるので、入れておきましょう。
WordPressのおすすめセキュリティ系プラグイン
ワードプレスのセキュリティを強化させたいときに入れておきたいプラグインをまとめておきます。
全て無料で入れられます。
SiteGuard WP Plugin
『SiteGuard WP Plugin』は、ログインページのセキュリティを強化できるプラグインです。
- ログインページURLの変更
- 画像認証
- ログイン通知
などの設定をできます。
ワードプレスでは、初期状態のログイン認証が弱めなので、入れておきましょう。
Two Factor
『Two Factor』は、二段階認証を設定できるプラグインです。
設定すると、ログイン時に二段階認証が求められるようになります。
二段階認証のコードは、メールやアプリ(『Google Authenticator』など)に届くように設定できます。
Edit Author Slug
『Edit Author Slug』は、ユーザー名を隠せるプラグインです。
ワードプレスでは、
https://abc.com/?author=1
のように、サイトURLの後に「?author=1」を付けると、ユーザー名が表示されます。
ユーザー名がわかれば、あとはパスワードを解読できれば簡単にログインできてしまいます。
これを防げるのが『Edit Author Slug』で、自由にユーザー名を隠せるようになります。
Akismet
『Akismet』は、スパムコメントを排除できるプラグインです。
コメント対策のプラグインを入れておかないと、スパムコメントが大量に来ることがあるので入れておきましょう。
Wordfence Security
『Wordfence Security』は、サイト内の不審なファイルや動きを感知できるプラグインです。
入れてスキャンすることで、サイト内の全てのファイルを一通りチェックでき、不審なファイルがあった場合は警告で知らせてくれます。
WP Activity Log
『WP Activity Log』は、サイト内で動作したログを残して確認できるプラグインです。
例えば
- ログイン・ログアウト
- 記事の投稿・更新
- WordPressの更新
- テーマ・プラグインの更新
- ファイルのアップロード・削除
などを確認できます。
ユーザーや日時も表示されるので、自分が作業した時間以外に動作が確認できたら、何らかの不具合が生じている可能性があります。
必須ではないですが、もし細かい部分までチェックしたい方は、入れておくといいかもしれません。
