安全にサイトを運営し続けるためには、継続的なセキュリティ対策を実施することが重要です。
WordPressでサイトを運営しているけれど、セキュリティ対策は何をすれば良いかわからないという方も多いのではないでしょうか。
セキュリティの知識が不安な方でも今すぐ実践できるWordPressのセキュリティ対策方法をご紹介します。
WordPressのセキュリティ対策が必要な理由
サイバー攻撃のターゲットになりやすいWordPress
WordPressは、国内のシェアが82.8%(※1)でありユーザー数が非常に多いCMS(コンテンツ・マネジメント・システム)です。
カスタマイズしやすいプラグインやテーマが豊富で、個人や会社のホームページ作成に多く活用されている反面、ユーザー数が多いためにサイバー攻撃の標的にされやすいのも事実です。
オープンソースであるため脆弱性を見つけやすく、WordPressの内部構造もわかりやすいため攻撃しやすいと言われています。
(※1)Percentages of websites using various content management systems among the sites that use Japanese:W3Techs.com, 26 October 2020:https://w3techs.com/technologies/segmentation/cl-ja-/content_management
WordPressの脆弱性を狙った攻撃の事例
WordPressに対する攻撃種別としてはWordPress設定ファイルの読み取りが多く、検出箇所はプラグインとテーマの脆弱性を悪用した攻撃の検出が多い傾向にあります。(※2)
(※2)出典:株式会社ジェイピー・セキュア『JP-Secure Labs Report Vol.05』
ロリポップの2020年1月から6月までのWAF(ウェブアプリケーションファイアウォール)の攻撃検出ログを元に集計された分析レポートによる。
WordPressのセキュリティ対策方法
WordPressサイトを安全に運用し続けるためには、自分のサイトの状態を確認し、適切なセキュリティ対策を実施することが必要です。
セキュリティの知識が不安な方でも今すぐ実践できるセキュリティ対策方法をご紹介します。
1. パスワードの強化
WordPress管理画面のアカウント名・パスワードは推測されにくいものにしましょう。
下記のようなパスワードは、不正にログインされやすく危険です。
- ユーザー名とパスワードが同一
- 推測されやすい単語を使用している(passwordやadminなど)
- パスワードが数字または英字のみ
- ドメイン名と同じ、もしくは類似している
- WordPressのユーザー名とブログのニックネームが同一
2. プラグインやテーマを最新に
WordPress本体のバージョン、インストールしているテーマやプラグインが古い場合、脆弱性が発見されたバージョンのままになっている可能性があります。
WordPressやプラグインに脆弱性が発見されると、修正された新しいバージョンが公開されます。
最新版にアップデートすることで攻撃を防ぎましょう。
また、使っていないプラグインであっても攻撃の対象となり得るため、不要なプラグインは削除するようにしましょう。
3. WAFを活用して攻撃を防ぐ
WAF(ウェブアプリケーションファイアウォール)は、Webアプリケーションの脆弱性を悪用する攻撃からWebサイトを保護するためのセキュリティ機能です。
ウェブサイトに対するクロスサイトスクリプティングやSQLインジェクションなどの攻撃を自動的にブロックします。
WAFを導入することで、攻撃を効率的に検出・防御することができます。
多くのレンタルサーバーでは、サーバーの管理画面から簡単にWAFの設定ができる機能が提供されているので有効活用するようにしましょう。
ロリポップでも管理画面からWAFを設定することが可能です。
4. プラグインを使ったセキュリティ対策
WordPressには、セキュリティ対策用のプラグインもあります。
ここでは攻撃を防ぐ対策に有効な「SiteGuard WP Plugin」を紹介します。
「SiteGuard WP Plugin」は、不正ログイン、管理ページ(/wp-admin/)への不正アクセス、コメントスパムを防ぐことができるプラグインです。
ロリポップでは、WordPress簡単インストールでインストールを行った場合あらかじめ「SiteGuard WP Plugin」が同梱されています。
WordPress管理画面でプラグインを有効化すると利用できるようになります。
ログインURLの変更
WordPress管理画面のログインページURLをデフォルトのURL(wp-login.php)から変更する機能です。
ログイン画面を見つけられないようにすることで、不正にログインを施行される攻撃を受けにくくします。
ログインページ、コメント投稿に画像認証を追加
ログイン画面に画像認証を追加することで、コンピュータープログラムによる自動攻撃から守ります。
また、WordPressにはコメント機能がありますが、悪意のある他者にスパムコメントを大量に投稿されるような攻撃もあります。
コメントスパムが多すぎると、セキュリティやサイトの信頼性に影響が出てしまう可能性があります。
コメントスパムもまた、プログラムで自動投稿される場合が多いと言われています。
コメント欄にも画像認証を入れることで、自動投稿の攻撃からサイトを守りましょう。
コメントスパム対策には、「Akismet」もおすすめです。
その他のセキュリティ対策におすすめのプラグインについては、セキュリティ対策にオススメのWordPressのプラグインをぜひご覧ください。
おわりに
今回は、セキュリティ対策に自信がないという方も簡単に始められるWordPressのセキュリティ対策について紹介しました。
WordPressの最も基本的なセキュリティ対策方法は、最新バージョンにアップデートすることです。
WordPressサイトを安全に運用し続けるためには、脆弱性を検知してすばやく適切に対処する対策と、攻撃を未然に防ぐ対策をどちらも継続的に行うことが重要です。
自分で対策を考えるのが難しい場合は、ツールを活用すれば効率的に対策を行うことができます。
記事で紹介したセキュリティ対策方法を参考に、WordPressサイトのセキュリティを強化しましょう。