2017年11月の時点で、全世界のウェッブサイトの29%はWordPressを使用しています。普及率が高いシステムは、ハッカーやスパマーから狙われることになることは避けることができません。WordPressの普及はさらに進行しています。このことは、ハッカーやスパマーの乗っ取りなどの取り組みもさらに助長されることを意味しています。
サイトの管理を委託せずにWordPressをレンタルサーバーなどで運用しているサイトの場合、セキュリティ対策はサイト運営者が行う必要があります。
何事にもリスクは存在します。乗っ取りを100%防ぐ手立てはありません。しかし、リスクを減らすことは可能です。また、セキュリティが強いサイトよりも弱いサイトをハッカーやスパマーは狙うことも多いです。そのため、乗っ取りなどのリスクを低減するために、少しでもセキュリティを強化することをお勧めします。
家の戸締まりなどちょっとしたことを気を付けて行うだけでも防犯効果は高まるのと同様にサイトの設定管理を少し工夫するだけで、安全性が高まります。本記事では、WordPressのセキュリティを強化するための基本的な事柄について紹介します。ここで紹介する中で、できることをやっておくだけでも、セキュリティを高めることに繋がります。
目次 - Table of Contents
ソフトウェアのセキュリティ対策
WordPressを狙うハッカーやスパマーの活動は活発化しています。対抗してWordPressもセキュリティを強化しています。脆弱性が見つかった場合には、直ちにアップデートや対策などが行われるようになっています。2017年2月初めにWordPress 4.7と4.7.1で脆弱性が見つかり5万以上のサイトが乗っ取られるという事件が発生しました。現時点での最新バージョン WordPress 4.8.3は、セキュリティ対策を施したセキュリティ・リリースで、多くのWordPressのサイトで自動的にアップデートされています。
プラグインとテーマの選定と管理
WordPressのセキュリティ対策も強化されていますが、乗っ取りの試みも高度化してきています。WordPressのプラグインの脆弱性を利用して乗っ取りを行う事例も発生しています。「WordPress プラグイン 脆弱性」で検索すると、かなりな頻度で、様々なプラグインの脆弱性が見つかっていることが分かります。
WordPressは様々なプラグインやテーマが利用可能です。便利で簡単に機能拡張が可能ですが、プラグインやテーマは、バグや脆弱性があることもあります。そのため、プラグインやテーマに関しても、選定や管理に注意が必要となります。プラグインはむやみやたらに追加しない方が賢明です。プラグインやテーマを選ぶ際は、評判や最新バージョンがいつかなどもチェックすることをお勧め致します。
[目次に戻る ]
ログインアクセスのセキュリティ向上のための設定
典型的な乗っ取りの手法は、ログイン情報を入手して、サイトを乗っ取ることです。2017年9月13日にさくらインターネットは、「【重要】WordPressセキュリティ強化のお願い」と言う表題の記事の中でWordPres 管理画面への不正ログインが増えているため、中尉と対策を呼びかけています。
WordPressにおいて、パスワードの総当たり攻撃などにより、第三者がログインを行って不正なファイルを設置し、メールの大量送信が行われるケースが多発しています。[中略]未対策のお客さまにおかれましては、早急にWordPress管理画面への不正ログイン防止対策を実施いただきますようお願いいたします。
ログイン情報を簡単に知られないようにすることが基本です。最も分かりやすい例は、パスワードです。数桁の数字だけのパスワードよりも、大文字と小文字、数字、記号などを組み合わせたパスワードの方が飛躍的にリスクを低減できます。簡単で短いパスワードをご使用されている場合は、パスワードを変更することをお勧め致します。
[目次に戻る ]
WordPressのアカウント パスワードの変更方法
管理メニューの[ユーザー]から運営ユーザーの設定ページを表示します。ページの下の方に[アカウント管理]と言う項目があり、その下に[新しいパスワード]が表示されています。パスワードを変更する場合は、[パスワードを生成する]ボタンを押して下さい。
自動的に生成されたパスワードが表示されます。生成されたパスワードを使用する場合は、そのままコピーします。ご自分で好きなパスワードをタイプして作成することもできます。パスワード欄にキー入力すると「表情に脆弱」、「脆弱」、「普通」、「強力」とパスワードの強度が表示されます。
ページ下の[プロフィールを更新]のボタンを押すとパスワードの設定が保存されます。
[目次に戻る ]
分かられにくい管理ユーザー名にする
ユニーク(固有)でハッカーが推測しづらいユーザー名にすると安全性が高まります。英語の場合、管理者のユーザー名はadminが使われることが一般的です。もしも、adminや分かりやすい管理者ユーザー名を使用している場合は、別の名前のユーザーを管理者として追加して、adminまたは分かりやすい名前のユーザーを削除するとセキュリティが高くなります。
新しい管理ユーザーを追加する
管理メニューから[ユーザー]- [新規追加]をクリックして、新規ユーザーを追加します。
新しいメールアドレス(既存ユーザーと異なるメールアドレスが必要です)を入力して、[権限グループ]のボックスをクリックし表示されるユーザー種別の中から「管理者」を選びます。
入力内容を確認後、[新規ユーザを追加]を押します。
[目次に戻る ]
分かられやすい管理者ユーザー名を削除する
新しい管理者ユーザー名を追加後、ログアウトして、新しい管理者ユーザー名でログインします。続いて[ユーザー一覧]ページを表示し、adminを削除します。既存の管理ユーザーのコンテンツを、新しく追加したユーザーに移して、削除を実行します。(以下画面をご参照下さい)
[目次に戻る ]
ユーザー名と異なるニックネームを使用する
ログインで使用するユーザー名と異なるニックネームを設定します。ブログ上で表示する名前は、ログイン名とは異なるニックネームにすることで、ユーザー名を知られるリスクを低減します。[ユーザー一覧]からユーザーを選択するか、管理メニューから[あなたのプロフィール]を選んでプロフィールの設定ページにあるニックネームを入力し、ブログ上の表示名をニックネームに設定します。(以下の画像が例です。Chico Mはログイン名とは異なります。)
[目次に戻る ]
ログイン試行回数を制限する
ハッキングの手口の一つは、様々なユーザー名とパスワード名で何度もログインを試みて管理画面に入り込むことです。WordPressはデフォルトでは、ログインの試行回数は無制限となっています。ログイン試行回数を制限設定すると乗っ取りのリスクを低減することができます。
備考:
エックスサーバーはデフォルトでWordPressのセキュリティ設定にログイン試行回数制限
が設定されています。
エックスサーバー以外のレンタルサーバーをご利用されていて、ログイン試行回数制限機能がレンタルサーバーから提供されていない場合は、プラグインをご利用されれば対応可能です。
[目次に戻る ]
ログインにreCAPTCHAの認証を行う
ログイン時にユーザー名、パスワードに加えてreCAPTCHAの認証を行うと不正ログインによるハッキングの防止効果が飛躍的に高まります。
お勧めは、Googleの最新スパム防止認証システム Invisible reCAPTCHA です。Invisible reCAPTCHA は、自動的にスパムかの判定を行う機能を備えています。設置当初は認証テストを行う必要があることがありますが、同じ端末でログインする場合は、テストをせずに自動的に認証されるようになります。Invisible reCAPTCHA は、ログイン時の認証に加えて、コメントや問い合わせフォームの送信時にも認証設定を行うことができます。
[目次に戻る ]
SSL/HTTPS化
サイト全体のセキュリティを強化する上で、SSL/HTTPS対応は必須に近くなってきています。以前は、SSL対応はコストがかかり、対応することも簡単ではありませんでした。しかし、現在は無料でSSL化を提供するレンタルサーバー会社も増えてきています。HTTPS化する環境も整備されてきており、ネット上にも情報が豊富にあります。
WordPressでのhttpからhttpsへの詳細移行ガイド
超簡単! エックスサーバーでのSSL/HTTPS対応のWordPress サイトの始め方
[目次に戻る ]
さらなるセキュリティの強化
上記の設定を行うだけでも、セキュリティはかなり高くなりますが、さらなるセキュリティの強化方法として、.htaccess にログインする際のIPアドレスを指定したり、wp-configファイルのアクセスを制限したり、ディレクトリを見れなくするような設定手法があります。詳細は、WordPress サイトのセキュリティを強化する .htaccess の設定をご参照下さい。
[目次に戻る ]
コメントを残す(承認後表示されます)