WordPressを使ってブログやWEBサイトを作ったけど、WordPressのセキュリティ対策は必要か知りたい方やWordPressのセキュリティ対策プラグインは何を選べば良いのかがわからない方に向けての記事になります。
「WordPressのセキュリティ対策は必要か知りたい。」
「WordPressのセキュリティ対策プラグインは何を選べば良いのかがわからない。」
「おすすめのWordPressのセキュリティ対策が知りたい。」
というお悩みを持った方も多いのではないでしょうか。
今回は、冒頭で今すぐできるWordPressセキュリティ基本対策の紹介をし、後半部分よりWordPressセキュリティ対策プラグインについてまとめました。
こちらの記事を読めば、WordPressにおけるセキュリティ対策の方法が分かります。
本記事の調査日は2022年3月25日現在の情報のため、最新情報は各公式サイトよりご確認をお願いいたします。
今すぐできるWordPressセキュリティ基本対策4選
まずは、今すぐできるWordPressセキュリティ基本対策を解説します。
こちらを最低限実施することで、WordPressセキュリティの基本的な対策は網羅できますので、まだ実施されていない方はこちらの記事を参考に行ってみてください。
1.【重要】ログインパスワードの見直し
まずは、ログインパスワードの見直しを行いましょう。
こちらは「そんな基本的なことでセキュリティ対策ができるのか?」と疑問を持つ方もいると思います。
ログインパスワードは、英字(大文字)、英字(小文字)、数字、記号を混ぜたパスワードにして、複雑な文字列にすればするほど、セキュリティ対策が高まります。
文字列はログインパスワード文字数上限に近い長めのものに設定することを心掛けましょう。
「日本人のパスワードランキング2021」によると、下記のパスワードは漏洩・セキュリティが破られやすいと言えます。
ランキングを見ていても、予測しやすいパスワードが多く、これらのパスワードを使っている方はすぐに変更することをおすすめいたします。
引用:株式会社ソリトンシステムズ「日本人のパスワードランキング2021」>
ランキング順位 日本人の漏洩パスワード 2021年 2020年 NordPass 2021年 1位 123456 123456 password 2位 password password 123456 3位 000000 asdfghjk 123456789 4位 1qaz2wsx 12345678 12345678 5位 12345678 123456789 1qaz2wsx 6位 123456789 asdasd456 member 7位 111111 111111 asdfghjk 8位 sakura 1qaz2wsx 12345 9位 dropbox 19980621 password1 10位 12345 123123 1234567890 11位 1234567 jza90supra asdfghjkl 12位 1234567890 sakura asdf1234 13位 qwerty aaaaaa qwertyuiop 14位 00 20121204 qwerty 15位 zxcvbnm 20121207 sakura 16位 asdfghjkl asdf1234 1q2w3e4r 17位 qwertyuiop zxcvbnm qwer1234 18位 adgjmptw asdfghjkl abcd1234 19位 123123 qwertyuiop zaq12wsx 20位 121212 1234567890 qwertyui 21位 1q2w3e4r qazwsx takahiro 22位 abc123 aaaaaaaa 1234567 23位 1 aa123456 987654321 24位 1qazxsw2 20121209 zxcvbnm 25位 aaaaaa 987654321 fujitvpass 26位 252525 qwerty baseball 27位 zaq12wsx 112233 1234qwer 28位 19771202 qwer1234 doraemon 29位 qazwsx 121212 12341234 30位 1234qwer alive7931 qazwsxedc 31位 25802580 1q2w3e4r masahiro 32位 abcd1234 asdfgh qazwsx 33位 zinch 11111111 1qazxsw2 34位 g_czechout 1234567 himawari 35位 asdf1234 qwertyui nekoneko 36位 112233 takahiro hiroyuki 37位 7777777 zaq12wsx kuroneko 38位 1234 1234qwer lovelove 39位 takahiro uchipass abc123 40位 qwert qazwsxedc iloveyou 41位 maimai 232323 112233 42位 daisuki nekoneko asdfasdf 43位 hogehoge a1234567 takayuki 44位 banana masahiro 11223344 45位 doraemon 46494649 88888888 46位 lovelove 11922960 nikoniko 47位 iloveyou nakamura yamamoto 48位 nakamura zxcvbn yuantuo 49位 arashi makoto nakamura 50位 himawari huxinxin isme
パスワード生成におすすめのツール
弊社にて作成したパスワード生成ツールをご利用ください。
生成ボタンをクリックすると自動作成でパスワードが生成されます。
セキュリティを高めるための安全なパスワードを生成したい方におすすめです。
2.【重要】テーマ/プラグインを最新化
次に、導入しているテーマやプラグインは最新化しましょう。
テーマやプラグインは最新版にアップデートすることで脆弱性をカバーしているので、長期間最新化していないと脆弱性がカバーできずセキュリティ対策ができなくなってしまいます。
テーマやプラグインは定期的にアップデートがないか、確認するようにしましょう。
3.【重要】利用していないテーマ/プラグインは削除
次に、利用していないテーマやプラグインは削除しましょう。
利用していないテーマやプラグインを無効化していても攻撃の踏み台に利用されてしまうこともあります。
テーマやプラグインの管理は、WordPressの管理画面上から行えますので、リスク低減のためにも使っていないものは削除する癖をつけておくと良いでしょう。
4.レンタルサーバーのセキュリティ対策機能を利用する
次に、レンタルサーバーのセキュリティ対策機能を利用する方法をお伝えします。
レンタルサーバーによっては、セキュリティ対策機能がついているものもあります。
弊社でおすすめしているXServerはもちろん、カラフルボックス、mixhost、さくらのレンタルサーバ、ロリポップ、ConoHa WINGなどであればセキュリティ対策機能が備わっています。
レンタルサーバーのセキュリティ対策機能を利用するメリットとして、専門的な知識がなくてもサーバーパネル上から簡単に設定が可能です。
XServerのセキュリティ対策機能の設定方法
5.サイトをSSL(https)化する
次におすすめなのは、サイトをSSL(https)対応させることです。
SSL(Secure Socket Layer)とは、ネットワーク上の通信内容を暗号化することでデータの盗聴や改ざん・なりすましを防ぐ技術です。
信頼された第三者機関「認証局」の審査を経て発行されたSSLサーバ証明書をレンタルサーバーにインストールすることで、WebサイトをSSL化(https化)できます。
Googleは常時SSLを推奨していて、SSL非対応のWebサイトにはChromeが警告を出し、安全の保証がないことを了承しないと閲覧できなくなっており、信頼性の観点で最重要なセキュリティ対策です。
6.さらにセキュリティ強化したいときはプラグインを利用する
さらにセキュリティ強化したいときはWordPressのプラグインを利用するのもおすすめです。
こちらの方法・おすすめのWordPressのセキュリティプラグインに関しては、後ほど紹介しますのでそちらを参考にしてみてください。
7.【応用】もしものためにバックアップを取る
最悪の場合、万が一サイト内容が改ざんされてしまったときでも、バックアップを取っていれば改ざん前の状態(被害を受ける前の状態)に戻せることがあります。
WordPressのバックアップを取るためにはプラグインを入れたり設定が必要な場合もあり少し複雑な作業になります。
セキュリティ対策以外にもWordPressアップデート時やカスタマイズした際のトラブルの時にもバックアップがあれば復旧が簡単になるメリットがあります。
WordPressセキュリティ対策プラグイン2選
下記より、WordPressセキュリティ対策プラグインの紹介となります。
紹介するプラグインはどれも基本的なプラグインになりますので、導入されていない方はこれを機に導入しておくと良いでしょう。
XO Security(ログインセキュリティ)
XO Securityとは?
WordPressプラグイン「XO Security」は、ログインセキュリティ対策プラグインです。
不正ログイン対策などを対策できるので、必ず入れておきたい重要なプラグインとなります。
こちらのプラグインを導入されていない方は、これを機に導入しておくと良いでしょう。
WordPressプラグイン「XO Security」のインストール・有効化
まずは「XO Security」をインストール・有効化の方法を説明します。
「プラグイン」→「新規追加」から「XO Security」を検索します。
「今すぐインストール」した後に「有効化」します。
「XO Security」を設定する方法
左メニューの「設定」→「XO Security」をクリックして、「XO Security 設定」を開きます。
ログイン設定
タブメニューの「ログイン」をクリックして、「ログイン設定」画面を開きます。
試行回数制限は同一IPからのログイン試行回数を制限します。
まずログイン試行回数を「試行回数制限なし」「1時間の間に」「12時間の間に」「24時間の間に」「48時間の間に」の選択肢の中から選びます。
その後許可するリトライ数を設定します。
弊社推奨の設定は、ログイン試行回数は「12時間の間に」以上をおすすめいたします。
例えば、「12時間の間に」3回までリトライを許可するとした場合、3回以上ログインを失敗すると12時間同一IPからログインできなくなります。
ログインをブロックした時、応答までの遅延時間を設定します。
弊社推奨の設定は、最大の「120秒」をおすすめいたします。
ログインに失敗した時、応答までの遅延時間を設定します。
弊社推奨の設定は、最大の「10秒」をおすすめいたします。
WordPressログイン時のURLを変更できます。
通常WordPressのログイン画面はサイトのアドレス+「/wp-login.php」を付ければ誰でもアクセスできてしまう初期設定となっています。
セキュリティ上、かなりまずいため、ログインページのURLを自由にカスタマイズできるのがこちらの機能です。
ログインページの変更を設定した場合、必ず変更したログインページのURLをブックマークしておいてください。
ログインページからでないと、管理画面やダッシュボード(/wp-admin/)にアクセスできなくなります。
ログインする時のIDの種類を選択できます。
「ユーザー名またはメールアドレス」「ユーザー名のみ」「メールアドレスのみ」を選択できます。
WordPressに使用しているメールアドレスを知っている方が多い場合には、ユーザー名のみに設定することをおすすめいたします。
ログインを許可する言語を設定できますが、こちらは PHP(プログラミングコード)の編集が必要になります。
セキュリティ対策の重要度としては他の項目よりも低いため、わざわざPHPの編集をする必要はないと思います。
通常ログイン失敗した時は、IDが違います・パスワードが違いますといったログイン失敗理由が表示されます。
デフォルトの状態だとログイン失敗時に「パスワードが違います」を表示されてしまいます。
「パスワードが違う」=ユーザー名やメールアドレスは合っていると攻撃者に推測されるので弊社推奨の設定は、「簡素化」をおすすめいたします。
ログインページからでないと、管理画面やダッシュボード(/wp-admin/)にアクセスできなくなります。
各種設定が完了したら必ず設定画面下にある「変更を保存」をクリックします。
タブを切り替える前に「変更を保存」しないと、変更内容が破棄されるため注意してください。
WordPressプラグイン「XO Security」のログインフォーム設定
ログインCAPTCHAを設定できます。
こちらを設定するとログインする際にひらがなや英数字の画像が表示され、表示されたテキストの入力が求められます。
もしもオンにするのであれば海外ロボットが対応しにくい「ひらがな」を選択することをおすすめいたします。
ログイン画面にある、パスワードを忘れた時のリセットリンクを表示するかしないかの設定ができます。
パスワードを忘れた時のリカバリー手段にリンク表示が欲しい方はオンにしておくと良いでしょう。
ログイン画面にある、サイトTOPページへのリンクを表示するかしないかの設定ができます。
WordPressにログインした時にメールでログインがあったことを知らせてくれる機能です。
自分以外のログインに気づきたいと心配な方は有効化しても良いでしょう。
「Limit Login Attempts」は、ログイン試行回数制限プラグインです。
プラグインを減らせば、それだけリスクが低減され、セキュリティ対策が高まるだけでなくサイト表示速度も速くなるためSEO対策にもなりますよ。
コメント設定
タブメニューの「コメント」をクリックして、「コメント設定」画面を開きます。
オンにする場合は、CAPTCHAを「ひらがな」に設定して[変更を保存]をクリックします。
弊社で運用しているサイトは、スパムコメントが大量に来ない場合は無効にしています。
日本語を含まないコメントの場合は、コメントを拒否します。
海外のコメントを求めていないサイトの場合は有効化しても良いでしょう。
「私はロボットではありません」と記載されたチェックボックスが表示されます。
人とロボットプログラムの挙動を判別し、不審な動きをした場合ボットと見なされます。
「Akismet Spam Protection」は、スパム対策プラグインです。
プラグインを減らせば、それだけリスクが低減され、セキュリティ対策が高まるだけでなくサイト表示速度も速くなるためSEO対策にもなりますよ。
XML-RPC 設定
タブメニューの「XML-RPC」をクリックして、「XML-RPC設定」画面を開きます。
XML-RPC無効化をONに変更して「変更を保存」をクリックします。
XML-RPCとは、プログラム開発に利用する通信方式(プロトコル)の一種です。
ブルートフォースアタック(総当たり攻撃)などの攻撃に悪用されることがあります。
ただし、XML-RPCを無効にすると、プラグインが動かなくなってしまうことがありますので注意が必要です。
XML-RPCピンバックの無効化します。これによりDDoS攻撃(過負荷攻撃)対策ができます。
上記の通り、XML-RPCを無効にすると、プラグインが動かなくなってしまうことがあるため、DDoS攻撃(過負荷攻撃)に悪用されるXML-RPCピンバックだけ無効化することをおすすめします。
REST API 設定
タブメニューの「REST API」をクリックして、「REST API設定」画面を開きます。
REST API の無効化を設定して「変更を保存」をクリックします。
REST APIとは、プログラム開発に利用する通信方式(プロトコル)の一種です。
ただし、REST APIは「ContactForm7」や「JetPack」などよくWordPressユーザーに使用されるプラグインでも使用されているので、闇雲に無効化するとプラグインが動作しなくなる可能性があります。
/wp/v2/users
/wp/v2/users/(?P[\d]+) また、WordPress(ワードプレス)の脆弱性を悪用されないように、定期的にアップデート(更新)して最新のバージョンに保つこともセキュリティ対策においては重要です。
REST API URLの変更ができます。
秘匿設定
タブメニューの「秘匿」をクリックして、「秘匿設定」画面を開きます。
投稿者スラッグの編集をONにすると、投稿者スラッグの編集ができます。
デフォルトだと設定(ユーザー名)がスラッグになっているので変更します。
左メニューの「ユーザー」→「プロフィール」もしくは右上のアイコンから、「プロフィール設定」画面を開きます。
ページ下部の「投稿者スラッグ」をユーザー名以外に変更して「プロフィールを更新」をクリックします。
投稿者スラッグを「空白」にしてしまうと、ユーザー名(ログインID)が設定されるため注意してください。
投稿者アーカイブの無効化をONにすると、投稿者アーカイブの無効化ができます。
必要があれば投稿者アーカイブを無効化してください。
「Edit Autor Slug」は、WordPressサイトのユーザー名の漏洩を未然に防ぐプラグインです。
プラグインを減らせば、それだけリスクが低減され、セキュリティ対策が高まるだけでなくサイト表示速度も速くなるためSEO対策にもなりますよ。
環境設定
タブメニューの「環境設定」をクリックして、「環境設定」画面を開きます。
「環境設定」画面は、デフォルト設定(自動)のままで大丈夫です。
以上で、セキュリティプラグイン「XO Security」の設定は完了です。
よくある質問(Q&A)
Q:CAPTCHAとは?
A:CAPTCHAとは、コンピューターと人間を区別するためのものです。
画像認証や文字認証で読みにくい画像を識別させます。
Q:プラグインをインストールしようとしたら、初めから「有効化」と表示されている
A:
ダウンロードしたいプラグインを検索して、「今すぐインストール」と表示されない場合、すでにインストールされています。
「有効化」をクリックすれば、すぐにプラグインの利用を開始できます。
BBQ Firewall(ファイアウォール)
WordPressプラグイン「BBQ Firewall」は、ファイアウォールによるセキュリティ対策プラグインです。
SQLインジェクション(データベース不正操作)とXSS(ページ脆弱性攻撃)などを対策できるので、必ず入れておきたい重要なプラグインとなります。
こちらのプラグインを導入されていない方は、これを機に導入しておくと良いでしょう。
WordPressプラグイン「BBQ Firewall」のインストール・有効化
まずは「BBQ Firewall」をインストール・有効化の方法を説明します。
「プラグイン」→「新規追加」から「BBQ Firewall」を検索します。
「今すぐインストール」した後に「有効化」します。
「BBQ Firewall」はインストール・有効化しただけで利用できますので、複雑な詳細設定は不要です。
以上で、「BBQ Firewall」のインストール・有効化は完了となります。
よくある質問(Q&A)
Q:プラグインをインストールしようとしたら、初めから「有効化」と表示されている
A:
ダウンロードしたいプラグインを検索して、「今すぐインストール」と表示されない場合、すでにインストールされています。
「有効化」をクリックすれば、すぐにプラグインの利用を開始できます。
【補足】WordPressセキュリティの重要性について
なぜWordPressが狙われやすい?
なぜWordPressが狙われやすいのでしょうか?
WordPressが狙われやすい理由は、利用者が多いからです。
全世界のCMSシェア割合は、WordPressが6割以上という高いシェアで、圧倒的No.1を誇っています。
つまり攻撃側は、世界で一番利用者が多いWordPressを狙えば効率が良いと考えるため、WordPressにおけるセキュリティ対策は重要と言えます。
実際に攻撃されるとどのような被害を受けるの?
実際に攻撃されるとどのような被害を受けるのでしょうか。
「WordPressサイトの改ざん」や「攻撃の踏み台にされ、自分のブログから大量の迷惑メールが送信される」ことが実際に起きています。
そのため、WordPressにおけるセキュリティ対策は重要と言えます。
この記事に記載されていることを最低限実施することで、WordPressセキュリティの基本的な対策は網羅できますので、まだ実施されていない方はこちらの記事を参考に行ってみてください。
セキュリティ対策プラグインの利用をおすすめする理由
セキュリティ対策プラグインを利用することによって、以下のメリットがあります。
- SQLインジェクション(データベース不正操作)、XSS(ページ脆弱性攻撃)、不正ログインなどを対策できる
- 必要なプラグインを絞ることで不要なプラグインを削除できる
必ず入れておきたい重要なプラグインとなります。
こちらのプラグインを導入されていない方は、これを機に導入しておくと良いでしょう。
【まとめ】今すぐできるWordPressセキュリティ基本対策4選&セキュリティ対策プラグイン2選
今回は、今すぐできるWordPressセキュリティ基本対策4選&セキュリティ対策プラグイン2選について徹底的に解説しました。
今すぐできるWordPressセキュリティ基本対策を最低限実施することで、WordPressセキュリティの基本的な対策は網羅できます。
まだ実施されていない方はこちらの記事を参考に行ってみてください。
また後半で紹介したWordPressセキュリティ対策プラグインはどれも最低限必要と言われているプラグインになりますので、導入されていない方はこれを機に導入しておくと良いでしょう。
今すぐできるWordPressセキュリティ基本対策4選
セキュリティ対策プラグイン2選
是非こちらの記事を参考に、WordPressにおけるセキュリティ対策を行ってみてください。
WordPressやホームページについてお困りの方
WordPressやホームページについてお困りの方はお気軽にご相談ください。
株式会社SOCIOLAでは、WordPressのバージョンアップや保守、ホームページ制作/運用を担当しております。
WEB関係で困っている事を解決させていただきます。
この記事を書いた人
株式会社SOCIOLA株式会社SOCIOLAは、ホームページ制作/運用、WEBサイトリニューアル、WordPress制作、WordPressカスタマイズ、通販サイト制作、SEO対策、WEB広告など幅広くサービスを提供しています。 ニュース/ブログでは、ホームページに関連する最新情報やお役立ち情報をお届けいたします。