WordPressのセキュリティで行うべき10選

WordPressアイキャッチ Web

こんにちは。現在WordPressは全世界のサイトの3分の1のサイトで使用されていると言われています。(2019年9月13日時点で34.5%)

Usage of content management systems

そんなWordPressはよくセキュリティが弱いと言われています。

それは、「導入障壁が低いのでとりあえず使ってみよう」
と思った人が挫折したりそのままの状態を維持してしまって発見されたセキュリティの穴を突かれてしまうという理由が多いのが実情です。

そこで、WordPressのセキュリティは超重要事項です。本日はWordPressのセキュリティの中で重要なポイントを10個選んで紹介します。

① アップデートは、可能な限り欠かさずに!

まずは何をおいてもこのアップデートをしっかり行っていくことです。具体的には以下の要素がアップデートを行う対象です。

  • WordPress
  • プラグイン
  • テーマ
  • PHP
  • OS(CentOSなど)
  • データベース(MySQL、MariaDB)
  • Webサーバー(Apache / nginxなど)

レンタルサーバー(共用)であれば、PHP、OS、データベース、Webサーバーについてはレンタルサーバー会社で行いますが共用サーバーの場合は他のいろいろなサイトが同じサーバーに間借りしているためにつどつどアップデートをかけて検証をすることも非現実的です。

そのため、しっかりとサイトを作成し自分で、業者にまかせて保守を行えるのであれば専用サーバーを選択するべきです。今だとVPSやクラウドが主流かと思います。

WordPress、プラグイン、テーマについてはWordPressの管理画面から「ぽちっ」とアップデートボタンを押すだけです。簡単ですが、アップデートにより表示の不具合や機能の不具合が発生する場合がありますので慎重に行ったほうが良いです。

② パスワードは推測されにくい、ランダムで複雑なものにする

パスワードもとても大事です。1234 や password や外部の人間が連想できてしまうものなどはゼッタイダメ!

③ 常時SSL化必須

サイトのすべてのページがhttps のURLが常時SSL化の印。
通信の暗号化をする事により、通信を盗聴されたりしてもデータを保護すること、更にそのサイトが正規の問題ないサイトかどうかをチェックする意味でも有効です。

常時SSL化にはSSL証明書というものが必要で、無料のLet’s Encryptのようなものから、有料のものまであります。(通信の暗号化という意味では金額問わず同じです。)

④ プラグインは最小限に!

管理が煩雑になり、アップデートや脆弱性の情報をキャッチアップするのが大変になります。最終的には面倒くさくなって触らないようになってしまうとNGなので、管理できる最小限のもので必要な機能を入れていきましょう。

⑤ プラグインやテーマは原則WordPress公式ディレクトリから

プラグインやテーマを選ぶ際は、公式ディレクトリから原則選ぶようにしましょう。公式ディレクトリに載っているものは、一定の審査をくぐり抜けて掲載されたものです。

WordPress公式ディレクトリ プラグイン

WordPress公式ディレクトリ テーマ

その際に本当にこのプラグインを使っていいのか?については、以下のような基準を参考にします。

  • 最終更新(1年以上放置されていないか)
  • WordPressの必須バージョン(最新版に対応できていないなどがないか)
  • 対応する最新バージョン(最新版に対応できていないなどがないか)
  • 有効インストール数(明らかに少なくないか)
  • レビュー(低評価が多くないか)
  • Google検索でリスクの情報が出ていないか

⑥ 管理画面へのログインの際には接続元のIPアドレスを制限

サーバーの設定ファイルを編集し、例えば会社のIPアドレスからのアクセスの場合は閲覧でき、それ以外のIPアドレスからアクセスしようとしてもブロックするとばっちりです。

欠点としては、外部のライターさんに記事を依頼している場合にそのライターさんが閲覧できなくなってしまいます。
※設定したIPアドレス以外のIPアドレスから接続しようとするため

⑦ 管理画面へのログインの際にはベーシック認証など2段階認証を設定

サーバーの設定ファイルを編集し、ベーシック認証という認証をかけます。
WordPressの管理画面 /wp-admin/ に対して設定します。

未検証ですが、プラグインでも可能なようです。
参考:プラグイン不要?Basic認証でWordPressアクセス制限をかける方法

⑧ 管理画面からのテーマファイル編集などは絶対に行わない

WordPressの管理画面から、〇〇.phpなどのテーマファイルを編集するエディタがあります。そこは管理画面にログインできれば変更できてしまうので、テーマファイルの編集は管理画面からは行わずに、SFTPやSSHで接続して編集することが重要です。

⑨ wp-config.php をDocumentRootと同じ階層に配置する

WordPressの設定ファイル、wp-config.phpにはデータベースのユーザー名やパスワードが書かれています。これが公開ディレクトリにあると危険なため、DocumentRootの下に置かないように場所を移動させましょう。

⑩ WAF、脆弱性スキャンツール、IDS、IPSなどの導入

ファイアウォールやその他のセキュリティツールについては、それなりにお金もかかってしまうので、お財布と相談して決めましょう。

最後に

このようにWordPressに関してもセキュリティの対策はたくさんあります。簡単に使えるシステムですが、こういった知識を持って運用するのと知識なしで運用するのとでは全く違いますので知識として入れておくと良いと思います。

タイトルとURLをコピーしました