【2020年】WordPressセキュリティ対策とおすすめプラグイン

こんにちは、WEB集客コンサルタントの波多野です。

自社のサイトをWordPressで構築しているなら、セキュリティ対策は必須です。

逆に言えば、しっかりと対策をおこなっておくことで、不正アクセスを防ぎ、サイト内の大切な顧客情報などの抜き取りや、サイトの改ざんといった脅威から守ることもできます。

すでにWordPressを利用している方はもちろん、これからWordPressを使ってサイトを構築しようと考えている方も、ぜひこのコラムを読んでセキュリティ対策を万全におこない、外部からの脅威に備えてください。

WordPressのセキュリティ診断を使って確認しよう

すでにWordPressを利用してサイトを構築しているという方は、自社サイトの脆弱性についてチェックを行いましょう。
多くの人が利用しているWordPressには、セキュリティ診断をおこなうことができるサイトやプラグインも多数あります。

ここではおすすめの代表的な3つの診断方法についてご紹介します。

WPdoctor

日本語で利用できるWordPressのセキュリティ診断サイトです。
無料でかなり詳しく診断することができるサービスです。

■診断方法
診断したいサイトのURLを入力して、「サイトを検索」をクリックすると診断が始まります。
その後、注意が必要な項目、緊急で対応をすべき項目などが結果表示されるのでわかりやすいです。
→WPdoctor

WPScans.com

WordPressで構築しているサイトのセキュリティの脆弱性をチェックしてくれる診断サイトです。インストールなどの手間もなく手軽に診断をおこなうことができるので簡易的な診断をしたい場合に便利です。

■診断方法
診断したいサイトのURLを入力して、「START SCAN」をクリックすると診断が始まります。
しばらくすると診断結果が表示されますが、「Your WordPress website is safe !」と表示されたらその時点でのセキュリティ状況は問題ないということになります。
簡易的な診断なので、より詳細な診断が必要な場合は登録を行い有料での利用となります。
→WPScans.com

Wordfence Security

WordPressのセキュリティ対策も行えるプラグインですが、診断することもできます。
上記2つとの違いは、こちらはプラグインなのでまずはインストールを行うことが必要です。

■診断方法
インストールをした後に、「Scan」ボタンをクリックすると診断が始まります。
その後、脆弱性の有無が表示されます。
インストールは面倒ですが、セキュリティ対策も同時におこなっておきたい場合は便利です。WordPressのセキュリティ対策も行えるプラグインですが、診断することもできます。
上記2つとの違いは、こちらはプラグインなのでまずはインストールを行うことが必要です。
→Wordfence Security

WordPressのセキュリティ対策で絶対やるべき4つのこと

WordPressはセキュリティ対策をしっかりとおこなっていけば、サイトの乗っ取りや情報の改ざん、情報漏洩などからしっかりとサイトを守ることができるのでその内容について解説します。

プログラムは常に最新版にアップデートする

WordPressは、各種プラグインなども含め、セキュリティ対策や使い勝手向上などのために新しいバージョンにアップデートされます。

そのため、WordPressを使用している場合はバージョンアップ情報を常にチェックできるようにし、新しいバージョンが公開された際にはすぐに対応を行いましょう。

ちなみにWordPressのバージョンアップには「メジャーアップデート」と「マイナーアップデート」の2種類があります。

「メジャーアップデート」は、機能追加など比較的大きな変更がされているため、自分自身で「手動更新」をおこなわなければアップデートされません。

「マイナーアップデート」は、セキュリティ対策やバグの修正など比較的細かなアップデートのことで、基本的に「自動更新」されます。自動更新の内容は登録しているメールに送られてくるため、確認をしましょう。

管理画面のアカウントとパスワードは複雑なものにする

管理画面から不正ログインされないように、管理者のアカウントを「admin」といった誰でも使いそうなものにするのはNGです。
また、パスワードも第三者が想像しやすいものや、数字のみなどの簡単な羅列ではないもので作成しましょう。

会社で複数のメンバーが利用する場合は、必ず個人ごとにアカウントとパスワードを発行し、共有することは避けましょう。
退職者などがいる場合は、即座に削除するなど、管理をしっかり行うことも大切です。

WordPressの設定ファイルへ外部からのアクセス制限をかける

WordPressの「wp-config.php」というプログラムファイルには、データベースのID/PWから、動作に関する様々な設定内容が記載されています。
もしもこのファイルを悪意のある第三者に見られてしまった場合、データの改ざんや情報漏洩などが容易におこなえてしまうため、外部からはアクセスできないよう対策を行っておく必要があります。

対応方法は、「ファイルの属性（パーミッション）を400にする」だけです。
これを行うと、ファイルは所有者しか読み込めなくなります。ただし、共用サーバーを利用している場合、この方法ができないこともあります。

その際は、「wp-config.php」と同ディレクトリ配下にある「.htaccess」に、以下の文字列を追加しておくことで「wp-config.php」ファイルに外部からアクセスできないように対策をすることも可能です。

<files wp-config.php>
order allow,deny
deny from all
</files>

「wp-config.php」「.htaccess」の両方に上記設定をおこなっておくと、よりセキュリティ対策を高めることができるので、対応可能な場合は両方実施をしておくとよいでしょう。

使用していないプラグインはすぐに削除する

使っていないプラグインをいつまでも削除せずに残しておくと、サイトが重くなるだけではなく、セキュリティホールをつくる原因にもなります。

また、メンテナンスを行うことを停止したプラグインも、WordPressのバージョンアップなどで動作しなくなり、その穴をついて外部からの攻撃を受けることがあるので非常に危険です。

サイトの中で使用していないプラグインや、すでに開発を停止しているプラグインがないか定期的にチェックをおこなって、見つけた場合は即時削除を行いましょう。

WordPressのセキュリティ強化におすすめのプラグイン

WordPressのセキュリティ強化は、プラグインでも行うことができます。ここではセキュリティ対策に役立つおすすめのプラグインをご紹介します。

SiteGuard WP Plugin
すべての設定項目が日本語なので使いやすく、管理画面のセキュリティをガードしてくれるプラグインです。
ログイン画面に画像認証を追加、ログインのない接続元IPアドレスは管理画面へのアクセスを不可とする、ログインを一定回数失敗すると試行できなくさせるなど様々な機能が豊富にそろっているため人気です。

All In One WP Security & Firewall
ログイン画面のURLを変更、簡易的なファイアーウォール機能など、WordPressのセキュリティ対策を総合的に行える頼りになるプラグインです。

Backup Guard
データのバックアップをしておくことができるプラグインです。万が一ファイルを削除されたり、改ざんされたりしても元の状態に回復することができるので安心です。

IP Geo Block
WordPressのセキュリティホールへの攻撃は海外からのものが多いため、海外のIPからの管理画面に対するアクセスをブロックするプラグインです。

WP Security Audit Log
WordPressのログイン履歴や、管理画面の操作ログを記録することができるプラグインです。
ログイン履歴があると外部からのアクセスによる失敗した履歴を確認することができるので、新たな対策にも役立ちます。また、仮に不正ログインをされてしまった場合も履歴から検知をすることができます。

WordPressはなぜ狙われるのか？

WordPressは世界中で最も利用されている人気のCMSで、利用者が多いため攻撃の対象になりやすいというデメリットがあります。

また、構造がわかりやすく、ソースコードが一般公開されているオープンソースなため、脆弱性をつきやすいのも攻撃をうけやすい理由でもあります。

使いやすい反面、攻撃を受けやすいWordPressは、しっかりとセキュリティ対策を行うことを前提に利用することが求められます。

但し定期的にしっかりとこれまで解説してきた対策をおこなっていけば、ある程度の攻撃は防ぐことができます。
しかし、一度対応すればいいというものではないので、定期的に行う保守・管理対応をおこなってしっかりと対策をし続けましょう。

WordPressセキュリティ対策とおすすめプラグインまとめ

WordPressセキュリティ対策とおすすめプラグインについて解説してきましたが、いかがでしたでしょうか？

WordPressを使用している限り、セキュリティ対策をおこない続けることは必須です。
WordPressのアップデートはいつ行われるかわからないので、使用しているプラグインも含め、最新の情報は常に気にしておく必要はあります。

自分で対策し続けることが難しい場合は、保守対応を専門会社に依頼をしておくこともできます。ソライルでは、3つのプランで保守対応を請け負っています。

例えば、サーバー管理やドメイン管理のみといった簡易な保守対応から、WordPressのアップデートごとの対応や、定期的なバックアップ対応などを含む大変お得なプラン、また、必要に応じてページの編集対応などもおこなう＋αのメリットがあるプランなど、自社のWEBサイトにあった保守内容にてご利用いただくことができ便利です。

ソライルでのWEBサイト保守対応プランについては、下記ページで詳しくご紹介しているので、ぜひご覧ください。

→Webサイト保守サービス

→お問合せ