WordPressのセキュリティ対策をしていますか?
記事を書く。知識をつける。リライトすることばかりに気を取られてしまい、セキュリティを後回しにする人は結構います。
この記事では、セキュリティをしないとどうなるのか?
セキュリティの対策方法について解説していきます。
こんな方におすすめ
- セキュリティ強化の仕方がわからない
- セキュリティ被害はどんなものがあるの?
- 簡単にセキュリティ強化をしたい
いつ、どこで被害に遭うかわからないこそ、対策はしっかりとしておかなければなりません。
「被害にあってからでは遅い!」この言葉を胸に、本記事を参考にしていただければと思います。
WordPressのセキュリティ対策は必要?
セキュリティ対策って必要なの?どうやるの?
そう思っている方や、対策をしたいけどどんなセキュリティ対策があるのか知りたいと思う方は多いと思います。
紹介する前に、セキュリティ対策をしなかった場合どんなことが起きるのかを認知しておきましょう。
被害のリスク
- 売り上げが出ているサイトがエラーや違反を受けて使用できなくなってしまう
- サイトが、第三者の誰かに盗られてしまった
- 盗られたサイトが、別のサイトに悪影響を及ぼしていた
セキュリティ対策を行なっていないと、上記のような被害にあう可能性があります。
実際の実例やリスク面をもとに、解説していきます。
WordPressは狙われやすい対象である
WordPressは非常に狙われやすいです。
結論、利用者が多すぎるからです。
実際に、世界で利用されている全ウェブサイトの約40%が「WordPress」となっており、シェア率は年々増えていっています。
有名どころでいうと
- アメリカ→ホワイトハウス・アメリカ空軍公式マガジン など
- 日本→早稲田大学・東京国立近代美術館 など
アメリカのホワイトハウスでも利用されているのは、驚きでしたね。
悪いことを考えている人は、あまり利用されていないところを狙うよりも、利用者が多いところを狙った方が効率がいいということもあるので、普段からセキュリティ対策は行なっておきましょう。
セキュリティ被害を受けるとどのような事が起きるのか?
実際に、どんなセキュリティ被害にあうのか。
以下に例を紹介します。
セキュリティ被害
記事を勝手に変更させられる
他サイトへ、多くの迷惑メールを自分のブログから送られる
個人情報が漏洩してしまう
実は、2017年にWordPressで多くの記事が「記事内容を変更できてしまう」という案件が発生してしまい、約150万ものサイトが被害にあってしまいました。
参考:WordPressサイトの改ざん被害は150万件超に「最悪級の脆弱性」: ITmedia エンタープライズ
被害にあったサイトを再度利用できるようにするには、「1件1件記事を確認して直していく」という作業が必要です。
さらに、「不要なファイル(あるかもしれない)を探して削除する」という作業が必要であるため、非常に時間のかかる作業となってしまいます。
各レンタルサーバー会社でもセキュリティ対策をしているのですが、WordPressを利用しているユーザー側も対策をしていかなければ、被害を全て防ぐことが難しい場合があります。
ログインによる被害
パスワードで保護されているアカウントなどに自分の意思とは別ににログインされることを、不正ログインと言います。
不正ログインは被害にあう確率が非常に多く、特に売り上げが発生しているブログは非常に大きな被害を受けてしまう場合があります。
被害内容
ブログ記事を全消去
記事内容を変更されてしまう可能性
アダルトサイトなどのGoogleが決めている規約に違反したサイトに変えられる
アフィリエイトなどのリンクがフィッシングサイトなどに変更される可能性
アフィリエイトリンクが勝手に書き換えられ、売り上げが下がってしまう。
規約違反行為をされてアカウント停止処分されてしまう。なんてのは必ず避けたい被害です。
さらに被害は自分にだけではなく、サイトを見に来た「読者」にも被害が及んでしまうことです。
サイトの被害を受けたのは自分ですが、不正ログインが原因で読者(ユーザー)が被害を受けてしまうと、場合によっては犯罪の肩を貸したということにもなりかねません。
信頼問題につながるので、セキュリティ対策を普段から意識するようにしましょう。
他サイトへ攻撃する踏み台になる被害
第三者が、サイトへ侵入して他のサイトやサーバーに攻撃する行為をする人もいます。
SNSやニュースなどでたまにみる「DoS攻撃・DDoS攻撃」という単語。
- DoS攻撃→サーバーダウンを目的として大量のリクエストを送りつける行為
- DDoS攻撃→DoS攻撃を複数台に分けて送りつける行為
攻撃を受けたサーバー視点から見ると、自分が運営しているサイトから攻撃をしてきたと感じるので、被害を受けたと言われたら一番最初の調査対象となってしまいます。
自分も被害を受けていたと調査をすればすぐに分かるとは思いますが、分かるまで被害者の人にやってもないことをやったと思われたり、自分も時間を取られてしまったりと精神的にも悪い状況になります。
自分のサイトが、攻撃の踏み台にならないように対策しなければいけません。
個人情報の漏洩被害
不正ログインによる個人情報の漏洩被害もあります。
WordPress内には、非常に多くの情報があります。
自分の個人情報の他に、コメントをしてきた読者のメールアドレス。他にも
- SNSのセキュリティキー
- シークレットキー
- Amazonアソシエイト
- 楽天アフィリエイト
さらには、プラグインにも個人情報を貯めていくものもあります。
自分の知らないところで、個人情報が漏れていると思うと怖いです。
セキュリティ対策の注意点
紹介してきた被害に遭わないために、WordPressでセキュリティ対策をしていきましょう!
とはいえ、「セキュリティ対策って何すればいいのかわからない!」と感じている方は多いと思います。
そんな方に朗報です!実は、セキュリティ対策の多くはプラグインで対策をすることができるのです。
しかし、注意点があるのも事実。
プラグインを入れすぎると、サイトの表示速度が遅くなる場合があり、さらにはプラグイン同士で干渉してしまいエラーが発生してしまう場合があります。
そうならないためにも、プラグインをしっかりと理解し選ぶことでリスクを回避し安全に利用しましょう。
これから 紹介するプラグインの多くは、クリックするだけという簡単設定のものばかり。
難しい設定があると思われがちですが、簡単にできるので、セキュリティ対策をしっかりと行なっていきましょう!
実際にセキュリティ対策をWordPressで行う
これから紹介するセキュリティ対策は基本的に、1度設定を終わらせればその後の設定は不要になるタイプが多いです。
めんどくさい作業もありませんので、気持ちを楽にさっと終わらせてしまいましょう!
まだプラグインの選択や設定が全然できていない方向けに、プラグインのよくある質問などにも解説している記事があるので、気になる方は合わせて読んでみてください。
WordPressのおすすめプラグインを紹介!導入必須のものとあると便利なもの
WordPressを開設、テーマを導入した後に悩むのがプラグインの導入です。 一般的に、プラグインを導入しようとした初心者が「結局、何を入れたらいいの?」と最初の段階で頭を抱えるケースは非常に多い ...
レンタルサーバーにあるセキュリティ
レンタルサーバーにもセキュリティ機能をあるのをご存知でしょうか?
専門的知識がなくても簡単に設定ができ、わからなければ公式サイトに設定方法がわかりやすく解説されています。
実は、設定を行わなくても契約した時点から有効になっているものもあるので、安心して利用することができます。
ポイント
どのレンタルサーバー会社にもセキュリティ機能がついており、安心して利用することができます!
さらに追加で強化した方が安心なので、詳しい設定場所や方法は、公式サイトで確認できるので確認してみてください。
今回は、利用者が多い「ConoHa WING」と「X server」の2社のURLを載せておきます。
▶︎ご利用ガイド サイトセキュリティ設定(ConoHa WING)
▶︎WordPressセキュリティ設定(X serveer)
各機能の定期的な更新
一番重要な項目である、各機能の定期的な更新。
WordPress本体や・プラグインの更新がこれに当てはまります。
ブログ運営を行なっていると、定期的にWordPressのアップデートやプラグインのアップデートが行われるので、更新しておきましょう。
アップデートのメリット
- 機能追加
- 機能改善
- セキュリティ(脆弱性)強化
人によっては、更新がめんどくさいと放置している人がいますが、無料でクリックするだけという簡単な作業なので、すぐに終わらせておきましょう!
放置するということは、「サイトを好きに利用していいですよ」と言っているのと同じ。
被害にあってからでは遅いので、後悔する前にポチっと更新をしてしまいましょう。
2段階認証を利用
セキュリティ対策を簡単に強化したい方は、2段階認証を利用しましょう!
この2段階認証をするだけで、ほとんどの不正ログインを防ぐほどの効果があります。
2段階認証は言葉の通り、ログイン時に2段階のセキュリティを認証されることでログインできるようになるものです。
2段階認証は仕組みが複雑となっており、攻撃者もなかなか認証コードを解析するのは難しくなっています。
簡単に侵入されないように、2段階認証は必ずしておきたい対策の一つです。
パスワードを強化する
パスワードを自分の名前や誕生日にしていませんか?
パスワードは長く、文字の種類を多く含ませた方が分かりづらく解析しにくくなります。
文字の種類
・大文字
・小文字
・数字
・記号
「そんなに複雑にすると覚えるのが大変!」という方もいると思います。
安心してください!
最近では、Google ChromeやSafariなどの無料で利用できるサービスや、1Passwordといった有料のソフトウェアにパスワードを保存(記憶する機能)することができます。
パスワードの文字選びの参考に、サイト攻撃の種類の一つに「辞書攻撃」という方法があり、辞書の単語を全て解析に利用してみるという攻撃方法があります。
そのため、辞書に載っているような単語・生年月日などは避けて、規則性のない複数の種類を合わせたパスワードを決めましょう!
ログインの回数制限
次に紹介するのが、ログイン時に入力間違えした時の回数を制限するセキュリティ対策です。
2段階認証にプラスして行う事で、より強いセキュリティに変える事ができます。
主な機能としては、iPhoneなどと一緒でパスワードを数回間違えると、一定時間入力ができなくなるというような設定ができます。
ポイント
ログイン回数を限定することで、不正の確率を少しでも減らすための対策です。
強化方法のおすすめはプラグインでの強化で、以下に紹介するプラグインを使えば間違いないです。
これらのプラグインは、以下のような機能が全て使えます。
機能
- ロック後の次回ログインまでの時間設定
- 回数制限設定
- ロックかかった際のメール通知設定
Advanced Google reCAPTCHAの利用
Advanced Google reCAPTCHAをダウンロードする
次は、 Advanced Google reCAPTCHAを紹介します。
これは、BOT(機械プログラム)に対しての不正を防いでくれるプラグインとなっています。
人物相手にはあまり効果がありませんが、自動ログインツールのような「BOT」に対しては非常に効果があるセキュリティシステムです。
「reCAPTCHAエンタープライズ」という新しいシステムが2020年に導入され、サイトを一つずつ選択しなくてもサイト全体を簡単にセキュリティ強化できるようになりました。
さらに、現代ではモバイルでの需要が増えたこともありモバイルにも対応されるようになりました。
ログイン時のURL変更
最後に紹介するのが、ログインURLの変更です。
ログイン画面URLを変更する部分は以下のマーカーの部分となっています。
変更例(当ブログの場合)
変更前 https://ryoo-blog.com/wp-admin/
変更後 https://ryoo-blog.com/security/
この対策は、ログインのURLがわかってしまったら、セキュリティ被害を防ぐことが難しくなるので基本は2段階認証、ログインの回数制限が優先すべきセキュリティ対策となります。
ログイン管理ページを見つけるために時間をかけて調べる可能性は0ではないので、できるセキュリティ対策はやっておくと安心感が増します。
ログインのURLを変更する方法は、プラグインとなってます。
- WPS Hide Login
- Login rebuilder
上記のどちらかで問題ないです。
おまけ:統合型のセキュリティ
今まで紹介してきたセキュリティ対策は、これからセキュリティを強化していくという人向けに紹介したものです。
すでに、ある程度のセキュリティはしている。
もっとセキュリティを強化したいという方は、下記のプラグインも検討してみてください。
よりセキュリティを強化したい方向け
- miniOrange
- Wordfence
- All In One WP Security & Firewall
機能が充実しているので、幅広く歯痒いところまでセキュリティを強化できるのですが、設定項目が多いがゆえに大変です。
導入をおすすめしていますが、紹介してきた対策だけでも十分な対策効果はあるので余裕が出てきた時に試してみてください。
WordPressでもバックアップを利用
これまで紹介してきた対策は、外部からの被害を防ぐ方法をお伝えしました。
次にするセキュリティ対策は、侵入されてしまった場合です。
紹介する方法は、ログイン時の被害だけでなく、サーバー障害などが起きてデータがなくなってしまった時などにも役立ちます。
DB(データベース)のバックアップ
一番最初で重要なバックアップが「DB(データベース)」。非常に多くのデータが保存されています。
テーマやプラグインの設定やデータ 記事の本文・タイトル・メタ情報のデータ。 要は、WordPress全体(表示・設定など)のデータのことです。
このデータが被害に遭い、無くなってしまったりすると元に戻すには不可能に近い状態になってしまいます。
バックアップをする方法の手段はいくつかあります。
バックアップ方法3選
- サーバー側でのバックアップ
- プラグインでバックアップ
- PHPMyAdminでバックアップ
などの方法が複数あります。
サーバー側でのバックアップも悪くないのですが、サーバー側にバックアップを取ると、サーバーに攻撃があった際にバックアップデータがなくなってしまう可能性もあります。
そのため、プラグインでパソコン本体にデータを残すという方法が安全性が高いということです。
最後の「PHPMyAdminでバックアップ」は、操作方法が少し難しいので、操作に自信がある人だけ利用しましょう。
ファイルをバックアップ
DB(データベース)だけではなく、ファイルもバックアップをとっておきたいところです。
ファイルでのデータは様々です。
WordPressテーマ・リダイレクト設定で使用する.htaccess・アップロード画像など、ファイル形式のデータにも重要なデータが多く存在します。
これらのデータもなくなると非常に困るデータばかりなのでバックアップが必要です。
バックアップ方法
- FTPソフト
- プラグイン
簡単なのはプラグインなので、入れられる人はプラグインでのバックアップを行いましょう!
UpdraftPlusでバックアップ
「正直、今まで紹介してきたものがよくわからない!」という方もいると思います。
そんな方に朗報!
「UpdraftPlus」というプラグインがあり、これを利用すれば簡単にバックアップをすることができます。
さらに、バックアップしたデータはクラウドストレージ(Google driveなど)に保存され、定期的に保存をするための設定もできるので非常に便利です。
一
レンタルサーバーのセキュリティ対策
これまで、不正ログイン・バックアップについて紹介してきましたがこれで終わりではありません。
多くの方が、忘れがちなのがレンタルサーバーのセキュリティ対策となっています。
安心してください。難しい設定はないですよ!
パスワードを強化する
パスワードを強化するのは、全てに共通しています。
そして、個人の名前や生年月日など分かりやすい文字列はやめましょう。
パスワードが覚えられない!って方は、先述した通りGoogle chromeなどのウェブサイトに記憶させる機能や、1Passwordといったソフトウェアを使って覚える手間をなくして、安全を手に 入れましょう!
「パスワードを覚えなくても大丈夫な状況を作る」のは重要なポイントとなっています!
2段階認証を利用する
2段階認証も先述しましたが、こちらもサーバーの方で設定ができます。
今では、当たり前のようになっている2段階認証。
よく利用されているレンタルサーバーを2つ(ConoHa WING・Xサーバー)設定場所を紹介します。
それ以外を使っている方は、各公式サイトをご確認ください。
設定場所
ConoHa WING→ログインをして右上のアカウントをクリック後「アカウント設定」から設定ができる
Xサーバー→ログインをして左の「登録情報」から設定ができる
FTPアカウントを厳選する
ファイルのダウンロードやアップロード時に何かと利用するFTPアカウント。
特に使う予定もないのに、いくつか作ったりしていませんか?
FTPアカウントが原因で、サーバー内に不正ログインされてしまったりということもあります。
作っていたら、厳選し削除するようにしましょう。
PHPはサーバー推奨のバージョンにする
運営しているサイトが長いものだと、設定が古く、バージョンがサーバー推奨のものでないという可能性があります。
現在では、WordPressバージョンが6.4.2(2024年1月現在)、PHPバージョンの推奨は7.4以上となっています。
一部、上記の条件に当てはまらないサイトもあり、古いバージョンでないと不具合を起こしてしまうという可能性もあります。
注意ポイント
5年ほどたっても使用しているテーマやプラグインが最新のものを使えないとなると、利用しているテーマやプラグインそのものを変えたほうがいいです。
最新バージョンを利用することで、セキュリティアップにも繋がります。
変更は、各サーバーごとで違いますが、基本的には管理画面で行えるようになっています。
まとめ:セキュリティ対策をやって損はない!
今回紹介した内容をまとめると以下になります。
本記事のまとめ
- セキュリティ対策は運営する上で必須項目
- 不正ログインんをさせないセキュリティ紹介
- サーバー側にも対策が必要
- バックアップは、日頃から行っておく
- アップデートを行い最新の状態を保つ
不正ログインをさせないセキュリティ対策 サーバーの不正を防ぐためのセキュリティ対策 どちらも共通しているのは、「不正されてからでは遅い」です。
セキュリティはどれだけしていても、必ず安心と言うわけではないですが、悪いことをしている人が不正しようとする気力や被害の確率は低くすることができます。
セキュリティを強化は、できるところから早いうちに対策する事をおすすめします。
何よりも自分だけの被害(個人情報漏洩・売上がなくなる)ではなく、読者にも被害が及んでしまう可能性があり「信用問題」に繋がる非常に重要な内容となっています。
今一度、見直すことで安心してブログ運営ができるように意識を高めていきましょう!