【基本的なことだけ】初心者でも安全にWordPressを使うセキュリティ設定や注意点
WordPressを安全に使う5つのポイント!
1.面倒くさいけどパスワードはとっても大切
2.レンタルサーバーはWAF導入とコントロールパネルの使いやすさで選択
3.SiteGuard WP Pluginの導入と追加設定
4.最低限のプラグイン導入と自動更新、不要なテーマの削除
5.よく分からないままCSS、PHPを変更・修正しない
ブログ作成に欠かせないWordPressですが、多くの方が使っているためサイバー攻撃で最も狙われやすい対象の1つです。
安心してブログを運営するためにもセキュリティには気を付けたいですが、実際には何をどうすればいいのかわからない方も多いと思います。
そこで、この記事では情報セキュリティの国家資格「情報処理安全確保支援士」でもある私「ううら」が、初心者でも安全にWordPressを使うためのセキュリティ設定や注意点をご紹介します。
記事では細かい説明や理由は省いています。もっと詳しい理由や対処方法を知りたい方は、お手数ですが最後の参考資料にあるIPAの情報セキュリティポータルサイトをご覧ください。
情報セキュリティに関する記事をまとめたページ
1.面倒くさいけどパスワードはとっても大切
セキュリティ対策の一番の基本、パスワードの運用です。
WordPressにログインするパスワードだけでなく、レンタルサーバーの管理画面にログインするパスワードも同じくらい大切です。
どれだけセキュリティ対策に気を付けても、管理者アカウントが不正利用された場合は全てが役に立ちません。
そして残念ながら、覚えやすいパスワードは「パスワードクラック」で突破されやすいパスワードです。
幸い、今はWebブラウザがパスワードも記録してくれます。
パスワード生成ツールなどで作成した強固なパスワードを利用して、適切なパスワード運用を心がけましょう。
パスワード生成サイト
強固なパスワードの設定方法
WordPress
管理画面からユーザー > プロフィールを開きます。
アカウント管理に「新しいパスワードを設定」のボタンがあるので、クリックすると自動でパスワードを作成してくれます。
「プロフィールを更新」を押すと新しいパスワードが設定されます。
*作業はこのまま続行できますが、次回ログインから新しいパスワードに変わります。ブラウザに記憶させるか、どこかに記録を忘れないようにして下さい。
もちろん、画像のパスワードは使っていません。
レンタルサーバーの管理アカウント
使っているレンタルサーバーによって変わるため、ここでは私が使っているConoHa WING
管理画面にログインしてアカウント設定を開きます。
パスワード右端の鉛筆マークをクリックすればパスワードを変更できます。
変更するパスワードは先の「パスワード生成サイト」などで作成した強固なパスワードを使います。
強固なパスワードの代わりに「二段階認証」の設定でも大丈夫ですが、追加の設定が必要になります。
2.レンタルサーバーの選択も大切
適切なパスワード運用の後は、ブログを運用するサーバー自体のセキュリティ対策です。
ですが、多くの方はレンタルサーバーを使っていると思うので、必要なセキュリティ対策が取られているレンタルサーバーと契約する事がセキュリティ対策になります。
私自身はConoHa WINGとLittle Serverの2社しか経験が無いため、ネット上の情報と2社の経験でご説明します。
WAF(ウェブアプリケーションファイアウォール)は必須
WAFはレンタルサーバー(Webサーバー)に対する攻撃を防ぐための対策で、ランキングなどで多く紹介されているレンタルサーバーは導入されていると思います。
もちろん、WAFが無くても脆弱性対策がされていれば攻撃を防ぐことはできますが、複数人が使うレンタルサーバーでは自分以外の他人が脆弱性の残るプログラムを使っている可能性があります。
セキュリティに気を付ける場合は、多少値段が高くなってもWAFが導入されているレンタルサーバーを選びましょう。
こんなアクセス数の少ないブログでもサーバーへの攻撃があります
レンタルサーバーのセキュリティ対策には他にもオプションがありますが、「改ざん検知」はここで紹介している不正アクセス対策やプログラムの脆弱性対策、WAFで改ざんされる原因を減らしています。
また、IDS/IPSはユーザーが使っているサーバー自体に対する対策では無いため、明示されていなくても内部的には使われている可能性が高いです。
管理画面の使いやすさも大切
いくらセキュリティ対策が万全なレンタルサーバーを選んでも、初心者に使いづらい設定画面では有効な対策がとれているかわかりません。
また、レンタルサーバーによっては自分で設定ファイルにセキュリティ設定を書き加えないといけない場合もあります。
初心者でもわかりやすく、何もしなくてもセキュリティ上の問題が少ないレンタルサーバーを選ぶと安心してブログ運営に専念できます。
ConoHa WINGのセキュリティ管理画面
何もしなくても最初からセキュリティ設定が有効になっているので大きな問題は起きづらくなっています。
3.SiteGuard WP Pluginの導入と追加設定
ここからは、各自が使っているWordPress自体のセキュリティ対策になります。
サーバー側で設定されている場合もありますが、WordPressへの不正ログインを防ぐためにSiteGuard WP Pluginを導入します。
導入自体は管理画面のプラグイン > 新規追加から「SiteGuard WP Plugin」 で検索すると表示されます。
*導入後は管理画面へログインするURLが変わるためブックマークの変更を忘れないでください。
インストールして有効化するだけでも不正アクセスに対するセキュリティは向上しますが、念のために追加で機能を有効化します。
「フェールワンス」と「ユーザー名漏洩防御」を追加して、ブルートフォース攻撃・リスト攻撃などのパスワードクラック対策を向上させます。
4.最低限のプラグイン導入と自動更新、不要なテーマの削除
WordPressのプラグイン・テーマにはPHPが使われているため、プラグインが増えるほどプログラムにセキュリティホールが存在する可能性が高くなります。
最初の頃は色々なプラグインを導入して試すこともあると思いますが、確認後は使わないプラグインは必ず削除してください。
*頻度は少ないですが、停止にしていてもプラグインの脆弱性が悪用された例があります。
そして、導入したプラグインは「自動更新を有効化」にしてください。
まれにプラグインのアップデートが原因で不具合が起きる可能性はありますが、ユーザー数が多いプラグインでは短期間で修正される場合が多いです。
また、多くの不具合の原因は他のプラグインとの相性が悪いことが原因のため、導入するプラグインを最低限に絞ることはセキュリティ対策だけでなく安定したブログ運営にもつながります。
使っていないテーマも、デフォルトテーマ以外は削除します。
外観 > テーマから該当するテーマの詳細を開き、右下の削除をクリックするとテーマが削除されます。
5.よく分からないままCSS、PHPを変更・修正しない
先ほども記載している通り、PHPだけでなくCSSにもセキュリティの脆弱性(CSSインジェクションなど)が存在する可能性があります。
ブログレイアウトの修正、ちょっとした機能を追加・変更する際はテーマのPHPやCSSの修正や、追加CSSを設定する事もあると思います。
もちろん、多くの場合は問題ありませんがネットからコピペで変更・修正する際は、「可能性は低いけどセキュリティ上の問題が起きるかもしれない」ことを意識してください。
まとめ
以上が終わると、ユーザー側で行えるセキュリティ対策は一通りできています。
技術が必要になったり難しい内容はありません。
ここで紹介している内容はごく基本的なことばかりですが、基本を正しく守っていればセキュリティ対策は実施できています。
少し手間がかかってもパスワード運用やセキュリティ設定を終わらせて、安心してブログ運営に専念してください!