2020年版：初心者でも簡単にWordPressのセキュリティを高められる5つのポイント

Web制作の初心者でも簡単にブログやWebサイトが構築できるWordPress。 しかし、未経験で知識がない状態ですとセキュリティ面の不安や心配が拭いきれなかったり、そもそも「セキュリティって、何？」という方もいらっしゃるでしょう。

今回はWeb制作の初心者、または企業や組織で初めてWordPressの運営担当を任された未経験の方や、知識が少ない方のために、簡単にWordPressのセキュリティを高められる5つのポイントについてご紹介します。

WordPressに悪意のある第三者にログインされてしまう状況とは

WordPressのセキュリティは「誰かに勝手にログインされないか」という一言に尽きます。なぜなら、WordPressにログインされてしまうと情報の漏洩や改竄が行われる可能性があるからです。

・ユーザー名/メールアドレスとパスワードが推測されやすい

・ログインURLがデフォルト及び何らかのアクセス制限が導入されていない

上記はWordPressが乗っ取られてしまう主な原因です。 WordPress初心者の方はまず「アカウント情報の重要性」を意識してください。

WordPressで覚えておくべき5つのポイント

次にWordPressのセキュリティを高めるために具体的にどうすべきか5つのポイントをチェックしましょう。

1.メールアドレスは普段使わないもの(誰にも教えてないもの)にしよう

2.パスワードの使いまわしや安易なパスワードを使わないようにしよう

3.Edit Author Slugでログインユーザー名を推測されないようにしよう

4.SiteGuard WP PluginでログインURLをデフォルトから変更しよう

5.Two-FactorでWordPressに二段階認証を導入しよう

それぞれの項目によってセキュリティがどのように高まるのか理解しながら覚えることをおすすめします。

1.メールアドレスは普段使わないもの(誰にも教えてないもの)にしよう

WordPressにログインできるアカウント情報としてメールアドレスがあります。WordPressは基本的にはメールアドレスの設定が必須であり、アップデートや何らかの通知を受け取ることが可能です。 もし、名刺やホームページなど、何らかの形で公開しているメールアドレスを利用しているのであれば、すぐに「誰にも教えていないメールアドレス」に変更しましょう。

可能であればオンラインサービスなど、メールアドレスが必要なサービスにも登録していないメールアドレスがおすすめです。 同時に、推測しにくいメールアドレスを利用することで、さらにセキュリティ性を高めることができます。意味を持たない乱数やランダムな数字のメールアドレスを用意して変更しましょう。 メールの転送設定を普段使っているメールアドレス宛にしておけば、WordPressからの通知を見逃すこともないので非常に安心です。

2.パスワードの使いまわしや安易なパスワードを使わないようにしよう

WordPressにログインするためのアカウント情報としてパスワードがあります。パスワードは覚えやすいものや、推測されやすいものは避けること、同時に他のサービスで利用しているパスワードの使いまわしはやめましょう。 また、他のサービスで利用したパスワードを一文字二文字変更しただけのパスワードも推奨できません。可能であれば完全にランダムで覚えにくいもの、意味を持たないような文字列にすることが大切です。

3.Edit Author Slugでログインユーザー名を推測されないようにしよう

WordPressはデフォルトの状態でユーザー名がログインするためのアカウント情報に設定されます。ユーザー名は投稿者としてのURLスラッグとして表示されてしまうため、機械的なサイバー攻撃のターゲットとして狙われやすいです。 ユーザー名が知られてしまうということは、あとはパスワードさえあればログインできてしまうということ。特にWordPress初心者の方がWordPressの初期設定で設定した簡単なユーザー名ですと非常に危険と言えます。 ユーザー名を変更する方法として「Edit Author Slug」というWordPressのプラグインを導入する方法があります。WordPressのプラグイン→新規追加で「Edit Author Slug」と検索すると表示されますのでインストールして有効化しましょう。 有効化するとユーザーの設定項目に「Edit Author Slug」の項目が追加されます。任意の文字列、またはランダムなスラッグに設定することで、ユーザー名を非公開と同じ状態にすることができるので、ユーザー名を知られてしまう可能性が限りなく低くなります。

4.SiteGuard WP PluginでログインURLをデフォルトから変更しよう

WordPressのデフォルトのログインURLもサイバー攻撃に狙われやすくなり、セキュリティを下げる原因となります。 WordPressのセキュリティプラグイン「SiteGuard WP Plugin」の機能の一つにログインURLを変更できるものがあるので、プラグインの新規追加から検索して、インストールして有効化しましょう。 SiteGuard WP Pluginは有効化するだけで、すぐにログインURLが変更されます。表示されたURLをブックマークするか、任意の文字列を設定してブックマークすることを忘れないようにしてください。 もし、ログインURLをブックマーク、またはメモせずにログアウトしてしまうと、WordPressにログインできなくなります。その場合はFTPソフトやWebFTPを利用してサーバーにログインして、SiteGuard WP Pluginのフォルダを削除することでデフォルトのURLに戻すことができます。

5.Two-FactorでWordPressに二段階認証を導入しよう

Two-FactorはWordPressに二段階認証を導入できるプラグインです。日本語化されており、メニュー項目もわかりやすいので初心者の方でも簡単に二段階認証を導入できます。 プラグイン→新規追加で「Two-Factor」を検索してインストール、有効化するとユーザーの設定項目にTwo-Factorの機能が追加されます。 二段階認証の方法として、メールアドレスにワンタイムパスワードを送る形の認証、Google認証システムのアプリによる認証、物理キーによる認証があります。お好みの方法で二段階認証を導入しておけば、よほどのことがない限り不正ログインされることはないでしょう。 ただし、昨今ではフィッシングサイトなどを介してメールやSMS経由の二段階認証を突破するサイバー攻撃の手法もありますので、二段階認証を設定したからといって油断しないことをおすすめします。

さらにセキュリティ性を高めるためにSiteGuard WP Pluginの設定項目を理解して適切に設定しよう

SiteGuard WP PluginにはログインURLを変更する機能以外にもセキュリティ性を高める機能があります。初心者の方でもクリックのみで設定可能ですので、じっくりと調べて理解してから、その他の項目も適切に設定してみてください。

まとめ：アカウント情報の管理とログイン時の認証を理解しよう

WordPressに限らず、ユーザー名/メールアドレスによる認証は様々なシステムで活用されています。現時点で一番セキュリティ性を高められるのは、物理キーを利用した二段階認証です。 しかし、サイバー攻撃は日々進化しており、必ずしも現時点で最高のセキュリティ対策をしていたとしても、別の方向から攻撃されてしまうことも考えられます。 今回ご紹介したセキュリティ対策や知識以外にも様々な方向からサイバー攻撃への対策を考えることが大切です。 また、プラグインを導入する際は必ずバックアップを取り、バックアップから再構築する手順を理解することをおすすめします。 テーマやその他のプラグイン、PHPとの相性によっては不具合、エラーが起こる可能性も考えられるためです。 まずはローカル環境にWordPressを構築したり、練習用のドメインを取得してWordPressを構築したりして、テストすることも忘れないようにしてください。