• トップ
  • セキュリティ
  • WordPressでセキュリティ対策を行っていない状態で導入すべきプラグインについて

WordPressでセキュリティ対策を行っていない状態で導入すべきプラグインについて



WordPressは個人だけでなく、ビジネス用途で企業や組織としても広く普及しているCMSです。誰でも気軽に、無料でホームページを作成できることから、とても人気があり、インターネット上の情報も豊富で悩みごとや困りごともすぐに解決します。

しかし、WordPressを構築したばかりで、セキュリティ対策を行っていない状態でサイトが公開されているのであれば、とても心配です。思わぬ被害やリスクを受けないためにも、今すぐに最低限、行っておくべきセキュリティ対策をすることをおすすめします。

今回はデフォルトのWordPressに潜む3つの危険性とは何か、そしてセキュリティ対策を行っていない状態で導入すべきプラグインとして「Edit Author Slug」と「SiteGuard WP Plugin」の2つについてお話します。

デフォルトのWordPressに潜む3つの危険性とは

はじめにデフォルトのWordPressに潜む3つの危険性について簡単に説明します。

ログインするためのユーザー名が丸見えであること

デフォルトのWordPressはログインするためのユーザー名が丸見えです。昨今では登録時にadminで登録することはほぼないと思われますが、adminではない場合でも外部からユーザー名を知る方法があるので非常に危険と言えます。

なぜなら、ユーザー名が外部の人間に伝わってしまう状態ですと、あとはパスワードが知られてしまえばログインできてしまうためです。また、管理者権限でないユーザーの場合においても、データ改ざんやスクリプトの埋め込みなどをされる可能性もあるため軽視すると思わぬ被害やリスクを受ける可能性があるので注意しましょう。

ブルートフォースアタック(総当たり攻撃)やリスト攻撃に弱いということ

WordPressはデフォルトの状態ですと、何度もログイン試行をしても弾かれることはありません。すなわち、手当たり次第にランダムにパスワードを入力するようなサイバー攻撃、もしくはよく使われるパスワードの辞書を用いたサイバー攻撃に弱いということです。

その上、前項で説明した通り、ユーザー名が丸見えでバレバレな状態であれば、簡単なスクリプトのみであっという間にログインされ、WordPressを乗っ取られてしまいます。

デフォルトのログインURLが誰にでもわかるURLであること

WordPressはデフォルトですと、ログインURLが誰にでもわかるURLになっています。「 example.com/wp-admin 」や「 example.com/wp-login.php 」と 「 example.com 」の部分のドメインを入れ替えるだけで、ログインURLにアクセスできてしまうのです。

ログインURLもユーザー名も丸見えでバレバレ、機械的なサイバー攻撃にも弱いということは、セキュリティ性がほぼ皆無といっても過言ではない状況であり、やはり危険な状態でしかありません。

セキュリティ対策を行っていない状態で「Edit Author Slug」と「SiteGuard WP Plugin」の導入をおすすめする理由

次にセキュリティ対策を行っていない状態で「Edit Author Slug」と「SiteGuard WP Plugin」の導入をおすすめする理由を解説します。

「Edit Author Slug」でユーザー名を見えないようにする


Edit Author Slug:https://ja.wordpress.org/plugins/edit-author-slug/

Edit Author SlugとはWordPressのユーザー名を任意の文字列で設定できるようにするプラグインです。


Edit Author Slugを導入し、管理画面のユーザーの設定画面に入ると、上記のような項目が現れます。赤い矢印の指している「カスタム設定」に任意の文字列を入力すれば、ログインできるユーザー名とは別にスラッグがURLに表示される仕組みです。この時点でユーザー名が外部から推察、丸見えではなくなるので、サイバー攻撃の手段のひとつに対策できていると言えます。

「SiteGuard WP Plugin」でログインURLを変更する


SiteGuard WP Plugin:https://ja.wordpress.org/plugins/siteguard/


SiteGuard WP Pluginは統合的なセキュリティプラグインです。SiteGuard WP Pluginを導入すると、上記の太枠の赤線のような形ではじめにデフォルトでログインURLを変更するので、変更されたURLをブックマーク、またはメモするのを忘れないでください。この時点で一旦オフにしても良いでしょう。よく使い方を見て、調べてからオンにすること、推察されにくい文字列にすることをおすすめします。

SiteGuard WP PluginのログインURL変更によって、サイバー攻撃の手段のふたつめに対策できるようになります。

「SiteGuard WP Plugin」でブルートフォースアタックおよびリスト攻撃の対策を行う


同じくSiteGuard WP Pluginを導入すると、機械的なログイン試行への対策が行えるようになります。

悪質なアクセス元をブラックリスト化するような機能はないものの、攻撃を察知した時点でロックできるので非常に有効な手段と言えます。
ユーザー名の変更、ログインURLの変更、そしてログイン試行の制限や一時的なブロック、この3つでサイバー攻撃を防ぐのだと覚えておきましょう。

まとめ:一時的なセキュリティ対策であることを理解し、不安ならセキュリティの専門家に依頼しよう!

今回はデフォルトのWordPressに潜む3つの危険性とは何か、そしてセキュリティ対策を行っていない状態で導入すべきプラグインとして「Edit Author Slug」と「SiteGuard WP Plugin」の2つについてお話しました。

2つのプラグインによって、3つの危険性を排除すれば、少なくとも機械的かつシステム的なサイバー攻撃に対して、最低限のセキュリティ対策となります。しかし、あくまでも一時的なセキュリティであると理解し、不安ならセキュリティの専門家に依頼するのがおすすめです。

特に、既に個人情報や顧客情報を何らかの形で預かるような場合ですと、情報漏えいやデータ盗聴、データ改ざんなどのリスクがありますので、場合によってはセキュリティ対策を行うまで、サイトやドメイン、URL自体にアクセスできないよう設定しておくと安心です。

最後までお読みいただきありがとうございました。

この記事がWordPressのセキュリティ対策がよくわからなくて困っている方のお役に立てれば幸いです。

目 目

注目記事

SEO特集