リモートワークでも安心・安全なWordPressのセキュリティ対策とは

もし、あなたがセキュリティや情報システム部の担当、もしくはリモートワークの対象となった方であれば「自宅でWordPressで作業するのはセキュリティ上どうなのか」と悩むかもしれません。 WordPressがデフォルトの状態のまま、何もセキュリティ設定や対策をしないままであれば、サイバー攻撃の標的となり被害を受ける可能性があるのも事実です。 今回はリモートワークでも安心・安全なWordPressのセキュリティ対策についてご紹介します。

リモートワークで不安、心配になる理由

まずはリモートワークで不安、心配になる理由をチェックしてみましょう。

セキュリティに関するレベルを把握しにくい

セキュリティや情報システム部の担当する側としては、リモートワークする側、すなわち作業する人の環境やセキュリティに関する意識のレベルを把握しにくいのが不安や心配になる理由のひとつです。 特にIT知識も含めて情報資産に関する経験については、個々の経歴や職歴による部分が大きく、個人差が大きい部分でもあるからです。同時にセキュリティに関する知識や意識レベルが明確に計れるような仕組みがほぼないのも原因です。

自分自身のセキュリティレベルが不安、心配

リモートワークをする側とすれば、自分自身のセキュリティレベルに不安を感じることもあるでしょう。例えば、パソコンやスマホのアップデートはしているけれど、有料のウイルス対策ソフトの購入はしていない、スパイウェアやサイバー攻撃ってなんだろうというレベルですと、「知らない」ということだけで余計に不安、心配になりがちです。 実際には最近のWinodws10であれば標準でウイルス対策ソフトは稼働していますし、サイバー攻撃についてもいくつかポイントを抑えておけば、怖がり過ぎる必要はありません。もちろん、油断は禁物ですが心配し過ぎると疲れてしまいますし、うっかりミスやヒューマンエラーの原因となり、逆にセキュリティが低くなってしまう可能性があります。

サイバー攻撃による被害、情報の漏洩やデータ改竄

サイバー攻撃による被害、情報漏洩やデータ改竄など、ニュースで見かけたことがあればやはり不安や心配が増大することもあるでしょう。もちろん、サイバー攻撃の標的となる可能性は誰にでもありますし、サイバー攻撃でなくとも情報漏洩、データ改竄などの被害を受ける可能性はあります。 しかし、何ごとも正しく怖がるというのが適切であり、怖がって何もしない、または誤った知識のまま何もしないという状態が一番危険です。まずは知ることを恐れないこと、過度に恐れすぎないことも時には大切です。

まずはWordPressのログイン時のセキュリティを固めよう

サイバー攻撃の不安、セキュリティ知識や経験が乏しいことによる心配はWordPressのセキュリティを高めることで解消されます。 まずはWordPressのログイン時、ログイン周りのセキュリティを固めることから始めてみましょう。

セキュリティ系プラグインの導入

最初にセキュリティ系のプラグインを導入することをおすすめします。WordPressの環境によって相性がありますので、ローカル環境などでテストしてから導入しましょう。 また、セキュリティ系のプラグインは複数入れても効果がなかったり、重複する部分があるとうまく動作しないこともありますので注意が必要です。

ログインURLの変更

セキュリティ系のプラグインの中にはログインURLの変更が可能なものがあります。デフォルトのログインURLから変更するだけでも機械的なサイバー攻撃への対策として効果的です。

ログイン時のCAPTCHAを導入

同じくセキュリティ系のプラグインにGoogle CAPTCHAの導入が可能なものがあります。「わたしは機械ではありません」と、何らかの作業によって証明するものです。文字列の入力、または画像の選択によって、機械的なサイバー攻撃への対処となります。

新しい管理者ユーザーの作成とデフォルトのadminユーザーの権限変更

もし、WordPressの管理者権限を持つ初期ユーザーがadminであれば、新しい管理者ユーザーを作成し、adminユーザーの権限を変更するのもおすすめです。 なぜなら、デフォルトのログインURLと同様にサイバー攻撃に狙われやすい部分だからです。

Edit Author Slugの導入

Edit Author Slug：https://ja.wordpress.org/plugins/edit-author-slug/ ユーザー名からのログインを防ぐため、Edit Author Slugによってユーザー名を変更するのもおすすめです。ただし、ログインURLの変更やCAPTCHAの導入、またはBasic認証、二要素認証が導入されているのであれば不要です。（2020年　4月20日時点の情報です）

Basic認証の導入

ログイン時にBasic認証を導入するのも非常に効果的です。2重のパスワードによってセキュリティ性が高まりますし、何よりもログインページに対するアタックに強くなります。

二要素認証の導入

物理的なキーによる認証、またはメールによる確認など二要素認証の導入も効果的です。プラグインを導入するだけで二要素認証対応のWordPressにすることもできますので、すでに物理セキュリティーキーや二要素認証のアプリを利用しているのであれば、導入もスムーズでしょう。

アップデートは必ず更新しよう

前提としてWordPress、パソコン、スマートフォン、その他の周辺機器も含めてアップデートは欠かさないようにしてください。 アップデートするために何か不具合、できない理由があるのなら、そちらを解決しましょう。自分自身でセキュリティホールを維持し続ける必要はありません。

まとめ：不正ログインやサイバー攻撃は「そらす」ことが大切

不正ログインやサイバー攻撃はほんの少し「そらす」だけで防げるものが少なくありません。もちろん、複合的な技術で狙われることもありますが、まずはログイン周りのセキュリティを高めるだけでも非常に効果的です。 ただし、ログイン周りのセキュリティ強化は作業する際の利便性を下げることもありますので、あまりガチガチに考えないようにすることも大切です。

最後までお読みいただきありがとうございました。 この記事がリモートワークやテレワーク、在宅ワークで安心・安全なセキュリティ対策について知りたかった方のお役に立てれば幸いです。