
WordPressのセキュリティ、ここは抑える5つのポイント
- columbusproject
- Photo:
- 2018-08-27
Wordpressでサービスやサイトを作成した後、セキュリティ対策が気になることはありませんか?
Wordpressに限らず、すべてのサービスやサイト、ホームページはサイバー攻撃の対象となりえます。
今回はWordpressのセキュリティで最低限抑えておきたい5つのポイントについてご説明します。
1.Wordpressをhttps://に対応させる

Googleでもhttpsが推奨されていることから、暗号化通信について気になっている方も少なくないと思います。httpsとは簡単に説明すると、サーバーと個人のパソコンやスマートフォンなどのデバイスをつなぐ通信を暗号化するものです。
暗号化されていない通信は誰かに傍受されたり、データの改ざんが行われる可能性も少なからず存在します。企業や組織の公式ページやサービスであれば、なるべく早い段階でhttps化を進めるようにしましょう。
サーバーによっては有料の場合も
問題点として、利用しているレンタルサーバーによっては、httpsの種類ごとに無料、有料の境目があり、登録や申請が必要なこともあります。
有料の金額についても、それなりの費用が発生することもあるので、二の足を踏んでしまうこともあるでしょう。
最初は無料のhttps化を利用して、収益化が図れてから有料化するなど、ご自身の環境に合わせて計画を練る必要性があることも忘れないようにしてください。
2.Wordpress設置時の初期ユーザーについて

Wordpressを設置した時期によっては、ユーザー名がadminだったり、特に気にせず簡単なユーザー名にしてしまうことがあります。 ユーザー名はそのまま投稿者のURLアドレスになってしまうので、サイバー攻撃をする側からすれば、あとはパスワードさえ割り出してしまえば乗っ取ることができてしまうんですね。
プラグインなどによって変更するか、新しく管理者権限のユーザーを作り、初期設定のユーザーの権限を変更するのがおすすめです。
初期ユーザーを削除しないこと
注意点として、投稿や固定ページの作成、メディアなどが消えてしまうので、初期ユーザーを削除しないことです。 Wordpress初心者の方でこれから設置する方は、管理者権限を持つユーザーをもう一つ作り、初期ユーザーとは別でカスタマイズ専用のユーザーを作成しておきましょう。
初期設定のユーザー名になっていることに気が付かない場合もあり、そもそもユーザー名がわかっていない方も少なくありません。
他のブログサービスからの移行時に注意
考えられるパターンの一つとして、外部ブログサービスなどからWordpressに移行して、相当数の記事があるのに初期設定ユーザーのみで運営し、後からセキュリティ対策をしようとして不慣れなプラグインを導入し、機能しなくなってしまうことなどが挙げられます。
Wordpressを新規に設置して、移行しようと考えている方は十分注意するようにしましょう。
3.投稿ユーザーとカスタマイズユーザーを分ける

前項の初期ユーザーの管理者権限の見直しとは別で、投稿ユーザーとWordpressをカスタマイズする時のユーザーを分けておきましょう。
もちろん、ある程度Wordpressが形作られるまでは管理者権限のユーザーでログインするのが楽ですが、あとは投稿するのみとなれば、投稿者用の権限を割り振って別のユーザーでログインするのが安全です。
Wordpressを複数人で運営する場合
複数人でサイトを運営する場合も同じであり、管理者権限を適切にすることで、他のユーザーからログイン情報が漏れても致命的なダメージを受けにくくなります。
サイバー攻撃についてピンと来ない方も多いかもしれないので、実際に何が起こるかを説明すると、例えば管理者権限を持つユーザーのログイン情報が漏れた場合、悪意のある第三者がWordpressを利用して、勝手にページを作られてしまうことがあります。
その他にはサイトの改ざんやページの削除、勝手にウイルスをアップロードされたりと、それまでに築いてきたドメインやサイト、サービスイン対する信用を失うことになります。
何らかの形でメールアドレスや個人情報がサーバ内にある場合、全て奪われて悪用される結果となります。 Wordpressのセキュリティ対策は、信頼性のある情報を発信するため、悪意のある第三者によって善意の閲覧者に被害が出ないようにするためにとても大切なことなのです。
4.管理画面にログインしたままにしない

これはWordpressに限ったことではありませんが、Wordpressを編集するパソコンが乗っ取られた場合、ログイン情報がもれなくても、Wordpressが乗っ取られてしまうことを意味します。
例えば新しいユーザーを作成されて、元のユーザーの管理者権限を変更された場合、自分のWordpressなのにカスタマイズできず、乗っ取られた人に好き勝手されてしまいます。
情報資源を失う結果となる
場合によっては何をされたのかわからず、Wordpressを削除、再構築することになりかねません。また、バックアップを取っていない場合、データベースにもコンテンツの内容が残ってなければ、せっかく作成した情報資源が全て失われる結果となります。
個人の方でもWordpressでサイトを運営し、何らかの形でサービスを作って収益を上げているとすれば大打撃にもなります。
使用しているパソコンのセキュリティも強化する
今はブラウザ一つで作業される方もいらっしゃいますし、インターネット上の情報で調べものをしてコンテンツを作ったりする場合もあります。
もし、見た目にはわからず、閲覧したサイトがサイバー攻撃を受けていた場合、何らかのウイルスをダウンロードしてしまったり、メールアドレスを登録して無料サービスを受けた時、気が付かないうちに添付ファイルなどを経由して、乗っ取られることもあります。
Wordpressのセキュリティを考える時は、ご自身のパソコンのセキュリティ対策もセットで考えるようにしましょう。
5.ユーザー名・メールアドレスやパスワードの管理

Wordpressにログインするための情報、ユーザー名やメールアドレス、パスワードの管理についてですが、基本的にはメールアドレスやパスワードは使いまわさないようにしましょう。
Wordpressは初期にユーザーを設定する時と、パスワードを忘れた場合に変更する時は自分自身で設定が可能であり、覚えやすいもの、入力しやすいのものを登録してしまいがちです。 簡単なパスワードはすぐに破られてしまうだけではなく、その他のSNSやGoogleなどのアカウントを乗っ取られてしまう場合もあります。
ユーザーごとのログイン情報の管理
初期設定のユーザー、カスタマイズ用のユーザー、投稿者用のユーザー、それぞれ違うメールアドレスを設定し、割り出しにくくしましょう。
複数のメールアドレスを作りにくい場合は、例えば取得したドメインなどでメールアドレスを作成、WEBメールなどでログインするなど、ひと工夫するようにしましょう。
メールアドレスを作るときもinfo@〜〜といった推測されやすいものを作るのではなく、使用可能な文字列を見て、なるべく長いものにすることをおすすめします。
メールアドレスとパスワードを複雑なものにする
サイバー攻撃のパスワードクラックについては、総当たりや辞書攻撃などがあり、簡単なものであれば突破される可能性も十分に考えられます。
パスワードとメールアドレスを複雑なものにしておくことで、乗っ取りされる可能性を少なくすることができます。 可能であれば定期的にパスワードを変更することも忘れないようにしましょう。
セキュリティ対策のプラグインはどうすればいいの?
今回ご説明しているものの中には、プラグインを導入することで解決できるものもあります。
しかし、Wordpress初心者の方ですと、セキュリティ対策のプラグインを導入することで、自分自身がログインできなくなってしまったり、ログインURLがわからなくなってしまう可能性も考えられます。 また、プラグインによっては付随する機能を扱いきれず、理解できないまま導入を進めてしまうことで、意図しない挙動をする恐れもあります。
Wordpressのセキュリティ対策のプラグインについては、しっかりと下調べをしてから導入することをおすすめします。
まとめ
Wordpressはセキュリティ対策のプラグインも豊富ですが、基本的な部分の知識が欠けていると意味がありません。
サイバー攻撃の多くは管理者権限を奪取しようとします。管理者権限を奪うことで悪質なスクリプトを仕込んだり、メールアドレスや個人情報のフォームを設置され、せっかく見に来てくれたユーザーに迷惑をかけてしまうことも考えられます。
大切なのはログイン情報や、管理者権限の管理であり、ログインに対する扱いをしっかりと考えておくことです。 Wordpressは初心者の方でも設置しやすいCMSだからこそ、早い段階でセキュリティ対策への意識を持つようにすれば、サイバー攻撃による不要な被害を受けずに済みます。
Wordpressにセキュリティ対策って必要なの?自分のサイトは大丈夫かな?と思ったら、いきなりプラグインを追加して安心するのではなく、まずは初歩的なログイン周りからしっかりと学ぶようにしましょう。