WordPressサイトのセキュリティガイド
WordPressの個別レッスンを最近よく開催しているのですが、会社サイトの担当になった方などバージョンアップされていないサイトも多いので、セキュリティのためだけでなく、WEB担当になった方のためにもこの内容を必ず見ておいて欲しいので追加しました。
WordPressの管理について
最近ではWordPressサイトへのハッキングが増えています。(参考:ハッキングされているかチェックする方法はこちら)
WordPressサイトの乗っ取りは、サイトの中に仕込まれた悪意のあるソフトウェア、
マルウェア(Malware)と呼ばれる通称ウイルスやコンピューターウイルスにより、サイトがハッキングされたり改ざんされたりします。
よくあるハッキングの被害例
- ページ、サイトの改ざん
- 不正なページの大量生成
- スパムサイトへの転送(リダイレクト)
- 検索結果の乗っ取りによるスパムサイトへのリダイレクト転送
- WordPressサイトを踏み台にしたスパムメール送信
- 被リンクサイトとしての不正利用(フッター等に知らないサイトへリンクが貼られている
2015年から2020年までの世界中のマルウェア攻撃の年間数
WordPressサイトへのハッキングの多くは、古いWordPressやプラグイン、テーマによるセキュリティの脆弱性やログイン情報のパスワードが脆弱等が原因で起こります。
WordPressは世界中で人気のCMS(Contents Management System:コンテンツ・マネジメント・システムの略)です。
そのため、マルウェア(ウイルス)によるサイトへの攻撃も増えています。
(マルウェア攻撃の年間数 数十億単位)
初心者の方でもできるWordPressのセキュリティを確認しておきましょう
ホームページ担当者の方は、WordPressサイトのセキュリティを知って、WordPressのウェブサイトをハッキングから守り、保護する方法を知っておきましょう。
1. ユーザー名で「admin」等は使用してはいけない
昔のWordPressは、インストール時に「admin」というユーザー名が最初に入力されていました。そのため、パスワードだけ変更してインストールしているユーザーが世界中にまだ存在します。
そのため、そういった安易なユーザー名を狙って総当り攻撃があるため、下記のようなユーザー名は使用しないこと。
使用してはいけないユーザー名例
- 「admin」「Admin」
- 「administrator」「Administrator」
- 「webmaster」「Webmaster」
- 「test」「Test」
- 「ドメイン名」等想定されるユーザー名:当サイトの場合…「8seminar」
もし、簡単なユーザー名の方は下記を参考に変更してください。
2.パスワードを強力にする
WordPressのログイン画面は、サイトURLの後ろに「wp-admin」、もしくは「wp-login.php」をつけると上記のようなログイン画面が表示されます。
そのため、悪意のあるクラッカーによるパスワードを自動でランダムに打ち込んだ、数撃ちゃ当たるだろう的な総当たり攻撃が本当に多いです。
パスワードを強力にしましょう!
強いパスワードをうまく作れない方
- ローマ字打ちをすると長くなります(例:「Ringodaisukida4」りんご大好きだよ)
- 外部のパスワードを作るサイトを利用する
WordPressのユーザー追加をすると自動的に強力なパスワードが生成されます。
こちらを使用しても問題ないですが、もしご自身でパスワードを変更した場合に、簡単な文字列の脆弱なパスワードを設定しようとすると、下記のように「脆弱なパスワードの使用を確認」のチェックをしないとユーザー追加できないように仕様変更されています。
強力なパスワードにしておきましょう。
ワードプレスを最新にしておきましょう
WordPressのバージョンアップ
WordPressの本体のバージョンを最新にする
WordPressの本体バージョンを最新にしておきましょう。
最新バージョンが利用できるようになるとWordPress管理画面の上部にこのように「WordPress XXX が利用可能です今すぐ更新してください。」と表示されます。
セキュリティのためにも最新にしておきましょう。
プラグインのバージョンアップ
WordPressのプラグインを最新にしておきます
「プラグイン」>「インストールプラグイン」>をクリックします。
プラグインもバグや修正等で常にバージョンが上がっています。こちらも最新にしておきましょう。
(使用していないプラグインも最新にしておきます。)
WordPressのプラグインの「自動更新を有効化」を「有効」にしておきます
たまにしかWordPressサイトにログインしない方は、プラグインの更新も忘れてしまいがちです。WordPress5.5バージョンから付いた「自動更新を有効化」を「有効」にしておくと楽ですよ。
有効化されたプラグインは下記のように「自動更新を無効化」という表示に変わります。
使用していないプラグインを削除します
使用していないプラグインは削除しておきます。使用していなくてもサーバーに入っているのであればそのプラグインの脆弱性を狙われることもありますので、セキュリティのために削除します。
「有効化」しているプラグインは「削除」ボタンが表示されないため、一度、「無効化」してから「削除」します。
テーマのバージョンアップ
WordPressのテーマも最新にしておきます
「外観」>「テーマ」をクリックし、「今すぐ更新」をクリックしWordPressのテーマも最新にしておきます。
(使用していないテーマも最新にしておきます。)
1つ公式のテーマを残し、使用していないテーマも削除します
「外観」>「テーマ」をクリックして表示します。
左上のテーマが実際に使用しているテーマです。1つのWordPressサイトに1つのテーマを利用します。
使用していないテーマを削除します。ただ、現在使用しているテーマに問題があった場合も想定して、WordPress公式のテーマを1つ残し、それ以外を削除しておきます。
テーマの削除方法は、削除したいテーマをクリックし右下の「削除」をクリックします。
SSLについて
SSLを使用する
インターネット上でデータを暗号化して送受信する仕組みのSSL(Secure Socket Layer)は本来は有料のため、個人サイトでの導入はハードルが高かったのですが、簡単に無料SSLを今は利用することが出来るようになりました。
無料SSLの「Let’s Encrypt」(レッツ・エンクリプト)は、無料ですぐに利用が可能なSSLサーバー証明書です。
運営は、アメリカの非営利団体ISRG (Internet Security Research Group) で、2016年から提供しています。
SSL未対応と対応のサイトをChromeで表示した例
SSL未対応のURLは「http」です。例:http://www.8seminar.com/
SSL化されたURLは「https」で「s」が付きます。例: https://www.8seminar.com/
※ ブラウザのGoogle Chromeが非httpsサイトに「保護されていない通信」と警告表示されます。
セキュリティプラグイン
セキュリティプラグインの導入
WordPressのセキュティプラグインを導入しましょう。
有名なものは国産のプラグイン「「SiteGuard WP Plugin」です。
プラグインを「有効化」すると管理画面のURLが変更可能です。
ログイン画面にひらがなが表示され同じものをタイピングしないとログインできなくなります。
バックアップについて
バックアップを取っておきます
WordPressのバックアップを取得する方法はいくつかありますが、念のためにバックアップは複数取得しておきましょう。
WordPressのバックアップ方法
- サーバー会社提供のバックアップ機能を利用する
- バックアッププラグインを使用します
おすすめのバックアッププラグイン「All-in-One WP Migration」
WordPressサイトのセキュリティ対策をしておきましょう。初心者の方はログインのユーザー名とパスワードが簡単なため脆弱になっていることも多いです。
WordPress本体のプログラムを提供している会社とプラグインやテーマの開発者は大半が別の方です。そのため、すべての使用しているプラグインやテーマだけでなく、使用していないものも(サーバーにアップロードされているため)最新にしておきます。
万が一のことがあった場合にも、元に戻せるようにバックアップもしておきます。
ぜひ、皆さんのサイトのセキュリティ対策をしておきましょう。
