大学専門Web制作 アプライド

現在、WordPressは世界シェア率60％以上と最も多く利用されているCMS「Contents Management System：コンテンツ・マネジメント・システム」となっており、アプライドでのWEB制作に置いても利用しているツールです。

簡単にサイトの更新ができ、便利な機能を追加できる拡張機能「プラグイン」も充実している為、数多くの方がWordPressを利用していますが、利用者数が多い・プラグインを使用しているからこそ不正アクセスや改ざんなど「脆弱性」について対策する必要があります。

今回の記事では日ごろから初心者でも簡単にできるセキュリティ対策とアプライドが行っているセキュリティ対策を紹介していきたいと思います。

【WordPress】WordPressで行うセキュリティ対策

WordPressのセキュリティ対策なぜ必要？

まずは対策をお伝えする前にそもそもなぜWordPressにセキュリティ対策が必要なのかを理解し適切な対策を講じることが重要です。

WordPress本体の脆弱性

まず根本的なリスクの一つとしてWordPressがオープンソースであるという事です。
WordPressは世界中の利用者・開発者が応用できるようコードを公開しています。
その為、ハッカーの様な悪意ある人も閲覧できるので脆弱性の発見ができてしまうのです。

また、冒頭で記載している通り利用者数が非常に多いため、1つの脆弱性を発見してしまうと他のサイトも標的にされてしまします。ハッカーにとっては「利用者数が多い」＝「ハッキングの効率が良い」と判断され悪意ある攻撃が集中してしまうのです。

プラグインの脆弱性

WordPressに新たな機能を追加できる拡張機能「プラグイン」は様々な種類のものがインストール可能になっています。
このプラグインは世界中の人々が作成し、使用できるよう公開しているものになります。
そのため、セキュリティが不十分なものも多数存在しており、インストールしたプラグインを入り口に攻撃されるなんてこともあります。

プラグイン自体もアップデートによりバグや脆弱性など改善されていますが、アップデートの頻度が低いもの・更新を行っていないものがあると標的にされやすい為、注意が必要です。

初心者でもできる簡単なセキュリティ対策

ここからはWordPressでのサイト運用に置いて簡単にできるセキュリティ対策を4つほど紹介します。
簡単な内容ではありますが定期的なチェックがとても効果的なので必ず確認するようにしてください。

1.最新版のアップデート
2.ユーザー名とパスワードの変更
3.不要な機能の削除
4.自動更新の有効化

この他にも「サーバー側のセキュリティ対策を導入」「プラグインを使ったセキュリティ対策」など対策方法は沢山ありますが、まずは下記詳細に沿って手軽な対策を実施してみましょう。

1.最新版のアップデート

WordPressにはWordPress本体・プラグイン・テーマと大きく3つの更新対象があります。
これら全ては管理画面の「ダッシュボード」→「更新」を確認すると更新を必要としているものの確認と更新が行えます。

更新が必要なものについてはダッシュボードの更新の部分へ赤い印と更新するべき数が表示されるので
このお知らせが表示された際はアップデートを行うようにしましょう。

アップデートはWordPressやプラグインの開発者が新たな機能を追加するだけでなくセキュリティ対策の為の更新を行っていることもあります。開発者がいくらセキュリティ対策を行っても更新による導入を行わなければ脆弱性が残ったままとなります為、こまめに確認してください。

2.ユーザー名とパスワードの変更

WordPressの管理画面はユーザー名とパスワードの組み合わせにてログインすることができます。
その為、この2つをできる限り推測されにくく、複雑な文字列を設定することが不正ログインへの効果的な対策になります。

ユーザー作成後の変更についてはメニュー項目の「ユーザー」から編集したいユーザーをクリックすることでパスワード等変更することができます。ユーザー名は新規作成時に指定したものから変更できない為、注意が必要です。

パスワードについては「パスワード生成」ボタンをクリックすることによって強力なパスワードを設定できるのでぜひ活用してください。

3.不要な機能の削除

使用していない・無効化しているプラグインやテーマは削除するようにしましょう。

それぞれの削除方法について、プラグインの場合は管理画面のメニュー欄から「プラグイン」を選択すると使用しているプラグインが一覧で表示されるので無効化されているものを削除。
テーマの場合はメニュー欄より「外観」の「テーマ」へ進み、使用していないテーマを選択し削除。となります。

サーバーの管理画面からWordPressインストールする際などはデフォルトで様々なプラグインがインストールされている場合があります。またテーマについてもデフォルトのテーマが3つほど入っている場合がある為、使用している機能以外は消すようにしましょう。

これらを残しておくと脆弱性を放置することになる為、攻撃の入り口・踏み台にされてしまう可能性が発生します。

4.自動更新の有効化

一つ目の項目である最新版のアップデートに重なる内容にはなりますが
WordPress本体やプラグイン、テーマのアップデートは自動で更新するように設定することができます。

WordPressはバージョン5.6以降から、自動更新がデフォルトになっています。
その為、基本的には変更する必要はないのですがメジャーアップデートなど大掛かりな更新がある際は注意が必要です。

メジャーアップデートはWordPressの更新に置いて最も大きなアップデートで、管理画面デザインの変更や新機能の追加などが該当します。新たなデザインや機能が干渉しサイトが崩れてしまうといった可能性もあるので場合によっては手動更新に変更する・バックアップを事前に取るなど対策を講じた上で有効的に自動更新を活用しましょう。

プラグインの自動更新を行う場合は対象のプラグインにチェックを入れ、左上の項目を「自動更新を有効化」へ切り替えた後、「適応」をクリックすると反映させることができます。

テーマの自動更新を行う場合は対象のテーマをクリックし、タイトル・作者の下にある「自動更新を有効化」にて反映完了となります。

自動更新についてはメリット・デメリットがありますが、セキュリティ面や更新の確認・手動更新の手間が省くことができるので初心者にはおすすめの設定になります。

アプライドが行っているセキュリティ対策

アプライドでは上記の対策に加え、プラグインでのセキュリティ対策を行っております。

使用しているプラグインは「Wordfence Security」「All In One WP Security」の2つを使用しています。

Wordfence Security

「Wordfence Security」はファイヤーウォールやセキュリティスキャナを導入することができるプラグインです。弊社では無料ライセンスを利用しファイアーウォールとして使用しております。

Wordfence Securityには学習モードが設定されており、自サイトや訪問者の情報を学習・外部の攻撃から守る為の方法を学習しファイアウォールへ反映されるというとてもメリットが大きいプラグインです。

All In One WP Security

「All In One WP Security」は項目ごとにセキュリティた施策を実施できるプラグインです。
ユーザー関連のセキュリティ強化からデータベース、総当たり攻撃など細かな項目が準備されているので
必要・不要を使い分け自サイトの環境に適したセキュリティ対策が行えます。

各項目にスコアが割り振られており、MAXで505ポイントとなっています。
一つ一つ設定し、メーターが緑の枠に入ればセキュリティ対策ができているという指標になります。
全てチェックしてしまうとサイトの更新や表示に影響が出る場合もありますのでアプライドでは
約半分の230ポイント分のセキュリティ対策を行っています。