WordPressを始めたばかりの人が感じる不安のひとつに、セキュリティがあります。
- 何をすればいいか分からない
- プラグインを入れるだけで大丈夫?
- 攻撃されたらどうなるの?
こういった疑問を持っている方に向けて、今日からできるセキュリティ対策を優先順位順にまとめました。
結論から言うと、何もしない状態は危ないです。
WordPressは世界シェアNo.1のCMSなので、それだけ攻撃の標的にもなりやすい。
ただ、難しい知識は必要ありません。
正しい順番で基本を押さえるだけで、リスクは大きく下げられます。
この記事では、今日からできるWordPressのセキュリティ対策を9つ、優先順位順に解説します。
前提:WordPressのセキュリティ対策が必要な理由
セキュリティ対策を後回しにしていると、気づかないうちに取り返しのつかない状態になることがあります。
実際に起きる被害としては、こんなケースがあります。
- サイトを乗っ取られ、管理画面にログインできなくなる
- 知らない間にスパムメールの送信元にされる
- Googleから「このサイトは危険です」と警告が表示される
自分だけでなく、サイトに来てくれた読者にも迷惑がかかります。
一度こうなると、信頼を取り戻すのは簡単ではありません。
難しい対策は必要なく、基本を押さえるだけで、リスクは大きく下げられます。
攻撃は「有名サイト」だけが対象ではない
初心者spa自分のような小さなサイトは狙われない!
こう思っていませんか?
実際は逆です。攻撃の多くは人間が手動で行うのではなく、ツールで自動的に脆弱なサイトを探し回っています。
サイトの規模は関係ありません。
プラグインを入れるだけでは不十分な理由
セキュリティプラグインを入れれば安心、と思う人も多いです。
ただ、WordPressは、
- 本体の更新
- プラグイン・テーマの更新
- 2FA
- バックアップ
- HTTPS
などがセットで基本対策なんですね。
プラグインはあくまで補助です。
| よくある誤解 | 正しい考え方 |
|---|---|
| プラグイン1本で安全になる | プラグインは対策の一部にすぎない |
| 一度設定すれば終わり | 継続的な運用が必要 |
| 攻撃されることはない | 侵入ゼロは無理。復旧準備も必要 |
spaまずは定期更新などが重要!プラグインはそれからです!
結論:WordPressのセキュリティ対策9選
優先度順に、WordPressのセキュリティ対策を9つ紹介していきます。
- 本体・プラグイン・テーマを常に更新する
- 使っていないプラグイン・テーマは削除する
- ファイルとデータベースを自動バックアップする
- HTTPSを使う
- WAF・サーバー側の防御を有効にする
- 2要素認証(2FA)を設定する
- ログイン試行回数を制限する
- 使っていないXML-RPCを無効化する
- コメント欄にCAPTCHAを設定する
spaそれぞれ詳しく見ていきましょう!
本体・プラグイン・テーマを常に更新する
最優先でやるべき対策は、更新です。
脆弱性が公開された古いバージョンは攻撃される確率が高め。
更新をしないだけで、リスクは大きく上がります。
管理画面の「更新」画面を週1回でも確認する習慣をつけましょう。
使っていないプラグイン・テーマは削除する
使っていないプラグイン・テーマは削除しておきましょう。
無効化だけでなく、削除まで行うのが正解です。
無効化中のプラグインにも脆弱性は存在しますからね。
spaそもそも、使わないなら残しておく理由はありませんから…
ファイルとデータベースを自動バックアップする
侵入ゼロは現実的に難しいです。
それよりも「侵入されても復旧できる状態」を作ることが重要です。
バックアップで必要なのは、ファイルとデータベースの2種類です。
WordPressのサイトはこの2つで構成されているので、どちらか片方だけでは復旧できません。
UpdraftPlusなどのバックアップ用のプラグインを使えば、両方を自動で定期バックアップできます。
保存先はサーバー内ではなくDropboxやGoogleドライブなど外部ストレージにしておくと、サーバーごと問題が起きたときにも安心です。
HTTPSを使う
サイトがHTTPSになっていないと、ログイン情報が暗号化されずに送信されてしまいます。
ほとんどのレンタルサーバーで無料SSLが使えるので、まだの人はすぐ設定しましょう。
GoogleもHTTPS化を推奨しており、検索順位のシグナルの1つとして使っています。
ただし、HTTPSにしただけで順位が大きく上がるわけではありません。
spaSEO効果だけを期待してやるものというより、安全のためにやるものと考えておきましょう!
WAF・サーバー側の防御を有効にする
使っているサーバーにWAFやファイアウォールの機能があれば、有効にしておきましょう。
WAFは、WordPressに到達する前の段階で不審なリクエストをブロックしてくれます。
プラグインでの対策はWordPressが起動してから動きますが、WAFはその手前で動くのが特徴です。
手前で動くので、サーバーへの負荷も減らせます。
エックスサーバーやConoHa WINGなど国内の主要なレンタルサーバーでは、管理画面から有効にできます。
spaサーバーの管理パネルを確認してみましょう!
2要素認証(2FA)を設定する
パスワードが漏れても、2FAがあれば不正ログインを防げます。
防御力をすごい高める設定なので、必ず設定してください。
XO Securityのようなプラグインで設定できます。
ログイン試行回数を制限する
同じIPから何度もログインを試みる「総当たり攻撃」への基本的な対策です。
WordPressはデフォルトでログイン試行回数に制限がありません。
つまり、何千回でも自動でパスワードを試し続けることができる状態です。
XO Securityで「1時間で3回まで」など、失敗が続いたIPを自動でブロックする設定を入れておきましょう。
使っていないXML-RPCを無効化する
XML-RPCはWordPressの古い外部連携機能で、攻撃に悪用されやすいです。
プラグインが使っている場合を除き、使っていないなら無効化しておくのが安心です。
有名なプラグインで使われているのは、主に下の3つですかね。
- Jetpack
- Disable XML-RPC-API
- Manage XML-RPC
spa特にJetpackは入れている方も多そうです!
コメント欄にCAPTCHAを設定する
コメント欄を開けているなら、スパム対策としてCAPTCHAを設定しておきましょう。
放置しているとスパムコメントが大量に届くことがあります。
spaコメント欄を使わないなら、そもそも閉じるのがおすすめです!
XO Securityとはどんなプラグイン?
XO Securityは、日本人開発者が作ったWordPress向けのセキュリティプラグインです。
設定画面がすべて日本語で、ログイン周りの対策に必要なものが一通りそろっています。
この記事で紹介した対策のうち、
- 2要素認証(2FA)を設定する
- ログイン試行回数を制限する
- 使っていないXML-RPCを無効化する
- コメント欄にCAPTCHAを設定する
これらは、XO Security単体で対応できます。
XO Securityで有効にすべき設定
2要素認証(2FA)は、管理者アカウントに必ず設定してください。
パスワードが漏れても、2FAがあれば不正ログインを防げます。
ログイン試行制限も有効化しましょう。
「1時間で3回まで」などに設定しておくと、総当たり攻撃への基本的な対策になります。
XML-RPCは、WordPressアプリやJetpackを使っていないなら無効化しておくのが安心です。
REST APIには注意
REST APIの全面停止は、外部連携やプラグインに影響が出ることがあります。
制限するとしても部分的な設定にとどめるのが無難です。
設定後に問題が起きた場合には、REST APIを疑ってみましょう。
ログインURLを忘れないよう注意
ログインURLの変更は補助策として有効ですが、設定ミスで自分がログインできなくなる事故も起きています。
設定を保存する前に、URLを保存しておきましょう。
セキュリティ対策の優先順位まとめ
セキュリティ対策の優先順位をまとめると、こんな感じですね。
| 優先度 | 対策 |
|---|---|
| 最重要 | 本体・プラグイン・テーマの更新 |
| 高 | 自動バックアップ |
| 高 | HTTPS化 |
| 高 | 2FA(2要素認証) |
| 中 | 不要プラグイン・テーマの削除 |
| 中 | WAF・サーバー側の防御 |
| 補助 | XO Securityなどのプラグイン |
まずは、下の3つを先に終わらせましょう。
- 更新
- バックアップ
- 2FA
細かいプラグインの設定は、その後でも大丈夫です。
【Q&A】よくある質問と回答
- セキュリティプラグインは何本入れればいい?
-
数より、機能の重複を避けることが大事です。
同じ役割のプラグインを複数入れると競合の原因になります。
ログイン周りの対策が目的なら、XO Security1本で十分対応できます。
- 無料テーマでも安全?
-
無名テーマでなければ比較的安心ですが、更新が続いているかを必ず確認しましょう。
更新が止まっているテーマは脆弱性が放置されるリスクがあります。
- 攻撃されているか確認する方法は?
-
XO Securityのログイン試行ログや、サーバーのアクセスログで確認できます。
不審なIPからのアクセスが多い場合は、ログインURL変更や試行制限の強化を検討しましょう。
まとめ:WordPressのセキュリティは更新から
この記事で紹介した対策のポイントを、5つにまとめます。
- プラグインだけではセキュリティは完成しない
- まず更新・バックアップ・HTTPSの3つを整える
- ログイン周りはXO Securityで強化できる
- 2FAとログイン試行制限は必ず有効にする
- セキュリティは一度設定して終わりではなく継続的な運用が必要
色々語りましたが、そこまで難しく考える必要はありません。
今日は更新画面の確認と、バックアップ設定だけでも済ませておきましょう。
