まろんWordPressでサイト運営してるけどセキュリティが心配ワン
今回は、そのような疑問にわかりやすくお答えいたします。
こんな人におすすめ
- WordPressのセキュリティが心配だけど、情報が多く混乱してる
- 何から手をつけていいかわからない
- WordPressの安全を守る具体的な設定方法が知りたい
本記事の内容
- なぜWordpressは狙われやすいのか
- 今あなたのサイトが危ない状態になっているかを確認する方法
- WordPressのセキュリティを強化するための設定やプラグイン
私はセキュリティの専門家として働いており、企業ページで使われているWordpressの脆弱性管理もしております。
そんな私が、WordPressを安心して運用するためにセキュリティを強化する方法やプラグインの知識をお伝えします。
本記事の執筆者
本記事の結論
WordPressは多くの人が使っている分攻撃をされやすいです。
WordPressのセキュリティを強化するには以下の5つのポイントを押さえればある程度OK。
- ログインユーザー名やニックネーム、パスワードを強固なものに設定
- WordPress自体や入っているプラグインのバージョンを更新
- 不要なプラグインの削除
- セキュリティ用のプラグインの設置
- 「wp-config.php」のパーミッション設定変更
サイトが安全かどうかを無料で診断してくれるサービスがあるので、確認してみましょう。
まひろでは、解説していきますね
なぜWordpressは攻撃をされやすいのか
なぜWordPressが攻撃を受けやすいのかについては大まかに3つの理由があると言われています。
- 多くの人が使っているCMS
- 初心者のCMSユーザーが多く、セキュリティの部分までしっかり管理されてない
- 無償のオープンソースなので、脆弱性が見つかりやすい
ちなみに、CMSとはコンテンツ・マネジメント・システムの略です。
Webサイトを構成する文字や画像、デザイン・レイアウト情報を一元的に保存・管理するシステムを指します。
そして、WordPressは個人のブログから国の公式HPまでと、すごく多く使われているCMSです。
使いやすいということで利用者数が圧倒的に多い反面、攻撃をされやすいというデメリットもあります。
まろん多くの人が使っているものに対して、攻撃したほうが有効ワンもんね
個人のブログでも使われていて、企業の担当者が設定をしているというわけではないというのも狙われやすくなる要因です。
まろん知識のない人に対してなら攻撃が成功しそうだワン
と攻撃者は考えるからです。
また、無償で使えるオープンソースは、言い換えると誰でもWordPressを動かすプログラム構造を見れるということです。
ということは、色々な攻撃者があらさがしをするために弱いところが発見されやすく、そこを突いてくるためです。
WordPressの脆弱性やそのリスクについて
WordPressは誰でもコードを見れるので、脆弱な部分もはっきり見えてしまうのです。
※脆弱性についての詳しい解説は別記事にてまとめております。
誰でも見えるというのはデメリットのように最初は見えますが、Wordpressは利用者が多いので、何か脆弱性があっても誰かがすぐ見つけてくれたりします。
良識ある人であればその部分を指摘し、改善するように言ってくれるのですが、世の中は正義の味方だけではありません。
悪意のあるエンジニアが脆弱な部分を見つけた場合には、攻撃をしてきたりします。
WordPressは使いやすくて高機能ではあるのですが、
- すべてのプログラムコードが見える
- 常にどこかに脆弱な部分がある
という2点は認識しておいた方が良いでしょう。
まろんなんか怖くなってきたワン。今のサイトが大丈夫かチェックできないワン?
まひろ無料でチェックできるよ
WordPressを安心して使うためにも、本記事で紹介する方法でチェックし、必要に応じて設定を変更してみましょう。
WordPressのセキュリティをチェック・診断する方法
サイトの安全性を確認することを「脆弱性診断」とか「Web診断」とか言ったりします。
まひろ私は仕事でよく相談を受けてたりします
企業のHPや入力フォームであれば、しっかりとお金をかけて診断をした方が良いとは思いますが、個人ブロガーはそうはいかないと思います。
まひろちゃんとやろうとしたら数十万以上かかりますからね
無料でWordpressのサイトを診断できるツールがありますので、いくつかご紹介します。
WPScans.com
WPScans.comは、
- 診断したいサイトのURLを入力
- 「START SCAN」をクリック
するだけで、簡単にではありますがWebサイト診断をしてくれます。
※詳細レポートを受け取るのは有料
まひろ当サイトも診断してみました
まろん問題なくて良かったワンね
この簡易チェックまでは登録なしの無料で行うことができます。
詳細なレポートが欲しい場合は有償ですが、簡易的な診断でしたらここまでで問題ないと思います。
WPdoctor
他にも有名なセキュリティ診断サービスとしてWPdoctorが有名です。
先ほど紹介したWPScan.comとは異なり、無料でも詳しく診断してくれたりします。
まひろこの診断サービスも使い方はとても簡単
レポートには緊急で直す必要がある項目と、注意レベルの項目が表示されます。
これを一つ一つ対応していくことで、より高度なセキュリティ対策を行うことができます。
他にも無料で診断できるサービスはあるのですが、メールアドレス登録が必要だったりするので省きました。
気になる方は、KYUBIとか調べてみると良いかもしれません。
WordPressのセキュリティを強化する方法
ここからは実際にWordPressのセキュリティを強化するための5つの作業をご紹介します。
- ログインユーザー名やニックネーム、パスワードを強固なものに設定
- WordPress自体や入っているプラグインのバージョンを更新
- 不要なプラグインの削除
- セキュリティ用のプラグインの設置
- 「wp-config.php」のパーミッション設定変更
すべて適切な形にすることでより安全になりますが、全部をやる必要はないと思います。
- 既にブログ運営しているから設定変えるのがめんどい
- リスクを許容できる
- 他の対策をしているから大丈夫
といったように人それぞれで違うので、取り入れられそうなところをぜひやってみてください。
ログインユーザー名やニックネーム、パスワードを強固なものに設定
WordPressのログインユーザー名とニックネームを同じにしていませんか。
まひろログインユーザー名はこの画面のことです
まろんニックネームは「この記事を書いた人」のようなやつワンね
あまり意識されていない人が多いと思いますが、ニックネームとログインユーザー名が同じだと、ログインユーザー名(ID)が漏れていることと同義です。
IDとパスワードがセットになることで防御レベルが上がるのに、セットの片方が見えていると防御力半減だからです。
攻撃者からすると、IDは分かっているのでパスワードの方だけを突破すればよいですし。
なので、ユーザー名やニックネームはしっかり分けて設定しましょう。
初期ユーザーの「admin」を使っている人もそれなりに危険なので、今すぐ変えましょう
二段階認証のプラグインである「Two Factor」を入れるのもおすすめです。
WordPressのログインユーザーを変更する手順
パスワードは「強力」となるようにしましょう。
そして、セキュリティ的に絶対避けたほうが良いユーザー名は以下です。
- admin
- administrator
- webmaster
- test
- ドメイン名そのまま利用(当サイトなら「secure-road」)
- 簡単に予想できる英単語(例:dog)
- ユーザー名(例:Twitterアカウント名が「kanaria」なら「kanaria」)
新しい管理者ユーザーを作り終わったら、古い管理者ユーザーは削除しましょう。
まろんアカウントが複数あると、どれかで入れちゃったら攻撃成功だから少ない方がセキュリティ的には良いワンね
WordPressのニックネームを変更する手順
WordPress自体や入っているプラグインのバージョンを更新
これは簡単ですし、必ずやるべきなので確認してみてください。
プラグインやテーマはアップデートをすることで、脆弱性が修正されたりするので必須です。
ダッシュボードから「更新」をクリックすると、更新すべきプラグインやテーマが出てきます。
「すべて最新版です」となっていればOKです。
不要なプラグインの削除
意外と知らない人が多いのですが、使っていないプラグインがあってもそれが攻撃の対象になってしまうことがあります。
なので、使っていないプラグインがありましたら削除しておきましょう。
管理画面の「プラグイン」から削除が可能です。
まひろ使っていないプラグインがあるとサイト自体が重くなるという話もありますね
セキュリティ用のプラグインの設置
私は複数ブログを使ってますが、SiteGuard WP Pluginが初心者には使いやすくておすすめです。
- 日本語対応している
- WordPressの管理画面のログインページURLを変更してくれる
- ログイン情報の入力時に画像認証がある(ひらがなを入力するあれ)
- WordPress本体やプラグインのアップデート情報をメールで教えてくれる
セキュリティプラグインは英語のものも多いですが、SiteGuard WP Pluginは日本語なのがストレスなくて良い。
常にWordPressを最新の状態にし、ログインページのセキュリティを強固にすることができます。
導入したら、「SiteGuard」メニューをクリックして設定状況を確認しましょう。
以下の画像の部分にチェックをつけておけば安心だと思います。
画像認証にチェックを入れると、ログイン画面が下のようになり、ひらがな入力も求められます。
これに加えて二段階認証のプラグイン「Two Factor」を導入するとなお強固になるのでおすすめです。
ここまでをやることで以下の状態になり、不正ログインされて何かされるという可能性はかなり低くなります。
- WordPressのログインURLがデフォルトから変わっているので見つかりにくい
- ユーザー名はニックネームとは異なる
- パスワードは強固
- 画像認識が導入されているので、自動ログインみたいなのは不可
- 二段階認証を入れているので、自分しかログインできない
- テーマやプラグインが最新になっている
【中級者向け】「wp-config.php」のパーミッション設定変更
WordPressには「wp-config.php」というPHPファイルがあります。
これはWordPressの動作にかかわる各種設定や、データベースのID・パスワードまで記載されています。
このファイルを外部からアクセスできるようになってしまうと、勝手に設定内容を変更され、乗っ取られる危険性があります。
これを防ぐために、
- FTPソフトを使ってファイルの属性(パーミッション)を変更
- 「.htaccess」という設定ファイルに情報を追記
※両方やっても良いが、片方でも十分に効果あり
といったことをします。
Conoha Wingを契約している方は「.htaccess」を変更するやり方が簡単かと思います。
Conohaで「.htaccess」という設定ファイルに情報を追記する
public.html → 「自分のサイト名.com」ファイル → wp-config.phpファイルで探せます。
<files wp-config.php>
order allow,deny
deny from all
</files>
これで「.htaccess」の変更はOKです。
次にパーミッションの変更手順についてですが、FTPソフトをPCにインストールするところからやりましょう。
FTPソフトをインストールしたら「ファイルの属性(パーミッション)」を400にしてください。
これは、ファイルの所有者しか、そのファイルが読み込めない権限となります。
まとめ:WordPressの不正アクセス対策をして安全に運用しましょう!
今回は、Wordpressのセキュリティに関する解説をしました。
本記事の要約
- WordPressは多くの人が使っている分攻撃をされやすい
- セキュリティを強固する5つの方法をご紹介
- ログインユーザー名やニックネーム、パスワードを強固なものに設定する
- WordPress自体や入っているプラグインのバージョンを更新する
- 不要なプラグインの削除する
- セキュリティ用のプラグインの設置する
- 「wp-config.php」のパーミッション設定変更する
- サイトが安全かどうかを無料で診断してくれるサービスがあるので、確認する
もちろん、もっとやろうと思えばセキュリティを強化できる部分はあります。
ただ、あまりやりすぎてサイトが重くなったり、利便性が落ちてもあれなので、ほどほどがちょうど良いと思います。
個人向けへの攻撃が増えているので、損をしないためにも今のうちから備えておきましょう!
コメント