WordPressの安全性を高めるための６つの対策

WordPressが普及して、気軽に情報発信できる世の中になりました。

しかし、WordPressは、使い慣れたアメブロなどと決定的に違う点があります。それは、WordPressは世界でトップシェアであることから常にハッカーなどに狙われる危険性があるということです。

パソコンの場合は、OSがWindowsの方がシェアが圧倒的に高いと言う理由で、ウィルスなどは、Windows向けの方が種類豊富に存在します。ですので、セキュリティーソフトで常に万全な対策を実施していなければなりません。

WordPressでも、同様です。WordPressのセキュリティー対策を考えていないと、脆弱性から侵入を許し、書き換えや乗っ取りの危険性がありますので、最低限の対策が必要になります。

集客の基盤になるWordPress。万が一侵入を許してしまった場合は、がっかりするしかありません。

WordPressの取り扱いに慣れているレンタルサーバーを選択する。

WordPressは、レンタルサーバーにインストールすることで動作するシステムです。つまり、本体のレンタルサーバーのセキュリティーも自分のWordPressのセキュリティーに深く関係します。

過去に、レンタルサーバーのセキュリティーの脆弱性からロリポップが8,000件近いWordPressの書き換えを許してしまった事故がありました。

WordPressは、脆弱性が頻繁に指摘されているシステムですので、その扱いに慣れていないとセキュリティーを万全にすることができないものです。

エックスサーバーを推奨している理由は、WordPressの対策や国外IPのブロックの対策など、一つ一つの対応が早い点です。また、自動バックアップ機能があり、万が一、甚大な被害が発生しても復旧ができるからです。

WordPressのログインURLはそのままになっていないか？

WordPressのログインURLを知ることは簡単です。コードからWordPressのインストールされているURLを割り出し、あとは、/wp-login/を末尾につければ、そのログインURLを知ることができます。

過去にYahoo!メールのアカウントが大量に流出する事件がありました。実は、これと同様のアカウント流出は至るところで起こっています。それらと同じパスワードを使っている場合、メールアドレスとパスワードの組み合わせで簡単にWordPressに入れてしまいます。

これを防ぐために、専用のメールアドレスとパスワードの組み合わせを活用することが必要ですが、それ以前の防衛策としては、ログインURLに侵入を許さない選択があります。

方法としては、SiteGuard WP Pluginを導入します。このプラグインを導入することで、WordPressのログインURLを変更することはもちろん、自動ログアウト機能、ログインの通知機能、そして、ログインに質問項目をつけることで、ログインのハードルを上げることが可能になります。

設定できるものは全て設定した方がいいですが、設定しすぎて、ログインできなくなる自体は避けてください。ログインページ変更、画像認証、ログインロックは最低限設定することがおすすめ。

上記のように新しいログインページが吐き出されます。変更を保存すると新しいログインURLになります。

プラグインの詰め込みすぎは御法度

さまざまなSEO系のフォーラムでも書き込まれていますが、WordPress◯◯系プラグイン厳選の記事を鵜呑みにしてはいけません。例えば、WP Popular Postなどの人気プラグインで過去に脆弱性が見つかって、インストール非推奨の時期がありました。（現在は解消）

脆弱性が見つかり、すぐに修正されるようなプラグインであれば良いのですが、ほとんどのプラグインは、開発されたらそのまま放置されている傾向にあります。

現在のオウンドメディアの記事は、一つ一つ試用した結果を書いているものとは限りません。過去のブロガーが紹介している記事を拾い集めたレベルが多いのも事実です。

管理されていないプラグインを詰め込みすぎると、それだけでリスクが高まりますので、必要最低限の開発がしっかりマネタイズされているプラグインを選択することをおすすめします。

WordPress内部には、できるだけ個人情報を入れない。

Contactform7などでフォームを設置している場合、Flamingoを使い、WordPress内にバックアップをとるケースが多いのですが、しっかり保守ができてないようではやめた方がいいです。

万が一、侵入を許した場合、全ての個人情報を持って行かれてしまいます。

個人情報の流出は、企業イメージに大きな損害を与えます。

パソコンのセキュリティー対策は当然のように行う。

個人経営のサービス業のコンサルティングに出かけると高い確率で、業務に使っているパソコンが家族兼用です。トップクラスのセキュリティーソフトを入れることは必要になります。

[wpap service=”with” type=”detail” id=”B01LYASXCT” title=”ノートン セキュリティ プレミアム (最新) | 3年 3台版 | Win/Mac/iOS/Android対応”][wpap service=”with” type=”detail” id=”B06XPZCX11″ title=”ESET ファミリー セキュリティ (最新版) | 5台3年版 | カード版 | Win/Mac/Android対応”]

おすすめは、ノートンとNOD。どちらかをWindowsにインストールしてください。iOSの場合は、セキュリティーのアップデートを最新の状態にすることが必要です。特に、新たにセキュリティーソフトを入れる必要はありません。

WordPressのアップデートは定期的に実施する。

WordPressの定期的なアップデートを実施し、最新版に常にするようにしてください。

ただし、これにも注意が必要で、WordPressのメジャーアップデートが行われると、なんらかの脆弱性が必ず発見されます。ですので、例えば、(4.9→5.0)や（4.8→4.9）のようなアップデートが行われた時は、5.01や4.91がリリースされるまで待った方がいいです。

また、利用していたプラグインがかみ合わなくなることもありえますので、注意してください。

なお、WordPressの基本的なSEOの設定は、「WordPressをSEOに強くするための設定方法」で解説しています。