いまスグできる!WordPressの簡単セキュリティ対策3選!!!

WordPressのセキュリティ対策、ちゃんと行っていますか?

ここ数年、WordPressが狙われた改ざんやハッキング事件は数知れず、私たちもクライアント様が被害に遭うなど、枚挙に暇がありません。

そこで今回はWordPressでウェブサイトを運用するための基本的なセキュリティ対策についてご紹介をさせていただきたいと思います。

管理画面のパスワードを強固にする

改ざんやハッキングの原因となる最も大きな原因が、管理者のIDとパスワードが推測しやすいものになっているなどの原因から、管理者としてログインされてしまいテーマやプラグインのファイルを改ざんされるというという事例です。

管理者はテーマやプラグインエディタなどからファイルを編集することが可能になっており、その機能を悪用されることで不正なファイルを設置されたり、既存の.phpファイルにバックドアを仕掛けられてしまうのです。

この問題を解決する最も簡単な手段は、管理者のIDとパスワードを強固なものにすることです。数字のみ、英語のみのパスワードを利用するのをやめ、WordPressが推奨する完全ランダムなパスワードなどを利用することで不正アクセスの6~7割は防ぐことができます。

日本のウェブサイトは未だに英数字のみを許可していたり、アンダーバー以外の記号を許可していなかったりするためパスワードに対する意識が未だに低い傾向がありますが、今や海外を含め複雑な英数字+記号を入れてのパスワードが標準的なものなので、WordPressの提案するパスワードを利用するなどして推測しにくいパスワードを利用しましょう。

管理画面にIPアドレスを使った制限をかける

WordPressの改ざんの入り口となるのは上述したように、管理画面の機能であるプラグインやテーマの編集機能などです。

そのため、前述の方法を実施して管理画面へ簡単にログインできないように対応をした上で、さらに管理画面に利用するユーザーのみを指定したIPアドレス制限を実施することで、当該のユーザー以外ではログイン機能そのものを利用させないという制限をかけます。

具体的には下記のような.htaccessを、wp-login.phpが存在するディレクトリに配置します。

<FilesMatch "wp-login.php">
order deny,allow
deny from all
allow from xxx.xxx.xxx.xxx
</FilesMatch>

この方法は常に利用する場所が固定IPアドレスを持っていて、利用するときは必ずそのIPアドレスからしか利用できないという大きなデメリットをはらみますが、セキュリティとしてはこの上なく強固で、IPアドレスが一致しなければログイン自体が不可能となります。

なお以前は固定IPといえばプロバイダと契約が必要なもので、自宅やオフィスなど限られた環境でしか利用できないことが一般的でした。

ただ昨今はVPN型の固定IPサービスなども増えており、モバイル端末や外出先などからでも簡易に固定IPを利用することができるため、こういったサービスを契約することで簡単に利便性の高い固定IPを手に入れることができます。

固定IP以外のデメリットはなく非常に強力なセキュリティ対策のため、こちらも導入できる環境においては推奨します。

SiteGuardプラグインを導入する

SiteGuradというWordPressのセキュリティアップにおいて、有名なプラグインがあります。

こちらのプラグインをただインストールして有効化するだけで、以下のような機能が利用できるようになります。

  1. ログイン画面のURL変更
  2. ログイン画面への画像認証の配置
  3. ログイン試行回数によるログインロック
  4. ログインエラー表示の簡素化
  5. ログインユーザー以外の wp-admin/ ディレクトリのアクセス制限
  6. ログインアラートメール
  7. XML-RPC機能の無効化
  8. etc…

上記には非常に有用な機能のみを記載しておりますが、それ以外にも機能が多数あります。
特にログイン画面のURL変更、ログイン画面への画像認証の配置については必ず実施をしましょう。

昨今の不正アクセスは外部からプログラムを使ってログイン画面にアクセスし、そこで大量のメールアドレスとパスワードなどの組み合わせを使ってログインを思考するブルートフォースアタックが主流です。

WordPressは世に多く広まりすぎてしまったため、サイト内に配置されたファイルの構成さえわかってしまえばログイン画面のURLが簡単に推測できます。

そこで、ログイン画面事態のURLを変更した上で画像認証を配意することで上述のブルートフォースアタックをほぼ防ぐことができます。

総括

WordPressへのセキュリティ対策については、基本的に管理画面を如何に守るかという1点に尽きます。

WordPressをしっかりバージョンアップし、利用するプラグインなどもバージョンアップしておけば、セキュリティホールを利用される改ざんというのはさほど多くありません。

ウェブサイト管理も含めて今や欠かせない存在になってしまったWordPressですが、正しくセキュリティ対策を行い安心して運用できるように心がけていきましょう。

この記事を書いた人

家富正幸

インスパイアデザインの取締役兼、エンジニア。WordPressのテーマ・プラグイン開発を年間100件以上、独自のフレームワークを用いて開発をしています。