WordPressのセキュリティ対策１０選

WordPressはよく狙われるCMS

WordPressは無料かつプラグインが豊富なことで、世界中で利用されているCMSです。
しかし、利用数が多いからこそ、よく狙われてしまいます。
（決してWordPressがセキュリティが弱いシステムだからという理由ではありません。）

狙われるとは、具体的にはコンテンツが改ざんされたり、ウィルスを埋め込まれたり、個人情報を抜き取るような攻撃を受けることです。

WordPressをデフォルトのまま使用していると攻撃を受けやすい為、セキュリティ対策は必須になります。
今回は、管理画面のセキュリティ対策に関してご説明したいと思います。

WordPressのセキュリティ対策10選

WordPressのセキュリティ対策をお教えします。
極力、非エンジニアの方でもできるような対策を10個選びました。
すべて対応することはもちろん、それ以外でも対応が可能なセキュリティ対策は行うようにしてください。
WAFを導入するなど、サーバ監視を強化することも必要です。

管理画面にBasic認証を設定する

管理画面のアクセスした際にBasic認証を表示させます。
管理画面のログインページを表示させる為にはBasic認証を解除する必要があり、セキュリティ強化となります。
Basic認証は.htaccessと.htpasswdファイルで設定します。

管理画面へのアクセスをIPアドレス制限する

特定のIPアドレスしか管理画面にアクセスできないようにします。
外部から管理画面へアクセスすることができず、セキュリティ強化となります。
Basic認証と同様、.htaccessファイルで設定します。

管理画面のURLを変更する

WordPress管理画面のURLは簡単に予想されます。
管理画面URLを変更することで、アクセスへの難易度を高めることができ、セキュリティ強化へ繋がります。
プラグインのLogin rebuilderやSiteGuard WP Pluginを使えば簡単に管理画面URLを変更できます。

WordPress管理画面のログインページのURLを変更できる「Login rebuilder」

WordPress管理画面のログインページは特定され易いWordPress管理画面のログインページは特定され易いです。WordPressで作られているサイト（これも容易に判明できます）のURLの後ろに特定の文字列を付与するだけで、管理...

www.thank-u.net

2023.01.13

WordPressのセキュリティを強化できる「SiteGuard WP Plugin」

WordPressは攻撃を受けやすいCMSWordPressで制作されているサイトは攻撃を受けやすいです。それは、WordPressがセキュリティに脆弱なCMSということではなく、世界中で最も利用されているCMSであることが原因です。...

www.thank-u.net

2023.01.16

管理画面のログイン失敗回数を制限する

悪意あるユーザーはWordPress管理画面へのログインを何度も試行します。
その為、一定回数ログインを失敗すると、ロックする仕組みを導入します。
プラグインSiteGuard WP Pluginで設定可能です。

管理画面のログインに画像認証を追加する

WordPress管理画面のログイン認証は通常IDとパスワードで行われます。
画像認証を追加することでセキュリティを強化できます。
プラグインSiteGuard WP Pluginで設定可能です。

管理画面のログインに二段階認証を導入する

WordPress管理画面のログインに二段階認証を導入すれば、管理画面ログイン時にスマホに表示された認証コードを入力する必要がある為、セキュリティを強化できます。
二段階認証はプラグインGoogle Authenticatorで導入可能です。

WordPressの設定ファイルのパーミッションを設定する

WordPressの設定ファイル（wp-config.php）や.htaccessに様々な重要な情報が記述されています。
設定ファイルや.htaccessのパーミッションを設定することでセキュリティを強化することが可能です。
wp-config.phpは600「オーナーのみ読み書き可能」とし、.htaccessは604「読み込み可能、オーナーのみ変更可能」としてください。

管理画面のログイン・パスワードを複雑にする、定期的に変更する

管理画面のログイン・パスワードは複雑にする、そして定期的に変更してください。
パスワードの複雑化と定期的な変更はWordPressに限らず、様々なシステムやアプリで実施してください。

不要なプラグインとテーマを削除する

WordPressには様々なプラグインがあるので、ついついプラグインはインストールしがちです。
しかし、インストールしたものの利用してみると使い勝手が悪かったり、予想していた機能とは違うこともあり、そのまま放置していることがあります。
プラグインを無効化していても、プラグイン自体はインストールされている状態です。
脆弱性にも繋がりますので、使用していないプラグインは削除してください。
同様に使用していないテーマがあれば、削除するようにしてください。

WordPressとプラグインを最新にする

WordPress本体とプラグインの最新バージョンは脆弱性対応がされています。
その為、可能な限り最新バージョンにしておくよう心掛けてください。

以上のように、簡単にできるセキュリティ対策を記載しました。
まだ、実施していないサイト様はすぐに対応することをオススメします。

投稿者プロフィール

navy

EC-CUBE、WordPressをメインに担当しています。
最近、Movable Typeの案件が増えてきたので、MTを勉強中です。

ネイビー色が好きでnavyという名前をよく使うけど、navy=海軍好きで時々勘違いされて困っています。
確かに軍モノ古着は好きですが。。。

最新の投稿

• ECサイト構築・運営2023.03.14BOOTH宛名印刷用CSVを元に納品書を発行する
• ECサイト構築・運営2023.03.07フューチャーショップでカート一体型LPを制作する
• WEB制作・集客2023.02.08iPhoneで公開前のサイトを公開URLでチェックする方法
• WEB制作・集客2023.02.07hosts設定をすれば、サイトを公開前にチェックできる