およそ110回。
何の数字かわかりますか?
正解は、「とあるホームページにログインしようとしていた、不正アクセス数」。
WordPressで作成されたホームページの、とある日のデータです。
え、110回も?
そうなんです。
WordPressで作成されたホームページは、狙われやすいのです。
想像してみてください。
どこの誰かわからない人たちが、自社のホームページに不正アクセスしようとしている姿を。
何の対策もしていなければ、あなたのホームページを守るのはパスワードだけです。
ユーザー名は、バレバレです。
次から次へとドアノブに鍵を突っ込まれて、ガチャガチャされている状態です。
相当に恐怖です。
そのため、WordPressを使用する場合は、適切なセキュリティ対策が必要です。
「セキュリティ対策は難しそうだな」
「何をすればいいかわからない」
と思われる方、ご安心ください。
この記事では、「WordPressの8つのセキュリティ対策」をご紹介します。
誰でも簡単にできるので、ぜひやってみてください。
WordPressの8つのセキュリティ対策
1.WordPressの本体バージョンを最新にする
WordPressを最新のバージョンにアップグレードしましょう。
それだけで脆弱性を狙った攻撃に対しては強くなります。
WordPressのバージョンをアップグレードする方法は、簡単です。
管理画面の更新から、「WordPressのすべての新しいバージョンに対する自動更新を有効にします。」をクリックします。
それだけで自動更新は完了です。
自動更新をする際の注意点があります。
自動更新は便利ですが、常にサイトを最新のバージョンに保とうとします。
場合によっては、サイトに不具合が発生する可能性があります。
そのため、テスト環境で試してみて問題がなければ、本番環境も最新に更新するという手順が良いと思います。
2.テーマやプラグインを最新のバージョンにする
WordPressで使用しているテーマやプラグインも、できるだけ最新のバージョンを使用するようにしましょう。
アップグレードする方法は簡単です。
管理画面の更新から、アップグレードしたいテーマやプラグインを更新するだけ。
自動更新をする場合は、テーマとプラグインで手順が違います。
テーマの自動更新
外観のテーマから、自動更新したいテーマの画像をクリック。
「自動更新を有効化」をクリック。
プラグインの自動更新
プラグインをクリック。
自動更新したいプラグインの「自動更新を有効化」をクリック。
テーマやプラグインを更新する際も、テスト環境で試してみて、問題がなければ本番環境に反映させる手順がいいと思います。
3.使っていないプラグインを削除する
使用していないプラグインは削除するようにしましょう。
停止ではなく削除です。
使用していないプラグインでも脆弱性が発見されると、そこを攻撃されてしまう可能性があります。
忘れずに削除するようにしましょう。
4.二要素認証をする
メールやワンタイムパスワードを使用した二要素認証を導入しましょう。
デフォルトでは、ユーザー名とパスワードが管理画面を守っています。
しかし、ユーザー名はバレバレです。
WordPressは、初期設定のままだと簡単にユーザー名がわかるようになっています。
となると、残りはパスワードです。
パスワードを突破されると、管理画面にログインされてしまいます。
そうなると大変です。
もし、万が一パスワードを突破された時でも、再度別の方法で認証するようにしておくと安心です。
設定方法は、プラグインを使用すると簡単に設定できます。
ここでは、Two-Factorというプラグインを使用して設定する方法を説明します。
- プラグインをインストール。
- ユーザーのユーザー一覧から、二要素認証を設定したいユーザーをクリックします。
- 下の方に、Two-Factor 設定という項目があるので、そこを設定します。おすすめは、Time Based One-Time Password (TOTP)です。
- スマホやパソコンから、「Google Authenticator」というアプリをインストールします。
- アプリを起動して、右下のプラスボタンから、QRコードをスキャンをクリックします。
- Time Based One-Time Password (TOTP)のQRコードを読み込みます。
- 有効とメインにチェックが入っていることを確認して「ユーザーを更新ボタン」をクリックします。
これで次回からログインする場合は、認証コードを求められるようになります。
アプリから認証コードを確認して、入力すればログインできます。
5.ログインURLを変更する
WordPressで作成されたサイトは、管理画面へのログインURLが同じです。
同じということは、誰でも管理画面にログインするための画面に辿り着けるということです。
やはり、誰でもログイン画面がわかるというのはよろしくありません。
そのため、ログインURLを変更しておくことが大切です。
ログインURLを変更する方法は、プラグインを使用すれば簡単に変更できます。
調べれば色々と出てきますが、ここでは「All-In-One Security (AIOS) – Security and Firewall」を使用した設定方法を説明します。
- プラグインをインストールして有効化する。
- WPセキュリティの総当たり攻撃から、ログインページの名称設定変更をします。
- ログインページの名前変更機能を有効化を有効にします。
- ログインページ URLの箇所に、変更したいURLを入力してください。わかりにくいURLが望ましいです。
- 設定を保存をクリックします。
これで、新しいログインURLが設定されているので、新しいログインURLからログインしてみてください。
なお、新しいログインURLは忘れないようにしてください。
6.パスワードを長く複雑にする
パスワードは簡単で短いものよりも、長く複雑なものが望ましいです。
できれば、20文字以上にできると強度がかなり高くなります。
WordPressのパスワード自動生成を利用するのもいいかと思います。
パスワードが流出しないように、取り扱いには気をつけてください。
7.ログインの失敗回数を制限する
ある一定数以上ログインを失敗すると、一定時間ログインできないようにしましょう。
これを設定しておけば、第三者のログイン試行回数を減らすことにつながります。
こちらも、「All-In-One Security (AIOS) – Security and Firewall」で設定できます。
- WP セキュリティのユーザーログインをクリックします。
- ログインのロックダウン設定の「ログインロックダウン機能を有効化」を有効にします。
- 最大ログイン試行回数、ログイン再試行時間、ロックアウト時間の長さを設定します。
- 設定を保存ボタンをクリックします。
8.WordPressのバージョンを非表示にする
WordPressのバージョンを非表示にしましょう。
バージョンがわかってしまうと、どんな脆弱性があってどんな攻撃が有効なのかがわかってしまいます。
こちらも、「All-In-One Security (AIOS) – Security and Firewall」で設定できます。
- WP セキュリティの設定をクリックします。
- WPバージョン情報タブから「WP Generator メタ情報の削除」を有効にします。
- 設定を保存ボタンをクリックします。
まとめ
WordPressのセキュリティについて説明しました。
再度、やることをまとめます。
- WordPressの本体バージョンを最新にする
- テーマやプラグインを最新のバージョンにする
- 使っていないプラグインを削除する
- 二要素認証をする
- ログインURLを変更する
- パスワードを長く複雑にする
- ログインの失敗回数を制限する
- WordPressのバージョンを非表示にする
どれも簡単に設定できるので、セキュリティ対策をしていない方はやってみてください。
「セキュリティ対策はよくわからない」
「本当に正しく設定できているのか不安」
そんな方は、サイバースペースにご相談ください。
相談無料ですので、お気軽にお問い合わせください。