時にWordPress で運営されているサイトがハッキングされたり、その他の被害を受けたという話を聞くことがある。
例えば、クラッキングによってWordPressのテーマファイルが変更されて検索順位が大きく下がってしまったり、スパムサイトやマルウェアへのリンクが埋め込まれて各情報を流出させられてしまったり、ログイン情報が盗まれてサイトをめちゃくちゃに荒らされてしまったり、、、。
こうしたニュースを見て、WordPressがセキュリティに弱いと思っている方も、中にはいるだろう。
しかし、そういうことが起こるのはサイト管理者の運用に不備がある場合だけだ。そのため定期的にWordPressをメンテナンスしていれば、そうした被害はほぼ防ぐことができる。
そこで、ここではWordPressの管理者が定期的にやっておくべきセキュリティを劇的に高める方法をご紹介する。これだけやっていればほぼ安心というものなので是非参考にして欲しい。
1.WordPressのセキュリティの重要性
WordPressは機能性が高いことから、ホームページやブログを作れる代表的なCMS(コンテンツマネジメントシステム)としてもっとも人気である。一方でCMSを使ったサイトのなかでも、セキュリティの被害件数が多い。そのためWordPressを利用するにあたってセキュリティは必須であり、とても重要である。マルチプラットフォームのセキュリティ会社SUCURIの調査によると、「SUCURIが対応した、ウィルスに感染しているサイトの90%がWordPress」である。
WordPressの被害件数が多い理由は2つある。
1つめは、CMSにおけるWordPressの利用者数が世界一位であることだ。W3Techsの2020年の調査によると、CMSにおけるWordPressのシェア率は世界中で60%と圧倒的に多い。利用者数が多いため、ターゲットになりやすい。ハッカーの立場で考えると、もしWordPress内で脆弱性(システム上の弱いところ)が1つでもあれば、ターゲットになりうるサイトが無数に存在する。そのためハッカーとしては効率よくハッキングができその結果、WordPressのウィルス感染の件数も増えていることが考えられる。
2つめは、WordPressがオープンソースであることだ。WordPressは世界中の開発者が応用できるようにコードが開示されている。そのため脆弱性が発見されやすい。また管理画面のURLが決まっているなど、構造がわかりやすいためハッカーに狙われやすい。その結果WordPressのウィルス感染件数が増えていると考えられる。
ここまでで、WordPressのセキュリティが弱く、そのためセキュリティ対策が重要であることが理解できたはずだ。ただ後述することを実践するだけでセキュリティは劇的に向上する。管理者がこれだけやっていれば安心する内容なのでこのまま読み進めよう。
注
WordPressにはセキュリティが弱い一面もあるが、それ以上にメリットがある。プログラミングの知識がなくても、デザインが豊富なテーマ(テンプレート)や、様々な機能を追加できるプラグインによって、自由なカスタマイズができる。またWordPressは利用者が多いので、分からないことがあってもインターネットで調べれば解決することができる。まだWordPressを導入していないなら「初めてのWordPressで集客できるブログを作るまでの使い方まとめ」を参考にしてみよう。
2.コンピューターを常に最新バージョンに保つ
あなたが常日頃、使用しているパソコンのオペレーティング・システムやブラウザは最新のバージョンにアップデートしておこう。最新のバージョンにすると、脆弱性(ソフトウェアの欠陥)やバグが修正されているのでセキュリティが高まる。
それぞれのアップデート方法は公式サイトに掲載されているので確認しておこう。
オペレーティング・システムのアップデート方法
ブラウザのアップデート方法
※Safariに関して
Mac OS X の既存ブラウザである「Safari」は、Mac OS X のアップデート方法のソフトウェア・アップデートより最新版にできる。
3.WordPress を常に最新バージョンに保つ
WordPress本体やプラグイン、テーマは常に最新バージョンにしておこう。
これらは最新バージョンになる度に、ハッカーに狙われるソフトウェアの欠陥やバグが修正されている。そのため最新状態に保つだけでも、セキュリティは高まる。
詳しい更新方法は、『WordPressを安全に更新(アップグレード)する方法』で解説しているので一読しよう。
※WordPress もプラグインも、いきなり更新すると相性の問題で表示不具合などを引き起こすことがまれにある。念のためローカルで試してからアップデートを行うと良い。ローカル環境の作り方は、『ローカル環境にWordPressを構築する方法』を確認して欲しい。
4. 予測しずらいパスワードに変更する
パスワードを大文字・小文字を含めた英字・数字・記号を組み合わせた10桁に変更しておこう。後述するユーザー名の変更と共に行うことでセキュリティが劇的に高まる。
WordPressのパスワードを破る手段として「Brute-force attack(ブルートフォースアタック)」が利用される。この方法は、コンピューターを使い、全組み合わせのパスワードを自動で入力させ続けることで、セキュリティを突破するハッキング方法だ。
独立行政法人情報処理推進機構(IPA)が2008年に行った試験によると、大文字・小文字を含めた英数字6桁のパスワードは、およそ5日で解除できる。しかし大文字・小文字を含む英数字と記号を組み合わせた10桁のパスワードにすることでパスワードの解除に1千万年の時間が必要になる。
WordPressではこの10桁のパスワードをランダムで生成できるので、変更方法を解説しておこう。
メニューから「ユーザー→あなたのプロフィール」を選択し、新しいパスワードを設定しよう。
「プロフィールの更新」を押すとパスワードが保存される。WordPressに登録しているメールアドレスに確認メールが届くので確認しよう。
5.デフォルトのユーザー名から変更する
ログインユーザー名にデフォルトの「admin」を使用している場合、これを必ず別の ID 名に変更しよう。「admin」は、WordPress を使用している人なら誰でもわかるので、クラッキングされる可能性が高くなってしまう。
デフォルトユーザー名の変更方法は簡単だ。 X2サーバーを例にして解説しておこう。
まず、phpMyAdmin 画面にアクセスし、左メニューより該当のデータベース名をクリックする。
「wp_users」をクリックしよう。
「wp_users」のページにアクセスしたら、図の通り「表示」タブをクリックする。
すると現在、WordPress で管理するユーザー情報が表示される。項目「user_login」に「admin」と記載を見つけたら、図の通り「編集」ボタンをクリックしよう。
図の編集画面が表示されたら、値が「admin」と入力された箇所は、すべて新しいユーザー名に変更しよう。
次の3つのフィールドの値を変更すると良い。
- user_login
- user_nicename
- display_name
上からログイン名、ニックネーム、表示名となる。
入力が完了したら図の「実行する」をクリックすると反映される。これで完了だ。
実際に管理画面にログインできるか確認しよう。
6.編集者用ユーザーを作成する
管理者ユーザーとは別に、編集者用ユーザーを作成して、サイトデザインをいじる時は前者で、新しい記事やページを投稿する時は後者のアカウントでログインするようにしよう。
そうすることによって管理者のログイン情報が漏洩するリスクを大きく減らすことができる。
なぜならテーマにもよるが、基本的には公開した記事に作成者名が表示されてしまう。つまり、第三者に管理者のユーザー名が知られてしまい、悪用されるリスクが高くなってしまうからだ。
ユーザーの設定方法は『覚えておきたいWordPressのユーザー権限の種類と登録・管理方法』を参考にして欲しい。
簡単なのですぐに終わるはずだ。
WordPress の管理画面にログインして、左メニューより「ユーザー → 新規追加」の順にクリックする。
7.データベース情報のアクセスを制御する
WordPress の「wp-config.php」というシステムファイルは、データベースにアクセスするためのログイン情報が掲載されている重要なファイルだ。
このファイルを外部から見れなくする設定を行い、セキュリティを高める。
「.htaccess」を使うとその設定が可能だ。「.htaccess」とは、Web サーバーの動作を制御するためのファイルだ。このファイルをテキストエディタで開き、次の4行を一番上に追加しよう。
- <files wp-config.php>
order allow,deny
deny from all
</files>
編集の際、Windows ユーザーはメモ帳を使用せず、「サクラエディタ」などのフリーのテキストエディタを使おう。不要な情報が付加されないようするためだ。
また「.htaccess」ファイルの保存場所は、インストールしたWordPressのルート直下にある。
(XAMPPで作ったローカル環境を例に挙げると「C:\Program Files\xampp\htdocs\wordpress\」の直下)
注
「.htaccess」は、Web サーバーの動作を制御する強力なファイルだ。このファイルをいじる時も必ず事前にローカル環境で試すようにしよう。
8.WordPress のバージョン情報を削除する
WordPress で危険度の高いソフトの欠陥が発見された場合、その問題に対処した新しいバージョンがリリースされる。同時にその脆弱性を突いた悪用に関する情報もいっしょに開示される。
WordPress では、ソース内にバージョン情報を知るためのタグが表示されているため、悪意あるアクセスの対象になるリスクが非常に高くなる。
このリスクを回避するには、「Head Cleaner」というプラグインを使用して、バージョン情報を非表示にする必要がある。
設定方法は、『Head Cleaner の最も理想的な設定方法』を参考にして欲しい。
9.定期的にバックアップをとる
WordPress の全てのデータのバックアップを定期的に取ることで、万が一サイトが被害を受けたとしてもバックアップデータを復元して、ゼロからの復旧は免れる。
また、被害を受けた後のサイトとバックアップデータを比較することで、どのような攻撃を受けたかを調査する時に役立つ。
バックアップ方法については、 『BackWPUpで確実にWordPressのバックアップを取る方法』を読んで実践して欲しい。
まとめ
ここでご紹介した8つのセキュリティ対策は、どれも簡単にできるものだが非常に効果のあるものだ。面倒臭がらずに確実に設定するようにしておこう。