- ワードプレスが攻撃されるとどんな被害に遭うのかを知りたい
- ワードプレスを安心安全に使うためのセキュリティ対策を知りたい
- ワードプレスのセキュリティ対策におすすめのプラグインを知りたい
- 「WordPressのセキュリティ対策は必要なの?」
- 「セキュリティ対策は何したらいい?」
このような疑問を解決します!!
この記事では、ワードプレス初心者の方でもできる、WordPressブログのセキュリティ対策をご紹介します。
おそらくセキュリティ対策と聞いて、「難しそうだなぁ…」と思う方が多いです。だけど、やることは簡単なことなので誰でもできます!
ワードプレス初心者さんは、「ワードプレスを作ったばかりでアクセスもないから大丈夫!」と何もしない方が多いのですが、そういうサイトこそ狙われます!
なので、この記事を参考にしっかりと対策していきましょう!
サクッとすぐにWordPressのセキュリティ対策を知りたい方はこちら
> ワードプレスのセキュリティ対策5つ
YouTube動画の解説はこちら
「1Password」は、パスワード管理ツールの一つで、さまざまなウェブサイトやアプリケーションのログイン情報を安全に保存・管理できます。
- 1Password3年版1人用:12,800円▶️ 9,980円(22%OFF)
- 1Password3年版ファミリー用:21,480円▶️ 16,980円(20%OFF)
※2024年9月29日まで
ソースネクスト経由で公式サイトよりお得に!!
目次は読みたいところをタップして飛べるよ♪
WordPressセキュリティの重要性
まず最初にワードプレスのセキュリティの重要性をお伝えします。
そもそもワードプレスのセキュリティが重要な理由は
「ワードプレスが狙われやすいから(攻撃されやすいから)」
です。
こちらは、ウェブサイトセキュリティサービスを展開するSukuri社が発表した、全CMSのハッキング調査のデータです。全CMS中WordPressは90%を占めていたそうです。
WordPressが狙われやすい理由
というのも、ワードプレスは世界中で使われているツールなので、利用者さんがめちゃくちゃ多いのです。
利用者が多いということは、攻撃する側からしたらシステムの弱いところを簡単に見つけ出せるので攻撃をしやすいのです。
考えてみると分かりますよね。利用者が多くなれば、いろんな使い方をしている人がいるので、セキュリティ対策をほとんどしていないような人が簡単に見つけ出せるということです。
なので、ワードプレスはハッカー(クラッカー)によく狙われるのです。
ハッカーは広義の意味ではコンピュータやネットワークに関する高度な知識や技術を持つ人々でしたが、細かく分類すると2種類に分けることができます。「ホワイトハットハッカー」と「ブラックハットハッカー」です。
ホワイトハットハッカーとはハッカーのうち、知識と技術を善良な目的に使用する人のことです。一方、ブラックハットハッカーとはハッカーのうち、知識と技術を不正な行為のために使用する人を指します。そして、このブラックハットハッカーを別名、クラッカーと呼びます。
引用元:パーソナルテクノロジースタッフ「ハッカーとクラッカーを知ろう」
このことから、ワードプレスのセキュリティに関しては、ワードプレスを使う方だったら作ったばかりとか関係なく対策をした方が良いのです。
【事例あり】どんな攻撃をされてどんな被害を受けるの?
実際に「ワードプレスが攻撃されたらどんな被害を受けるのか?」をご紹介します。
不正アクセスによるWordPress改ざん
ワードプレスの不正アクセスの被害はとても多いです。
「サイトに突然ログインができなくなった」「突然レンタルサーバーからサイト改ざんのメールが届いた」など…
このようなことを耳にしたことはありませんか?
これは、不正アクセスされてしまった場合に起こることです。
不正アクセスをされると、記事の書き換えをされたり、変な外部サイトに飛ばされたり、不正なファイルを埋め込まれたりします。
ちなみに、不正アクセスはどのような手口で行われるのかというと、WordPressのユーザーID、パスワードを破られて管理画面に入られてしまい、不正ファイルを埋め込まれるというパターンが多いようです。
わたしのところには過去にこのような相談があって対処したことがあります。
不正アクセスされ大量のスパムメール送信
ワードプレスの不正アクセス被害の別の事例です。
過去にとある企業で、Webサイトに不正アクセスされ、メール送信機能を悪用。大量のスパムメールを送信されたそうです。
大量のスパムメールは、自社のお客様に迷惑をかけてしまい、そして企業としての信頼を失ってしまいます。
これは企業だけの話ではなく個人の方でも、ワードプレスでお客様の情報を持っている方は、注意しておかないと迷惑をかけて信頼をなくすことになります。
ワードプレスのセキュリティ対策5つ
ワードプレスのセキュリティ対策5つはこちらです。
詳しく解説します。
①パスワードを複雑なモノにする
ワードプレスの不正ログインの1番の原因はここです!
ワードプレスのパスワードが単純な方は、不正ログインをされやすいです。
というのも、不正ログインは、無料で手に入れられるツールを使って大体予測できそうな文字、数字を何パターンも一瞬で組み合わせてパスワードを入手していきます。
ですので、単純なものにしておくと、ツールを使えば数分もかからずに洗い出されてしまうんです。
ワードプレスを守るには、まずパスワードは単純なものにするのはやめることが大事です。
パスワード変更は、すぐにできることなので、複雑なパスワードに変更をしておきましょう!!
ワードプレスのログインパスワードを変更する方法
ワードプレスのダッシュボードを開いて、左のメニューから「ユーザー」→「ユーザー一覧」をクリックします。
ユーザー一覧が開くので、そこからユーザーにマウスを持っていくと「編集」という項目が表示されます。クリックをしてください。
ユーザーページの下の方に画面をスクロールさせると、「新しいパスワードを設定」のボタンが表示されますのでクリックしてください。
クリックすると自動的にパスワードが入っています。このパスワードは、ワードプレスが作ってくれたパスワードなので、かなり複雑なものになっています。
このままワードプレスが作ってくれたパスワードを使っても良いですし、自分で書き換えても良いです。
パスワードを設定する時ですが、ワードプレスにはパスワード強度チェッカーが入っているので、「強力」と表示されるパスワードにされることをオススメします。
パスワードが入力できたら、画面の一番下までスクロールして「プロフィールを更新」をクリックしてください。
パスワードの変更は定期的に行いたいところです。ただ、頻繁に変更していると「パスワード管理が大変」と思われる方がいらっしゃると思います。
わたしは、1Passwordというパスワード管理システムを使ってパスワード管理をしています♪1Passwordは、おすすめのツールですよ!!
②WordPressテーマやプラグインは常に最新の状態にする
WordPressテーマやプラグインの更新通知が来たら、放置せずに最新の状態にしましょう!
テーマやプラグイン更新というのは、開発者さんがセキュリティ対策をしてくれてバージョンアップしてくれているんです。
だけど、更新せずにそのままにしていると、せっかくのセキュリティ対策も古いままです。
クラッカーみたいな悪い人たちは、このようなセキュリティが甘くなっているファイルを狙って攻撃をしてきます。
ですので、テーマやプラグインの更新は放置せずに、通知が来たら更新を行うようにしてください。
WordPressテーマやプラグインの更新は、以下の手順を参考にしながら行ってみてください。
※今回はプラグインを更新する手順で解説しますが、テーマも同様の手順で更新できます。
プラグインの更新方法
ダッシュボードを開いて「更新」をクリックします。
更新を開くと、更新しないといけないプラグインやWordPressテーマが表示されますので、更新したいプラグインにチェックを入れ「プラグインを更新」をクリックします。
複数のプラグインが表示されているときは、まとめてチェックを入れてプラグイン更新をしないで、一つずつ更新を行うようにした方が良いです。
万が一、プラグインを更新してワードプレスに不具合が起こった場合、まとめて更新していると、どのプラグインが原因だったのかを判断できないので、一つずつ更新をオススメしています。
③不要なWordPressテーマやプラグインは削除する
もし今、使っていないWordPressテーマやプラグインがある場合は削除しましょう!
よくプラグインで、「無効化」の状態で放置されている方がいるのですが、無効化にしていても攻撃をされてしまうことがあります。
WordPressテーマやプラグインの削除は、簡単に行えますので不要なものは削除するようにしてください。
不要なWordPressテーマを削除する方法
使ってないワードプレステーマは積極的に消すのが良いのですが、デフォルトで入っているテーマは一つだけ残しておくようにしてください!!
ダッシュボードの左側のメニューから「外観」→「テーマ」をクリックします。
テーマ一覧の画面が開いたら、削除したいテーマにマウスを合わせて「テーマの詳細」をクリックします。
※有効になっているテーマは削除できません。
テーマの詳細画面が表示されるので、右下にある「削除」をクリックします。
「本当にこのテーマを削除しますか?」とポップアップが表示されますので、「OK」をクリックしてください。
不要なプラグインを削除する方法
ダッシュボードの左側のメニューから「プラグイン」→「インストール済みプラグイン」をクリックします。
プラグインの一覧を開いたら、消したいプラグインを見つけて「無効化」をクリックします。
※以下の画像では「Advanced Editor Tools (旧名 TinyMCE Advanced)」のプラグインを削除します。
もうすでに無効化している状態だったら、ここはしなくて大丈夫です。
プラグインを無効化することができたら、「削除」が表示されますので、削除をクリックします。
プラグインの削除をクリックすると、以下のように確認画面が開きますので、「OK」をクリックします。
これでプラグインの削除ができました!!
不要なプラグインがあった場合は、積極的に削除するようにしましょう!!
④レンタルサーバーのセキュリティ対策機能を使う
使っているレンタルサーバーによっては、WordPressのセキュリティ対策機能が付いている場合があります。
ですので、レンタルサーバーにセキュリティ対策機能がついているのでしたら、使える機能はしっかりと活用していきましょう。
ちなみに、わたしが利用しているレンタルサーバーは「エックスサーバー」ですので、セキュリティ対策の機能が付いています。
【WordPressセキュリティ設定】
本機能は、ご利用のWordPressにおいて、各種ツールに対する国外IPアドレスからの接続を制限したり、パスワード総当り(ブルートフォースアタック)による第三者のログインを防止するなど、不正なアクセスに対するセキュリティを強化する機能です。
引用元:エックスサーバー公式マニュアル「WordPressセキュリティ設定」
エックスサーバーのセキュリティ機能は、デフォルト設定ですでに「有効」になっています。
なので、何も設定しなくても安心して利用できるようになっています。
このようにレンタルサーバーによっては、ワードプレスの不正アクセスなどに対するセキュリティ対策をしてくれる機能があるので、お使いのレンタルサーバーを確認してみてください!!
基本は、上記までのセキュリティ対策ができていたら十分なんですが、心配な方はさらにプラグインの導入を検討してください。
⑤セキュリティ対策用のプラグインを導入する
「より安全にワードプレスを使いたい」「セキュリティ対策を強化したい」などの場合は、セキュリティ対策のプラグインを導入してください。
ただし、セキュリティ対策プラグインを導入する際には注意点があります。
- セキュリティ対策プラグインが、脆弱性だったり不具合を起こす場合があります。
- WordPressテーマによっては合わないプラグインがあります。
ワードプレスのセキュリティ対策のプラグインは種類が多いので、おすすめのものをご紹介します。
セキュリティ強化
ワードプレスでは、ワードプレス本体やプラグインの脆弱性への攻撃、セキュリティ対策がされていないようなところへの攻撃などを受けやすいです。
- ブルートフォース対策:総当たり攻撃によるパスワードの割り出しをガード
- 特定IPアドレスをブロック:特定のIPアドレスからのサイト閲覧をブロック
- ファイアウォール:ネットワークとネットワークの間で不正なアクセスをブロックするためのシステム
上記のような悪意のあるアクセス対策ができるプラグインをご紹介します。
セキリュティ系のプラグインは、たまに使っているWordPressテーマやプラグインで不具合が起こったりしますので、注意が必要です。
サイトスキャン系のプラグイン
サイトスキャン系のプラグインというのは、ワードプレス内にあるファイルや設定などをスキャンして、意図しないファイル変更やセキュリティ対策をしていないところなどを定期的に教えてくれるプラグインです。
ちなみに、スキャンだけではなく、悪意のあるアクセス対策もしてくれる含ことが多いです。
サイトスキャン系のプラグインを入れるとワードプレスが重くなることがあるので注意です。
ワードプレスの脆弱性を診断したい時は、こちらの「Siteheck」というサイトを使うと無料でブラックリストのステータスやマルウェアなどの検知結果をチェックできます。
>Sitecheck
WordPressセキュリティチェックツール
自分のワードプレスサイトがセキュリティ的に安全かどうかをチェックできるツールがあるのでご紹介します。
- WPScans.com:WordPressサイトの脆弱性をスキャンしてくれる無料ツール。
- SUCURI SiteCheck:サイト全体のセキュリティ診断を無料で行うツールです。」
WPScans.com
WPScans.comは、WordPressサイトの脆弱性を無料でスキャンできるツールです。
URLを入力して規約のチェックをして「START SCAN」をクリックするだけで、サイトの脆弱性をチェックし、セキュリティリスクがあるかどうかを診断してくれます。
スキャン結果で、「Your WordPress website is safe!」と表示されたら何の問題はないということです。
より詳細な診断結果を知りたい場合は有償になります。
SUCURI SiteCheck
SUCURI SiteCheckは、WordPressサイトを含むあらゆるサイトのセキュリティ診断ができる無料ツールです。
サイトがマルウェアに感染していないか、セキュリティリスクがあるかどうかを総合的に診断してくれます。
使い方は簡単で、SUCURI SiteCheckのサイトを開いて、ドメイン名を入力して「Submit」をクリックすると診断がスタートします。
少し待つと以下のような診断結果が表示され、「No Malware Found」と表示さえれていたらマルウェアは検出されなかったということです。
WPScans.comよりも詳細にセキュリティ診断ができるのがSUCURI SiteCheckです。
これらのツールを使うことで、WordPressのセキュリティ状態を簡単にチェックし、さらに対策が必要かどうかを確認することができます。
セキュリティは常に強化し続けることが大切なので、定期的にツールを活用してサイトの安全性を保ちましょう。
WordPressセキュリティ対策のよくある質問
まとめ:WordPressセキュリティ対策!初心者でもできる方法を5つ紹介!
今回は、ワードプレス初心者の方でもできる、WordPressブログのセキュリティ対策をご紹介しました。
ご紹介したセキュリティ対策は以下の5つです。
- パスワードを複雑なモノにする
- WordPressテーマやプラグインは常に最新の状態にする
- 不要なWordPressテーマやプラグインは削除する
- レンタルサーバーのセキュリティ対策機能を使う
- セキュリティ対策用のプラグインを導入する
ワードプレスが攻撃されてしまうと、せっかく積み上げてきたものが一瞬でなくなってしまいます。
それに、多くの方に迷惑をかけてしまうことがあるので、セキュリティ対策はしっかり行うことが大切です。
今回ご紹介した方法を取り入れて、安心安全にワードプレスの運用をしていきましょうね^^
「1Password」は、パスワード管理ツールの一つで、さまざまなウェブサイトやアプリケーションのログイン情報を安全に保存・管理できます。
- 1Password3年版1人用:12,800円▶️ 9,980円(22%OFF)
- 1Password3年版ファミリー用:21,480円▶️ 16,980円(20%OFF)
※2024年9月29日まで
ソースネクスト経由で公式サイトよりお得に!!