世界中で利用されている人気のCMS、WordPress。
そんなWordPressでホームページやブログを作成する際、気をつけなくていけないのがセキュリティについて。
なぜなら、WordPressは人気の高いツールであるため狙われやすい傾向にあるからです。
そこでこの記事では、WordPressのセキュリティに関する設定について紹介していきます。
WordPressでホームページやブログを運営しているけどセキュリティ周りについてはイマイチきちんと設定できていないという方は、ぜひこの機会にWordPressのセキュリティの設定を見直してみてください。
WordPressでセキュリティに関する設定をおこなうべき理由
WordPressでセキュリティに関する設定をしっかりとおこなうべき理由は、「大切なホームページやブログを守るため」です。
冒頭でも紹介したとおり、WordPressは世界中で多くの人に利用されているツールであるため、世界中から狙われやすくなっています。
Google Analyticsなどのアクセス解析ツールを導入し、チェックしてみてもらえるとわかりますが、海外からの不自然なアクセスが日常的にカウントされているのが確認できるはずです。
特に多いのがWordPressで作ったサイトの乗っ取りで、サイトを乗っ取られてしまうと、
- 勝手にコンテンツを掲載されてしまう
- リンクを挿入されてしまう
- WordPressにアクセスできなくなってしまう
- スパム広告を貼られてしまう
など、さまざまな被害をこうむってしまうことになります。
これらの被害がひどくなり、対処できる範疇を超えてしまうと、ホームページやブログ自体を削除せざるをえなくなってしまうことも…。
せっかく作成したホームページやブログをこのような形で失ってしまうのは想像したくもありませんし、それがビジネスに関わるものであればなおさらです。
ホームページ経由で収益が発生している場合、そこから得られる収入がゼロになってしまうこともあります。
そうなってしまわないたにも、WordPressでホームページやブログを作成した場合はしっかりとセキュリティ対策をおこなう必要があると言えるわけです。
WordPressでおこなっておきたい5つのセキュリティの設定
いずれも重要な設定ばかりですので、忘れずにおこなうようにしてください。
1. ログイン情報を複雑なものにする
まずやっておきたいのがログイン情報の見直しについて。
かなりシンプルな対策ですが大きな効果を発揮してくれるので絶対におこなうべきです。
WordPressにログインする場合、IDとパスワードを求められるかと思いますが、これをできるだけ複雑なものにしていきます。
管理者アカウントのユーザー名が「admin」のようなわかりやすいものになっている場合はユーザー名を変え、パスワードについては英語の大文字と小文字、数字、記号を組み合わせた長いものに変更しましょう。
また、定期的に変更することも大切です。
2. BASIC認証を設定する
BASIC認証を設定するとWordPressのログイン画面にアクセスする前にIDとパスワードを要求されるようになります。
ログイン画面を二重で設定するようなイメージです。
BASIC認証を設定しておけば、単純に計算しても2倍不正をおこなうのが難しくなるので、必ず設定しておくべきだと言えるでしょう。
BASIC認証の設定はプラグインを使っておこなうこともできますが、しっかりと設定できない場合もあるのでおすすめできません。
「パスワードファイルを作成してサーバーにアップする方法」など、手動でおこなう方法でしっかりと設定するようにしてください。
3. ログイン画面に画像認証を設定する
最近実装するサービスが増えてきているのが、ログイン画面への画像認証の設定です。
IDとパスワード以外にテキストの画像を表示し、表示されているテキストの入力を求めるタイプの認証が画像認証です。
この画像認証はシステムによる不正アクセスを抑制するもので、セキュリティ面において大きな効果を発揮してくれます。
画像認証はWordPressで公開されているプラグインで簡単に導入できます。
有名なプラグインとしては、
- SiteGurad WP Plugin
- SI CAPTCHA Anti-Spam
- Captcha
などがあげられます。
そこまで複雑な手順をふまず簡単に設定できるので、ぜひダウンロードして導入してみてください。
4. プログラムを最新のものに保つ
WordPressやWordPress内で使用されるプラグインは定期的にアップデートされます。
これはバグを修正するためにおこなわれたり機能を追加するためにおこなわれるものですが、システムの脆弱性を修正する目的でおこなわれるものでもあります。
脆弱性が確認できたものをいつまでも使い続けていた場合、いつでも不正をおこなえるような隙だらけの状態でホームページやブログを運営しているということになるのでおすすめできません。
WordPressやプラグインなどのプログラムは定期的に更新情報を確認し、最新の状態に保つようにしましょう。
5. SSL化
ここまで紹介してきたセキュリティ周りの設計とは若干異なりますが、サイトのSSL化も必ずやっておくべきセキュリティ周りの設定の一つです。
これまで紹介してきた設定はサイトの乗っ取りを防ぐタイプのものでしたが、こちらはサイトをユーザーに安心して利用してもらうための設定になります。
サイトをSSL化するとユーザーがサイトにアクセスした場合の通信に関する情報が暗号化されるようになるため、大切な情報が外部にもれてしまうことがなくなります。
また、SSL化はGoogleが推奨しているセキュリティ周りの設定でもあるので、SEO的にも評価されやすくなります。
評価されやすくなるというより、SSL化されていないサイトは評価がマイナスになってしまうと表現した方がいいでしょうか。
サイトのSSL化は、外部のサービスを利用するか、レンタルサーバーに備わっている機能を活用しておこなっていきます。
最近はSSL化の機能を標準で装備しているサーバーも多いので、今現在利用しているサーバーの機能を一度チェックしてみてください。
WordPressのセキュリティの設定についてのまとめ
もしセキュリティに関する設定を今までおこなってきたことがないというのであれば、今回紹介させてもらった内容を参考に、ぜひ今一度セキュリティ周りの設定を見直してみてください。
セキュリティ周りの設定は面倒に感じてついつい後回しにしてしまいがちですが、乗っ取りなどの被害が出てからでは遅いので、できるだけ早く対処するようにしましょう。