当社の考えるセキュリティ対策

「ワードプレスはセキュリティの脆弱性がある」という人がいますが、当社では否定しません。
しかしその一方で、セキュリティの脆弱性がないシステムはないとも考えています。
インターネット上にサイトを公開した時点で、多くの人にさらされている訳ですから、悪意のある人がいれば当然に危険にさらされていると言えます。つまり、ワードプレスに限らず、どのようなシステムを利用する場合においても対策をしっかり取ることが重要なのではないでしょうか。

ワードプレスのセキュリティ対策とは?

まずはおすすめのプラグインからご紹介いたします。

セキュリティ対策プラグイン

Login rebuilder(https://ja.wordpress.org/plugins/login-rebuilder/

ワードプレスのURLに「/wp-login.php」をつけると一般的にはログインURLになります。
インストールする場所(ディレクトリ)を変えた場合は、たとえば「/wp/wp-login.php」のようになります。
この「/wp/」をランダムな英字にしてセキュリティを強化するといったことは実は対策にはなりません。
サイトで使われている画像のURLを見ると「/wp/wp-content/uploads/○○○.jpg」といった形式になるので、すぐにログインURLはバレてしまいます。
そこでこのプラグインでログインURLを隠してしまおうという訳です。
ちなみに、ログインURLを失念したときの対策もありますので安心してください。

Wordfence Security(https://ja.wordpress.org/plugins/wordfence/

これは絶対いれた方がよいプラグインです。
有料版もありますが、無料版でも充分威力を発揮してくれます。
このプラグインが、どこを狙われているのか教えてくれます。
当社のサイトも狙われていますが、このプラグインのおかげで今のところ対策はできています。

プラグイン以外の対策

もちろん、プラグインに頼った対策だけでは充分とは言えません。
プラグイン以外の対策も紹介いたします。

テーマの対策

使っていないテーマは削除します。
ワードプレスのインストールと当時にインストールされているテーマは通常3つですが、そのうち1つ残すことが推奨されています。残したテーマと使っているテーマは自動更新設定にすることをおすすめします。

プラグインの対策

使っていないプラグインは削除します。
更新されていない最終更新日付の古いプラグインは使用を避けます。
プラグインを最新版に更新。できれば自動更新がおススメです。

SVGファイル

SVGとは、Scalable Vector Graphicsの略で、XMLというプログラミング言語を用いた画像形式です。
つまり、ウィルスが入っていてもおかしくはないものです。
SVGファイルを使う場合、自作の場合は問題がないのですが、ネット上からダウンロードする場合はソフトウェアやアプリ同様に慎重に扱う必要があります。

当社の場合はごく限られた信頼できるサイトからダウンロードしています。

Googleのサービス

Googleのサービスを使ったセキュリティ対策について説明いたします。

reCaptchaによる保護

お問い合わせフォームで「わたしはロボットではありません」というチェックボックスを見かけたことはありませんか?これは、reCaptchahttps://www.google.com/recaptcha/about/)と呼ばれるグーグルが提供しているセキュリティ対策の1つで、最近はチェックボックスにチェックを入れることなく、監視してくれています。
お問い合わせフォームのスパム対策に最適ですが、ログインURLにも設置することでロボットによるアカウント乗っ取りを避けることができます。

二段階認証ログイン

Google Authenticatorhttps://ja.wordpress.org/plugins/google-authenticator/)というプラグインをワードプレスに入れ、同じ名前のアプリをAndroidまたはiOS端末にも入れます。
この2つを同期させることで、Googleの二段階認証システムをログイン画面に採用することができます。
つまり、ログインIDPWの他にワンタイムキーが必要になり、それはワードプレスと連動したスマホ画面に表示されることになり、通常では破られないことになります。
この場合、スマホを紛失したり、電源が落ちていたり、スマホが近くにない場合にはログインできなくなりますので注意が必要です。

その他

ワードプレスのログインにはログインIDとPWの組み合わせの他に、メールアドレスとPWという組み合わせでもログインすることが可能です。このことはご存じない方が多くいらっしゃるようです。
一般的に、IDを「admin」にするのは推測されやすいのでやめましょう、と言われますが、通常使っているメールアドレスをアカウントに登録している場合には、ログインIDを世の中に公表しているのと同じことになります。こちらも注意したほうが良いでしょう。

まとめ

冒頭と重複しますが、インターネット上にサイトを公開している以上、ワードプレスだろうとそうでなかろうと、いつでもハッキングされる危険性があると言えます。
しかし、ワードプレスに限っていうと、セキュリティ対策は様々な角度から用意されているとも言えるので、しっかり対策をとれば、必ずしも危険という訳ではありません。

エクスペクト合同会社では、WordPressでのホームページ制作時やサイト運用時のセキュリティ対策についてのご相談も承っております。セキュリティ対策全般についてお悩みの場合、お気軽にご相談ください。

柳内郁文

エクスペクト合同会社 代表社員 アパレル商社、証券会社、IT関連・広告関連企業の役員を経て2017年に独立。 今まで1,000サイト以上に携わる。
  • 投稿カテゴリー:COLUMN
  • 投稿の最終変更日:2021年10月15日