メインコンテンツにスキップ
ブログセキュリティWordPressを安全にする方法。基礎編

WordPressを安全にする方法。基礎編

セキュアなWordPress

WordPress は世界中のウェブサイトの 35% 以上をドライブしています。しかし専任のセキュリティチームやアクティブな世界中のコミュニティがあっても、この最先端のコンテンツ管理システムで運営されているウェブサイトがセキュリティ侵害の標的になることはよくあります。

WordPressのセキュリティ脆弱性のうち、コアとなるWordPressに起因するものはわずか14%であり、WordPress組織はこれらの問題にパッチを適用するための厳格なプロセスに従っています。では、WordPressのウェブサイトはどのようにしてハッカーにさらされるのでしょうか?多くの場合、セキュリティ脆弱性は不十分なメンテナンスから発生します。

基本的なことであるにもかかわらず見落とされがちなWordPressのベストプラクティスを貴方のサイトで対応することが重要です。この記事ではあなたのウェブサイトが安全であることを確認するためのいくつかの方法を見ていきます。

まずはサーバーから

何よりも先に、まずはWordPressを実行するために使用しているサーバーが安全であることを確認しましょう。この処理は ハードニングと表現され、悪意のある第三者によるサーバーへの不正アクセスのリスクを軽減するのに役立ちます。

サーバーで実践できる最大のセキュリティ対策の一つは、ソフトウェアのアップデートです。アップデートは重要な脆弱性に対するパッチからマイナーなバグ修正まで幅広く行われていて、定期的にかつ頻繁に適用される必要があります。

自分のサーバーを運営することには様々な利点があります。完全なコントロールにより意のままにできるようになりますが、一方でサーバーのメンテナンスをしっかりと行う責任はあなたの肩にかかっています。WordPress ウェブサイトをLinode上でホスティングしていて、サーバーの安全性を確保するために何から始めればいいのかわからない場合のために、このドキュメントでは不正アクセスからあなたのLinodeサーバーを守る方法を説明しています。

これらの手順が面倒に思える場合は、サーバーレベル(および多くの WordPress レベル)のセキュリティ更新をすべて代行してくれる Pressidium のようなマネージド WordPress ホストの利用を検討してみてはいかがでしょうか。

WordPress の更新

サーバーのハードニングを行った後に、WordPressウェブサイトを安全に保つ最も簡単な方法は、利用可能なWordPressのアップデートをインストールすることかもしれません。WordPressはかなりの数の貢献者(約70人の開発者が2019年にコアに5,000件近くコミットしています)がいるためほぼ毎月利用可能なアップデートが提供されることは驚くべきことではありません。これらのアップデートには2つの種類があります。 

  1. 新機能がリリースされるメジャーアップデート。これらのアップデートは年に2回程度リリースされます。
  2. 現在のバージョンのバグやセキュリティリスクに対処するマイナーアップデート。これらのアップデートは、数週間に一度の頻度で配信されます。

WordPress のマネージドホスティングプロバイダーを利用している場合、これらの更新は自動的に行われるはずです。あなた自身がサーバーを運営している場合は手動でWordPressのバージョンを更新する必要があります。wp-admin にログインすると、更新が可能な場合は、ホームページの上部に更新を促す通知が表示されます。プロンプトに従うと、WordPress が更新プログラムをダウンロードしてインストールします。

ほとんどのアップデート(特にマイナーアップデート)はスムーズに進みますが、アップデートを実行する前にウェブサイトのバックアップを取っておくことをお勧めします。またテーマやプラグインの中には、最新のWordPressバージョンと互換性がないものもあるので、アップデート後には慎重にサイトをテストすることをお勧めします。

テーマとプラグインの更新

WordPress のコアと同様に、プラグインやテーマ(Theme Forest のようなプロバイダーのサードパーティ製を使用している場合)も定期的な更新が必要であることに気づくでしょう。プラグインやテーマが更新されない可能性がある2つの一般的な理由には、以下のようなものがあります。

  1. ウェブサイト所有者が、特にwp-admin へ最後にログインしてからしばらく経っている場合、更新を実行するのを忘れてしまいます。 
  2. プラグインやWordPressのテーマを更新するとサイトが壊れてしまうために更新に消極的になることがあります。

2分しか掛からないはずのプラグインの更新がサイトの動作を止めてしまい大仕事になってしま宇野はイライラします。あなたがウェブサイトやビジネスを実行して忙しいときにそのような問題を解決する時間を見つけることは容易ではありません。その場合、バックアアップからサイトをリストアして元どおりにする誘惑に駆られますが、それではプラグインやテーマが古いままの運用になってしまいます。

WordPress コアの更新においても、最新バージョンをインストールしただけでサイトの一部が動作していないことに気付いた場合に全く同じ状況が発生するかもしれません。以前のバージョンに戻して問題を見なかったことにすることは簡単ではあるものの、潜在的に危険を伴います。

このシナリオはまさにハッカーがターゲットにしているものです。WordPress のハッキングの大部分は、アップデートされていないテーマ、プラグイン、WordPress コアを実行しているウェブサイト上の既知の脆弱性を悪用して行われています。ハッキングされたサイトの影響による売上の損失や風評被害のコストは膨大なものになる可能性があります。

コンピュータ上の脆弱性を修正

サーバーとインストールされた WordPress のセキュリティは重要ですが、安全ではないワークステーションはこれらの取り組みを弱体化させる可能性があります。例えば悪意のあるキーロガーがコンピュータにインストールされている場合、攻撃者は WordPress のログイン情報を収集することができます。WordPress にアクセスするために使用するコンピュータには、ウイルス対策ソフトが使用されていて、マルウェア、スパイウェア、その他のウイルス感染がないことを確認してください。

またサーバと同様に、OS とブラウザも最新の状態に保つべくリリースされるパッチを適用するようにしてください。信頼できないサイトを閲覧している場合は、NoScript のようなツールを使用してマシン上で実行可能なウェブコンテンツが実行されないようにするのも良いアイデアです。

パスワードやユーザー名について

二要素認証がなければ、あなたのウェブサイトと wp-admin にアクセスしたい侵入者との間に立ちはだかるのはあなたのパスワードだけです。故に複雑でユニークなパスワードを設定することがとても重要になります。 

いいパスワードを選択する際にヒントが必要な場合は 1Password Generatorのようなツールを使用することができます。ウェブサイトごとに異なるパスワードを使用するようにしましょう。強力なパスワードを管理する最良の方法は、1Password が提供しているようなパスワードマネージャーを使用することです。

強力なパスワードと同様に重要なのは、デフォルトの「Admin」をユーザー名として使用しないようにすることです。

  • Usersのセクションを開き、ユニークなユーザー名を持つ新しいユーザーを作成します。
  • このユーザーに管理者権限を割り当て、強力でユニークなパスワードを設定しましょう。
  • WordPressから一旦ログアウトして、作成した新しいユーザー名とパスワードでログインし直します。
  • Usersセクションを再度開き、デフォルトの管理者ユーザーAdminを削除します。

二要素認証

二要素段階認証(2FA)はほぼ主流になりつつあります。2FAは、ユーザーが知っているもの、持っているもの、または今あるものの組み合わせを使用してユーザーの身元を確認します。

WordPress は 2FA の利用に最適なプラットフォームであり、プラグインを使用することで簡単に 2FA を有効にすることができます。人気のある2FAプラグインはDuoTwo-Factorですが、他にも存在します。(WordPressのプラグインリポジトリを検索してみてください。)2FAシステムを有効にしておけば、万が一パスワードが第三者に推測されたり入手されたりしてもあなたのウェブサイトは安全であることを確信することができます。

セキュリティプラグインの使用

データベース名を変更したり、HTTP セキュリティヘッダを利用したりするなど、WordPress ウェブサイトの安全性を維持するための強化策は他にもあります。これらはすべて、ほとんどの場合においてそれなりに高いレベルの技術的なノウハウと時間を必要とします。

人気が高いWordPressセキュリティプラグインの中にはブラックリスト監視、ファイルスキャン、ブルートフォース攻撃防御、ファイアウォールなどかなりの機能を提供しているものがあります。これらのプラグインは少ない技術的経験であってもあなたのウェブサイトのセキュリティを迅速に強化する簡単な方法を提供できます。

数多くのプラグインが利用可能ですが、すべてのプラグインに当てはまるように、Securi SecurityWordfence のような評判が良く、しっかりテストされたプラグインを使用することが重要です。新しいプラグインをインストールしたりプラグインの設定を大幅に変更する前にはウェブサイトのバックアップを取ることを忘れないでください.

バックアップを取る

バックアップはWordPress のメンテナンスの中でもかなり軽視されている可能性があります。しかしそれはウェブサイトのセキュリティにおいて重要な役割を果たしています。高品質のバックアップを持っていれば、万が一あなたのサイトがハッキングされてひどい被害を受けた場合でも、以前のバックアップを復元すればすぐに復旧できるという安心感を得ることができます。その後、ハッキングが繰り返されるのを防ぐために必要な追加セキュリティを適用することができます。

以前はWordPressのバックアップを取るのは難しいものでしたが、ここ数年でそのプロセスは非常に簡単になりました。UpdraftPlusのようなプラグインや、VaultPressBlogVaultのようなオフサイトバックアップシステムなど、選択肢はたくさんあります

次の記事ではWordPressのウェブサイトを安全に保つためのより高度な対策についてお話しします。

コメント (3)

  1. Author Photo

    Thanks a lot for providing this valuable content.

  2. Author Photo

    Wordpress can be sometimes confusing if you would want it done professionally unlike doing the free website but thanks to this article, I’m learning more

  3. Author Photo

    It’s surprising just how many people don’t update their Wordpress site to the latest version. According to Wordpress only 44% have updated to the now 5.7 core release which means that more than 50% are still using older versions all the way back to 4.4 and lower.

    It’s a big security risk to have an old version of Wordpress as hackers find vulnerabilities as time passes. So makes sense to stay up to date.

コメントを残す

あなたのメールアドレスは公開されません。必須項目には*印がついています。