【2021年度】これだけはやっておきたい!WordPressのセキュリティ対策8選
2021年現在、WordPressは全世界WEBサイトの43.1%のシェアを誇っています。
導入されている有名なWEBサイトだと、アメリカのホワイトハウスのWEBサイトにWordPressが使われています。
WordPressは世界的に使用されているが故に、悪意のある外部からの攻撃の対象になりやすいです。
だから、WordPressではサイト運営者自らがセキュリティ対策をしていく必要があるのです。
今回は、現役のWEB制作者がこれだけはやっておきたいと考えるWordPressのセキュリティ対策8選を紹介します。
WordPress初心者でも簡単に対策をすることが出来るので、是非参考にしてください。
目次
簡易的にWordPressの脆弱性の有無を知る2つの方法
まずは簡易的にWordPressの脆弱性の有無を知る2つの方法について紹介します。
自分のWordPressサイトに脆弱性がないかチェックしてみましょう。
①WPSEC.com
WPSEC.comは、WordPressの脆弱性を無料で診断することが出来る海外サイトです。
診断したいサイトのURLをスキャンするだけで、簡単にサイトの脆弱性を診断してくれるツールとなっています。
もし診断結果が安全であれば、以下の画像のように「Your WordPress website is safe!」も文字が表示されますよ。
ちなみに当サイトは安全という評価でした!
②wp-doctor
wp-doctorも無料でWordPressの脆弱性を診断してくれるツールです。
日本語のサイトなので、こちらの方が使いやすいかも知れません。
【2021年度】これだけはやっておきたい!WordPressのセキュリティ対策8選
これからWordPressのセキュリティ対策8選を紹介します。
WordPressのセキュリティ対策はすべてやるときりがないので、今回は簡単に出来て重要な項目を中心に紹介していきます。
出来る項目から対策していきましょう。
①ユーザー名とパスワードを複雑にする
悪意のある第三者に特定されないように、ユーザー名とパスワードは複雑な文字列にしましょう。
誕生日や名前などの情報は特定されやすいのでNGです。
もし思いつかない人がいましたら、以下のツールだど自動で文字列を生成してくれるので是非使ってみてください。
あと少し手間がかかりますが、1ヶ月に1回など定期的にユーザー名とパスワードを変更すると、よりセキュリティが強化されるのでおすすめですよ。
②使っていないプラグインを削除する
使っていないプラグインから脆弱性につけ込まれるかもしれないので、もし使用していないプラグインがあったら真っ先に消すようにしましょう。
③プラグインやテーマを常に最新版にする
WordPressのプラグインやテーマが最新版になっていないのは、セキュリティの観念上良くないです。
プラグインとテーマが最新版にアップデートされることで、セキュリティ面もアップデートしていきます。
だからこそ常にプラグインとテーマは最新版にしておきましょう。
④PHPのバージョンをアップデートする
PHPもプラグインとテーマと同様、定期的にバージョンがアップデートされます。
PHPが古いとそこから攻撃されたり、必要なプラグインをインストールすることが出来ないので、サーバーから常に最新版にしておきましょう。
⑤ユーザー名を特定されないようにする
セキュリティ対策をしていないと、サイトURLの末尾に「/?author=1」or「/wp-json/wp/v2/users」のどちらかを追加してエンターキーを押すと、ユーザー名を簡単に特定することが出来てしまいます。
ユーザー名が特定されると、残りはパスワードが特定されたら簡単にサイトをハッキングされてしまう可能性があります。
ユーザー名が特定されない方法に関しては、【セキュリティ対策】WordPressでユーザー名を他者に特定されないようにする方法で詳しく解説しているので、是非こちらを参照してください。
⑥「SiteGurad WP Plugin」のプラグインをインストールする
SiteGurad WP Pluginとは、無料で主に以下のセキュリティ対策をすることが出来ます。
・ログインURLの変更
・ログイン回数制限
・ログインアラート
SiteGurad WP Pluginを使ったセキュリティ対策に関しては、【2021年版】WordPressのセキュリティプラグイン「SiteGuard WP Plugin」の使い方ガイドで解説しているので、こちらを是非参照してください。
⑦「All In One WP Security & Firewall」のプラグインをインストールする
All In One WP Security & Firewallも同様に、無料でセキュリティ対策をすることが出来るプラグインです。
プラグインを多くインストールしたくない人は、All In One WP Security & FirewallかSiteGurad WP Pluginのどちらかを導入して頂けばOKです。
All In One WP Security & Firewallの使い方に関しては、【WordPress】「All In One WP Security & Firewall」のプラグインを使ってサイトのセキュリティ対策を強化する方法を是非参照してください。
⑧wp-config.phpにアクセスされないようにする
wp-config.phpとは、データベースのIDやパスワードなどの重要な情報がまとめられているPHPファイルです。
このファイルは外部から閲覧出来ないようにしたいので、以下のコードを.htaccessに追加して更新しましょう。
<files wp-config.php> order allow,deny deny from all </files>
これで外部からのアクセスを遮断することが出来ました。
まとめ
以上が、WordPressのセキュリティ対策8選でした。
8つ対策がありますが、出来る項目から導入していきましょう。
大阪のWEB制作会社で働くコーダー。コーディングにハマり、気づいたらWEB制作を仕事にしていました。現在は新規のWEBサイト制作やWordPressカスタマイズしたり、当技術ブログを運営しています。
