最終更新日:
【WordPressセキュリティ対策】コーダーがWEB制作で納品するときに最低限やっておくべき設定
※この記事ではアフィリエイト広告を利用しています。
こんにちは。五平餅くんです。
あなたのサイトのセキュリティは大丈夫でしょうか。
特にWordPressを入れている場合は、セキュリティが甘いとハッキングやサイト改竄などの被害に遭う可能性があります。
Webサイト制作を仕事にしている人であれば、最低限のセキュリティ対策は納品する側の責任だと思います。
今回は、簡単にできる最低限のセキュリティ対策について、コーダーのみならずWordPressサイトに携わる全ての方にとって必須の設定をご紹介します。
なお、今回のセキュリティ設定は、主に「WordPressセキュリティ大全」という本に書かれていたものをご紹介しています。
目次
セキュリティ対策① パスワード強化
ユーザー名は簡単に調べられる
何よりもまずは、WordPressのパスワード強化が必須です。
判別されやすいパスワードにしているとすぐにログインすることができます。
後でお話しするように、WordPressではURLの末尾に「/wp-admin」や「/login-php」と付ければすぐにログインページにアクセスすることができます。
そして、URLの末尾に「?author=1」と付ければ、「/author/ユーザー名/」というページになり、ユーザー名も簡単に調べることはできます。(こちらも後ほど詳しくお話ししていきます。)
残るはパスワードです。
ここでパスワードが破られれば、簡単にログインできてしまうのです。
なので、パスワードが長くて推測されにくいものにしておくことはまず大前提必須の設定だと思っていただきたいです。
コーダーの場合は、依頼者からWordPressをインストールされた状態でサイト公開をお願いされることが多いかと思います。
その際、パスワードが簡単なものになっていたら、複雑なものに変えてあげてください。
手間は増えますが、そのほうが相手のためになります。きっと喜ばれます。
セキュリティ対策② WordPress・プラグインを最新にする
WordPressは日々アップデートされており、セキュリティについても日々強化されています。
プラグインも同様に、作成者が更新を怠っていなければ機能のみならずセキュリティについても日々強化されています。
WordPress・プラグインを最新の状態に保っておくことは、まず最低限行うべきセキュリティ対策になるかと思います!
ただし、万が一表示が崩れたりする場合もありますので、バックアップは必ず取得してください。
バックアップについて、詳しくはセキュリティ対策⑧ バックアップをご覧ください。
セキュリティ対策③ 不要なテーマとプラグインを削除
テーマやプラグインは管理されていないと、使っていない不要なものがそのまま置き去りにされたりします。
古いバージョンのテーマやプラグインは特に狙われやすく、無効化していても標的にされる可能性があります。
使っていないテーマやプラグインは削除しておきましょう。
使っていないテーマやプラグインを削除しておくことは、少しの手間をかけるだけでできる簡単なセキュリティ対策です。やらない手はありません。
セキュリティ対策④ ログインページURL変更(「/wp-admin」からリダイレクトしない)
ログインページURLの変更も必須の設定になります。
通常、WordPressではURLの末尾に「/wp-admin」や「/login-php」と付ければすぐにログインページにアクセスすることができます。
そもそもこのログインページにアクセスできないように、「/wp-admin」や「/login-php」でアクセスすると404ページ(「このページは存在しません」というようなエラーページ)を表示させる設定をしましょう。
こちらについてはプラグインで簡単に設定できます。
まずは、「SiteGuard WP Plugin」というプラグインをインストールしてください。
2点設定していきます。
管理ページアクセス制限を「有効」にする
SiteGuard>管理ページアクセス制限にアクセスし、「有効」に変更します。
ログインページURLを変更して、「管理者ページからログインページへリダイレクトしない」にチェック
SiteGuard>ログインページ変更にアクセスして、機能が「有効」になっているのを確認したら、「変更後のログインページ名」にて、ログイン画面のURLに当たる文字列を入力します。
こちらは任意の文字列で問題ありませんが、推測されにくいものにしておいてください。
そして、「管理者ページからログインページへリダイレクトしない」にチェックを入れておきます。
ここにチェックを入れることで、「/wp-admin」と入力した際にログインページにリダイレクトされなくなります。
つまり、チェックを忘れると「/wp-admin」でログインページが表示されてしまうので、ほとんど効果がなくなります。必ずチェックを入れておきましょう。
WordPressでは、URLの末尾に「?author=1」と付ければ、「/author/ユーザー名/」というページになり、ユーザー名も簡単に調べることはできます。
試しにつけてみてください!URLが変更されるかと思います。
それだけではありません。
URLの末尾に「/wp-json/wp/v2/users」と付ければ、「”name”:”ユーザー名”」という感じでユーザー名が画面上に表示されてしまいます。
こちらも試しにつけてみてください!ユーザー名が表示されていると思います。
こちらも「SiteGuard WP Plugin」というプラグインで管理画面から簡単に設定できます。
SiteGuard>ユーザー名漏えい防御にアクセスし、次の①と②の設定を行います。
- 機能を「有効」に変更
- 「REST API 無効化」にチェック
1により、「?author=1」へのアクセスの際に、リダイレクトされる設定がなくなります。
また、2により、「/wp-json/wp/v2/users」にアクセスした際にユーザー名が画面上に表示されなくなります。
「/wp-json/wp/v2/users」にアクセスした際に、”code”:”rest_disabled”と表示されれば問題ありません。
セキュリティ対策⑥ ディスカッションOFF
スパムメール対策として、コメント機能を使っていなければOFFにしておきましょう。
- 一般設定>ディスカッションにアクセスします。
- 「デフォルトの投稿設定」より「新しい投稿へのコメントを許可」のチェックを外します。
これだけでコメント機能をOFFにすることができました。
セキュリティ対策⑦ 管理画面にBasic認証
もう少しです。
WordPress管理画面にのみBasic認証を設定すると、WordPressのログイン画面の前にもう一つ認証を要求することができます。
先程「セキュリティ対策④ ログインページURL変更」でログインページURLを変更しているので、さらに管理画面にBasic認証をかけることで不正ログイン対策のさらなる強化になります。
Basic認証の設定は、レンタルサーバーであればおそらくどこでも簡単に管理画面から設定可能です。
XServerを例に、管理画面にのみBasic認証を設定する方法をご紹介します。
手順1:「アクセス制限」にアクセスし、「ドメイン選択画面」にて設定したいドメインを選択
↓
手順 2:フォルダ名が「wp-admin」のところのアクセス制限をONにして「設定する」
手順 3:もう一度フォルダ一覧に戻り、フォルダ名が「wp-admin」のところの「ユーザー設定」に移動
手順 4:「ユーザーID」と「パスワード」を設定して「確認画面へ進む」
この時設定する「ユーザーID」と「パスワード」はログイン時に使うので、どこかに保存しておいてください。
「追加する」をクリック
これで完了です!
「セキュリティ対策④ ログインページURL変更」で設定したURLにアクセスすると、「ユーザーID」と「パスワード」を要求されるかと思います。
この時要求されている「ユーザーID」と「パスワード」は、先ほど設定した「ユーザーID」と「パスワード」を入力します。
ログイン画面にアクセスできれば、ログイン情報も問題ありません。
セキュリティ対策⑧ バックアップ
万が一の時のために、バックアップを取っておくこともセキュリティ対策として重要です。
プラグイン「BackWPup」をインストールしておきましょう。
プラグインの使い方はこちらの記事がわかりやすいです。
BackWPUpで確実にWordPressのバックアップを取る方法
まとめ:やって損はないけどやらなくて損はあるセキュリティ対策
今回ご紹介したセキュリティ対策ですが、全部やったとしても時間はほとんどかからないので、やっておいて損はありません。
逆にサイトをハッキングされてから復旧するのはかなり大変な作業になりますので、未然に防ぐことができるのであれば絶対にやっておいた方が良いかなと思います。
今回は以上になります。
最後まで読んでいただきありがとうございました!