WordPressのセキュリティ対策: 「初心者だから」の言い訳は通用しないよ

WordPressでポートフォリオサイトを作ろうと思っているイラストレーターやクリエイターへ。WordPressはセキュリティが大事です。初心者だから・ウェブのこと詳しくないから……とか言い訳しても意味ないよ。自分のサイトは自分しか守れないから、面倒でもちゃんと勉強しましょう。

セキュリティっていうとたまに「迷惑コメントが」「炎上が」って話を含むこともあるんだけど、そういう話は別の機会に譲ります。ここではプログラムの悪用とか改ざんとかを防ごうね、って話をしています。

「ハッキング」「クラッキング」は他人事ではない

そもそもWordPressって何?ってあたりについて初心者向けに説明した記事がこちら。

その記事でも書いたんだけど、WordPressはプログラムのかたまりであり、それをウェブサーバーに置いて使うソフトウェアです。例えるなら、誰しもが来れる公共の道端に置くようなもの。てことは悪意の人がやって来る可能性は常にあるってこと。

「クラッキング」とか「改ざん」とかって聞くと、それって大企業とかIT専門家の話だよね、初心者の私には関係ない……って思ってしまいそうだけど、全くそんなことありません。誰のウェブサーバーにも改ざんの可能性はあります

じっさい、私がウェブ開発の仕事でおつきあいのあるところでも「WordPressサイトが改ざんされちゃった!!」って話には何回か遭遇してます。その中には社員数名規模の小さな会社もありましたから、個人に起こっても全く不思議じゃない。

「カンペキに安全なシステム」なんて存在しない

クラッキングも改ざんも100%絶対に起こり得ない、カンペキに安全なソフトウェアなんてものは存在しません。もしもそんなソフトがあったら、使いづらすぎて全く普及しないはずです。

WordPressの便利さを享受したいのだったら、誰もがそれぞれにセキュリティに気をつける必要があるし、それは使う人の責任として当たり前のこと。そう思ってください。

あと「これひとつだけやってればセキュリティ万全!!」な方法っていうのもありません。複数の対策を環境に合わせてできるだけやる、というのがセキュリティには大切です。

悪意の人に「初心者だから」の言い訳は通用しない

WordPressは全世界でたくさん普及したので、悪意の人もターゲットにしやすいんです。

悪意の人が「このサーバーを使っているのは初心者さんかな〜?じゃあ手加減してあげよぅ(*´д`*)」なんて思うわけないですね(笑)。彼らは手当たり次第やるので、相手が誰だろうが知ったこっちゃないんです。

ウェブとかIT周りのことって「初心者だから」を言い訳に、わからないふり・知ろうとしないって人多いですね。でもWordPressを使うならそんな言い訳は捨てて、知識を身につけて、やれることをやりましょう。


ここからは、WordPressのセキュリティを高める具体的な行動を挙げていきます。

セキュリティを高める行動には、WordPress内でできるものと、サーバー側で設定できるものがあります。

[WordPress] カンタンなIDやパスワードを使わない

パスワードは複雑なものを使いましょう。大文字と小文字、数字と記号を必ず入れましょう。WordPressのパスワード生成ツールが提案してくるものを使っていれば大丈夫です。それと、パスワードはしょっちゅう変えましょう。

WordPressのログインIDやパスワードにかんたんな文字列を使うと、悪意の人が勝手にログインして中身を書き換える、ということが起こりえます。

「かんたんなパスワードじゃないと覚えておけないから」みたいなこという人いますが、もはやパスワードは手入力するものでも覚えておくものでもありません。Mac/iOSのキーチェーンやChromeのパスワード自動入力を使いましょう。

ログインIDも、だれでも推測できるシンプルな単語は避けてください。やばいやつの代表例は「admin」や「user1」「user2」などです。

実際にあるサイトでクラッキングのログを調べたところ、悪意のログイン攻撃の半分以上が「admin」でのログインを試していました。

[WordPress] 常に最新にアップデートする

WordPressの管理画面でアップデートの通知を見たら、すぐにアップデートしましょう。

ソフトウェアはそれがどんなに有名だろうと、人の手で作られたものに違いないのですから、どこかに必ず落ち度があり、それがセキュリティ上の問題になることがあります。でも、WordPressの開発にはたくさんの優秀なエンジニアが関わっていますから、すぐに気づいて修正されます。

それがアップデートです。だからアップデートは必ずしましょう。

「アップデートすると何か変わってしまって怖いから」というような理由でずっとアップデートしないで使う人がいますが、アップデートができないくらい”初心者”なのだったらWordPressを使うのはあきらめたほうがいいです。

[WordPress] 「サイトヘルス」をチェックする

WordPress サイトヘルス画面

WordPressの管理画面から ツール > サイトヘルス がみられます。上の画像では何も出てないんですけど、もし問題がある場合は「改善してください」という警告表示が出ます。

表示が「良好」であるように、警告が出た問題に対処しましょう。

警告が出るよくあるパターンは、プラグインをアップデートしてない、使ってないプラグインをそのままにしている、PHPのバージョンが古い、など。あとはオリジナルテーマやプラグインなどのプログラムエラーや問題などが挙げられることがあります。

[WordPress] セキュリティプラグインを入れる

WordPressのセキュリティプラグインはいろんなものがリリースされています。インストールすることでログインに制限をかけたり、改ざん行為を見張ったりします。

よく使われているプラグインにはこんなのがあります。

二段階認証やファイルスキャンなど総合的な機能を備えている。セキュリティ系プラグインでは多分いちばんよく使われている
ログインURLを変更したり、画像認証(ログインするときにひらがなの入力が必須になる)などの機能がある

ただし、セキュリティプラグインはどれかひとつにしてください

たくさん入れればより強固に!!ってわけじゃなく、複数入れることで動作に問題を起こす可能性もあります。ひとつずつ試してみて相性のいいものを残すようにするのがいいと思います。

[WordPress/サーバー] バックアップを取る

バックアップを取っておくと、次の二つの意味で安心です。

  • もし改ざんなどに遭っても、その前の状態に戻すことができる。
  • もし改ざんなどに遭った場合、その前後で何が起こったのか検証することができる。

なので、常にバックアップを取りましょう。方法は主に2種類です。

  • WordPressのバックアッププラグインを使う
  • サーバー上の設定で行う

バックアッププラグインは動作が重くなりがちなので、できればサーバーの設定でやるほうがおすすめです。

毎日自動でバックアップをしておいてくれる機能がついているレンタルサーバーを選ぶのが賢いですね。

バックアップといえばFTPでファイルを取ってくればいいのでは? と想起する人もいるかもしれませんが、WordPressの場合、データベースにもデータが保存されています。なので、バックアップ方法はその両方が一度に保存されるものを選ばなくてはなりません。

[サーバー] WAFなどセキュリティ機能をONにする

WAF (ウェブアプリケーションファイアウォール)という機能をレンタルサーバーが提供していることがあって、管理画面からON/OFFできるようになっています。ONにしておきましょう

ただ、WAFをONにすると一部の動作が正しく動かなくなる場合があります。その場合は、レンタルサーバーのコントロールパネルにログインして、作業のときだけOFFにして、終わったらONにします。

もしこれからレンタルサーバーを契約するなら、最低でもWAFがサービスに含まれているプランを選びましょう

他にも、WordPressに特化した独自のセキュリティ強化機能とか、IPSというもう少しサーバーの深いところを守る技術などが付いている場合があります。

WordPressのセキュリティ対策: まとめ

  • セキュリティに完全はない。初心者でも関係ない。誰しもが常に気をつける必要がある。
  • IDやパスワードを複雑にする。パスワードはしょっちゅう変える。
  • 本体やプラグインは常に最新版にアップデートする。
  • 「サイトヘルス」をチェックして「良好」を保つ。
  • セキュリティプラグインをどれかひとつ入れる。
  • ファイルとデータベースのバックアップを定期的に取る。
  • WAFなどのセキュリティ機能をONにする。

WordPress公式サイトにもセキュリティに関する記事があるので、ぜひ読んでみてください。ちょっと専門的だけど。

WordPress の安全性を高める | WordPress.org 日本語

で、レンタルサーバーでファイルとデータベースを毎日バックアップできて、WAFがついていて、WordPressの海外からのログインをブロックする機能も備わっているところってどれ?っていうといしつく!も利用しているConoHa WINGってサーバーがありますよ。

他のサーバーも調べてみたい方はこちらの記事がおすすめ。

いしつく!の教科書

「ちゃんと仕事依頼が来るポートフォリオサイトを作りたい……」

そんなイラストレーターに読んでほしい全5章のnoteマガジンです。専門用語はできるだけ使わずに書きました。

目次 & 概要

よかったら、こちらの記事も読んでみて。

いしつく イラストレーターさん向け ポートフォリオサイト添削&ビジネス相談
「いしつく!コンサルティングセッション」は「ココナラ」でご提供しています。