WordPress攻略！絶対に実践すべき５つのセキュリティ対策テクニック

WordPressのセキュリティ対策、最低限でも絶対に抑えたい５つの技を紹介します。セキュリティ対策ができていない場合、サイトの改ざんやデータの消去、個人情報の漏洩など、深刻な被害を受ける可能性があります。

今すぐ対策を実践しましょう！

セキュリティ対策！かならずやりたい５個の技

かならずやりたい５個の技です！

セキュリティ対策	概要
セキュリティ強化プラグインを使う	総合的なセキュリティ強化プラグインを最低限１個使います。
WordPress のテーマ、プラグインは公式のみ使う	必ず【公式】のモノを、公式のサイトからダウンロードして使います。
WordPress、テーマ、プラグインは最新版に更新する	セキュリティ対策は日々更新されていますので、最新版を使います。
admin ユーザを削除する	みんな知ってるアカウント名 admin は削除します。
wp-config.php のアクセス権限を変更する	重要な情報が乗っているコンフィグファイルへのアクセスを制限します。

ひとつづつ見ていきましょう！

■ セキュリティ強化プラグインを使う

WordPress には数多くのセキュリティ強化プラグインが存在しますが、プラグイン１個で総合的にセキュリティを強化してくれるものを選び、導入するのがよいでしょう。

おすすめは 「SiteGuard」 プラグインです。

セキュリティ対策のプラグインを複数設置した場合、機能が競合する可能性があります。機能の重複を避けるためにも、統合的に多くの機能を提供しており、重要な機能が補完されている、「SiteGuard」 プラグインをおすすめします。

「SiteGuard」 プラグインを導入することで、１２種類の対策 をすることが可能です。

機能	概要
管理ページアクセス制限	ログインしていない接続元から管理ディレクトリへのアクセスを制限します。
ログインページ変更	ログインページ名を変更します。 これは目に見えて対策できるので、かなり安心します。
画像認証	ログインページ、コメント投稿に画像認証を追加します。 ロボットなどの自動アタックを防止する有効な手段です。
ログイン詳細エラーメッセージの無効化	ログインエラー時の詳細なエラーメッセージに変えて、単一のメッセージを返します。 解析させません。自分でもログイン失敗理由がわかりません。
ログインロック	ログイン失敗を繰り返す接続元を一定期間ロックします。 マジでミスった時の待っている間は、すこし困りますが無差別攻撃に対して有効な防御手段となります。
ログインアラート	ログインがあったことを、メールで通知します。 自分がログインしたメールがたくさん来ます。
フェールワンス	正しい入力を行っても、ログインを一回失敗します。 ロボットの無差別（総当たり）アタック対策としてはかなり有効。
XMLRPC防御	XMLRPCの悪用を防ぎます。
更新通知	WordPress、プラグイン、テーマの更新が必要になった場合に、管理者にメールで通知します。 メール通知は更新を気づくトリガ（きっかけ）になります。
WAFチューニングサポート	WAF の除外ルールを作成します。
詳細設定（IPアドレスの取得方法を設定）	IPアドレスの取得方法を設定します。 ・リモートアドレス ・X-Forwarded-For レベル:1 ・X-Forwarded-For レベル:2 ・X-Forwarded-For レベル:3
ログイン履歴	ログインの履歴（過去１００００件）を保持し、管理画面で参照できるようにします。

特に、「ログインページ変更」機能は「ログインするためのURL」を変えることができるので、通常のログインURLからの無差別アタックを防止でき非常に強い対策となります。

「画像認証」はロボットによるアタック防止に強い効果を発揮しますので、必ず設定しておきたい機能です。

＼ 必見！セキュリティ対策プラグイン！ ／

セキュリティ対策を実施し、安全安心な WordPress 運用を！

■ WordPressの テーマ、プラグイン は公式のみ使う

WordPress のテーマ、プラグインは、チェックを受けて合格したもののみ公式認定されています。

非公式のテーマ、プラグインは、最新のセキュリティ対策がとられていない（更新がない）可能性もあり、また、悪意のあるコードが埋め込まれている可能性も否定できません。

そのため、テーマ、プラグインは かならず公式のもののみ使います。

■ WordPress、テーマ、プラグインは最新版に更新する

悪意のあるアタッカーは常に製品の不具合（バグ）や脆弱性を狙っています。

公式のテーマ、プラグインはセキュリティ対策頻度が高く、新しい脆弱性に対しても比較的速やかにの対策されますので、できるだけ細かい頻度で最新版に更新しておくことが セキュリティ対策として重要 です。

古いバージョンを使っている場合、製品不具合や脆弱性が残っているプログラムを使い続けている可能性があるため、WordPress 本体、テーマ、プラグインは常に最新に更新しておく必要があります。

■ admin ユーザを削除する

WordPress のディフォルト（初期）の管理者アカウントの admin は削除（利用不可）にして、別の管理者アカウントを作成して利用するようにします。

ログインするための認証には、「アカウント名」と「パスワード」が必要ですが、「アカウント名」で「admin」が有効な場合、アタッカーはパスワードのみ解析すればよくなりセキュリティレベルが下がります。標準実装のアカウント名「admin」は 利用不可にすることをおすすめ します。

■ 以下のレンタルサーバーサービスは、標準設定で「admin」が削除されていることを確認済みです（対策不要です）

＼ おすすめのレンタルサーバーをお探しならこちら ／

IT技術者が本当におすすめのレンタルサーバーを紹介します。

■ wp-config.php のアクセス権限を変更する

「wp-config.php」 は WordPress の設定ファイルの一つである、ここには、データベースのアカウントとパスワードが記入されています。

こちらにアクセスできる権限を管理者のみ（ファイルの所有者のみ）に限定します。

ディフォルトのアクセス権限は【６４４】となっていますので、【６００】に変更しましょう。

６４４って何ですか？

変更方法はレンタルサーバの提供サービス元によって変わりますが、一般的にはレンタルサーバのサービスが提供している管理画面、ファイルマネージャなど、または FTPソフト等で変更します。

■ 以下のレンタルサーバーサービスは、標準設定で「600」になることを確認済みです（対策不要です）

＼ おすすめのレンタルサーバーをお探しならこちら ／

IT技術者が本当におすすめのレンタルサーバーを紹介します。

まとめ

WordPress ではセキュリティ対策が重要です。最低限、これだけはやっておきたい５個の技を紹介しました。

ただし、セキュリティ対策は日々進化していますので、上記５点のみで安心せず、常に新しい情報にアンテナを張り、新しい対策を取り入れるようにしてください。

Enjoy！大事なものは自分で守る！