WordPressのホームページ更新や管理におけるセキュリティを強化する方法とは

WordPressでホームページの更新や管理を行う際、非常に気になる・心配になるのが「セキュリティ」です。実際に「コンテンツの制作は慣れたけれど、WordPress本体やプラグイン・テーマの更新はよくわからなくて、正直やっていない」という方もいらっしゃるでしょう。

昨今ではWordPressも含めて、企業や組織に対するサイバー攻撃も増えてきており、「知らなかった・わからなかった」では済まない時代でもあります。現実問題として、顧客やユーザーに何らかの被害が発生するリスクがあることを考えると、しっかりと対策するべきなのは間違いありません。

今回やWordPressのセキュリティに関する基礎知識、WordPressのセキュリティを強化する方法と導入すべきプラグインの一例、そしてITが苦手、ITに疎い、ITに縁遠い場合にどうすべきかについてお話します。

Contents

WordPressのセキュリティに関する基礎知識


はじめにWordPressのセキュリティに関する基礎知識について簡単に説明します。

ファイルやディレクトリの権限、アクセス制限を理解していないと危険

WordPressはサーバーのOS上で稼働するプログラムです。ディレクトリの中でそれぞれのファイルが稼働し、連携・連動することで動作しています。基本的にはファイルやディレクトリには権限があり、適切に設定されていれば外部からの不法および不正なアクセスによるサイバー攻撃を受ける可能性は低いです。

しかし、よくわからないままFTPやWebFTPの画面で権限を操作してしまったり、ログイン情報が漏れて権限を変更されてしまったりすると、サイバー攻撃による被害を受けてしまう可能性が非常に高くなってしまいます。ありがちなのがインターネット上で検索して見つけたWordPressに関するコンテンツを見て、安易に信用して変更してしまうことです。情報が古かったり、発信する人の理解が低かったりすると、結果として誤った権限の設定や、設定はあっているが他の部分も一斉に変更してしまうことで、思わぬ脆弱性やセキュリティホールを作り出してしまう危険性も存在しています。

WordPressデフォルトのログインURLは危険

WordPressはデフォルトのログインURLがあります。WordPressの仕組みや構造を知っている人であれば、誰でもアクセスできるため非常に危険と言えます。例えば、ドメイン+デフォルトのログインURLの場合、あとはログインユーザー名(メールアドレス)とパスワードさえわかればログインされてしまいます。

実際にパスワードクラッキングをするようなツールは既に存在しているため、他のセキュリティ対策を講じていない場合は、時間さえかければ誰でもログインできてしまうということです。アクセス制限やその他のセキュリティ対策などを知らない、わからない場合は常に危険な状態であることを理解しておきましょう。

メールアドレスとパスワードによる認証のみでは危険

WordPressやユーザー名かメールアドレス+パスワードによる認証がデフォルトです。例えば、文字数列@ドメインという形でメールアドレスを作成した場合、ログインできるメールアドレスを推測され、パスワードをクラッキングするツールで突破されてしまう可能性があります。

メールアドレスについても、ホームページ上の担当者や個人名、もしくはありがちな文字列を組み合わせて何度もログイン試行することもできます。また、セキュリティリテラシーが低い場合は安易な文字列にしてしまうこともあることも危険な理由と言えます。メールアドレスとパスワードによるログインのみではなく、ログインする時のセキュリティ対策を講じないと、デフォルトのままでは危ないということです。

公開されているユーザー名でログインできる状態だと危険

WordPressはデフォルトでユーザー名がURLに表示されます。そのため、管理者権限のユーザー名を知られてしまうことで、デフォルトのログインURL、ユーザー名が悪意のある第三者に悪用されるという危険性が高くなってしまいます。

もちろん、セキュリティ対策をしっかりと多角的かつ多段的に行っていれば話は別です。しかし、セキュリティに関して何も対策をしておらず、ほとんどがデフォルトの状態であれば、WordPressの権限を乗ってられてしまい、何らかの被害を受けるだけでなく、ホームページを閲覧したユーザーや普段から利用してくれる顧客にも間接的に被害が及んでしまうこともあるのです。

セキュリティが弱いことで発生する損害やリスク

WordPressのセキュリティが弱いことで発生する損害は、サイバー攻撃の種別によるものの、決して安いものではありません。もし、自社のドメイン上で詐欺的行為が行われてしまったらどうなるのか、自社のURLにアクセスしたらフィッシングサイトや詐欺サイト、もしくは悪質なプログラムのインストールページに誘導されたりしたらどうなるのか想像してみてください。

また、前述したように自社のみに損害やリスクが発生して、金銭的な被害が及ぶだけではないということ、善意の閲覧ユーザーや顧客に被害が及べば、金銭的な被害だけでなく、社会的信用の失墜や顧客を失う可能性が非常に高いです。

これらは「知らなかった」「わからなかった」では通用しないということ、現実問題として「セキュリティ性を高めていても被害を受けてしまう」ことを考えると、何も対策をしていなければ常に自社も含めて、ユーザーや顧客を危険な状態に晒しているということを覚えておきましょう。

WordPressのセキュリティを強化する方法と導入すべきプラグイン一例


次にWordPressのセキュリティを強化する方法と導入すべきプラグイン一例をご紹介します。

前提:権限と制限に関して理解を深めて、プラグインについても適切に設定する

まずはWordPress公式のサポートフォーラム(https://ja.wordpress.org/support/)などでファイルやディレクトリの権限を熟読して理解を深めましょう。WordPressに関するブログやコンテンツは非常に多いですが、もし公式以外を参考にする場合は「最新の情報か」「信頼できる発信元か」を精査することが大切です。もし、公式のサポートフォーラムを見て、権限に関する部分が難しいと感じたら、専門家に外部委託する方が安全です。

※次の項から紹介するセキュリティに関連するプラグインは、インストールや有効化はクリックのみで簡単にできますが、設定に関しては理解を深めておかないと、最悪の場合、「WordPressにログインできない」「ホームページが表示されない」という可能性もありますので、安易にインストールおよび有効化しないよう注意してください。紹介しているプラグインについては、あえて細かな設定に関する説明をしておりませんし、注意点は赤字太文字で明記してありますが、インストールおよび有効化する場合、自己責任でお願いします。

統合的にセキュリティを強化できる「SiteGuard WP Plugin」


WordPress公式プラグインページ:https://ja.wordpress.org/plugins/siteguard/

SiteGuard WP PluginはWordPress全般のセキュリティを強化するプラグインです。デフォルトのログインURLを変更できる他、各種サイバー攻撃に対応した機能を追加できます。

※SiteGuard WP Pluginはインストールして有効化するだけで「デフォルトのログインURLが変更」されてしまいますので、「有効化後に表示されるランダムなログインURLを必ずメモする」か、「有効化した直後はログインURLの変更をオフにする」ことをおすすめします。

Captcha認証を導入できる「reCaptcha by BestWebSoft」


WordPress公式プラグインページ:https://ja.wordpress.org/plugins/google-captcha/

reCaptcha by BestWebSoftはWordPressに「私はロボットではありません」という形でCaptcha認証を導入できます。機械的かつシステム的なサイバー攻撃に高い効果があり、ログイン情報を知られただけではログインできなくなるので非常に安心です。

また、reCaptcha by BestWebSoftはコメントやお問い合わせフォームにも実装できるため、botなどによる悪質なコメント、またはお問い合わせフォームへの迷惑なメッセージの投稿を防ぐこともできます。

※reCaptcha by BestWebSoftは設定や連携が難しいため、間違えてしまうとログインできない可能性があります。FTPでプラグインのディレクトリからreCaptcha by BestWebSoftをディレクトリ削除するしかし。ことで無効化することができますが、そのタイミングで他のプラグインやディレクトリを削除してしまうと、さらに状況が悪化するので注意してください。

2段階認証を導入できる「Google Authenticator」


WordPress公式プラグインページ:https://ja.wordpress.org/plugins/google-authenticator/

Google AuthenticatorはWordPressに二段階認証(二要素認証)の機能を追加するプラグインです。ログイン名(メールアドレス)とパスワードの組み合わせだけではログインできないため、サイバー攻撃によるパスワードクラッキングを防ぐ高い効果があります。

二段階認証はスマートフォンにGoogle Authenticatorをインストールして、WordPressを連携することで実装できます。ユーザーごとに設定しておけば、さらにセキュリティ性を高めることにつながるでしょう。

※Google Authenticatorを導入して適切に設定した場合、ログイン名(メールアドレス)とパスワードだけではログインできなくなるため、Google Authenticatorのアプリをインストールしたスマートフォンを紛失しないこと、管理者権限を2つ以上作成しておき、いざという時に別の管理者権限から、スマートフォンを紛失したアカウントの二段階認証を解除できるようにしておくことをおすすめします。

ユーザー名を任意の文字数列に変更できる「Edit Author Slug」


WordPress公式プラグインページ:https://ja.wordpress.org/plugins/edit-author-slug/

Edit Author Slugは実際のユーザー名とホームページで表示されるユーザー名を別の文字数列に変更できるプラグインです。前述したとおり、WordPressはデフォルトでユーザー名を知られてしまう可能性があります。

Edit Author Slugによって、URLに表示されるユーザー名を別の文字数列に変更することで、悪意のある第三者にログインできるユーザー名を知られずに済むため、セキュリティ性が大幅に向上します。例えば、WordPressの管理者権限が「admin」だった場合、Edit Author Slugによって別のユーザー名に設定しておけば、外部から「admin」であることを直接的に知られることはないということです。

※Edit Author SlugでWordPress上に表示されるユーザー名は変更できますが、ログイン情報が知られてしまったり、adminという管理者権限のユーザーアカウントがあったりすると、Edit Author Slugだけでは防ぎきれない可能性があります。解決策として別の管理者権限のユーザーアカウントを作成して「admin」アカウントを無効および削除にする方法がありますが、不慣れな方ですと管理者権限のユーザーアカウントを失ってしまったり、ログインできなくなったりするので充分に注意してください。

ITが苦手、ITに疎い、ITに縁遠い場合にどうすべきか


次にITが苦手、ITに疎い、ITに縁遠い場合にどうすべきか解説します。

セキュリティには高度な知識と経験が必要であると理解しよう

WordPressは「初心者でも簡単」というイメージが強く、実際にコンテンツ制作をしてみると簡単に記事がアップできるため、「WebやITは簡単なんだ」と誤解してしまうことがあります。もちろん、誰でも扱えるように作られているのは確かですが、セキュリティに関しては別に高度な知識と経験が必要であると理解しておきましょう。

セキュリティにはWordPressをインストールしたサーバー、WordPress本体、WordPressにログインするデバイスなど、それぞれに異なるセキュリティ知識や経験が必須です。どれかひとつのセキュリティを強化するだけではなく、全体的なセキュリティを強化するという意識を持つことが大切です。

素人判断で安易にインストールして設定すると非常に危険

WordPressの構築や設置、プラグインのインストールやテーマの変更、コンテンツや固定ページの作成および編集など、それぞれクリックや少しのキーボード入力でできてしまう作業は「簡単」と言えます。しかし、実際にはプラグインやテーマの細かな設定、WordPressの本体やプラグイン・テーマの更新およびアップデート、それぞれの相性などの調整は「非常に難しい」と覚えておいてください。

そのため、何らかの記事やコンテンツを参照して、同じ作業をしたつもりが、実は間違っていた、環境が違って設定も違ってしまうなど、結果的にWordPressにログインできない、ホームページが表示されなくなったなどの状況に陥ってしまいます。素人判断で安易にインストールして設定しないこと、常にバックアップを取り、いつでもバックアップから再構築できるようにしておくことをおすすめします。

ホームページの更新や管理を専門家に外部委託するのがベスト

ITに苦手意識があり、知識や経験が不足していると感じているのであれば、ホームページの更新や管理を専門家に外部委託するのがベストです。冒頭でお話したように、セキュリティに弱いことで、サイバー攻撃を受けてしまえば、自社だけでなく、ユーザーや顧客に迷惑や被害が及ぶことを忘れてはいけません。

逆に言えば、ホームページの更新や管理を専門家に任せることで、セキュリティに関する心配や不安は不要、安心・安全にWordPressのコンテンツ作成や固定ページの編集などに集中できるようになります。例えば、物理的に大切なものを守るために、金庫を自作するようなことはありません。メーカーが作った金庫を購入し、警備を配置し、監視カメラを設置するなど、専門的な知識と経験、技術のある人に任せるはずです。WordPressのセキュリティについても同様であり、付け焼き刃でセキュリティを講じたつもりにならないようにすることが、自社とユーザーや顧客を守ることだと覚えておきましょう。

カスタマイズやリニューアルに対応しているかチェックしよう

ホームページの更新や管理を担う専門家やサービス提供元を選ぶ際、カスタマイズやリニューアルに対応しているか必ずチェックしましょう。場合によっては、ホームページの更新や管理はできるが、カスタマイズやリニューアルには対応していないことがあるためです。

ホームページの更新や管理と、カスタマイズやリニューアルを行う会社を同じところにしておくと、非常にスムーズですし、何よりも費用面で節約することにつながります。もちろん、ホームページ更新管理とカスタマイズおよびリニューアルは別料金になる可能性もありますが、信頼できる会社に、適切なコストを支払うことが、セキュリティ的にも安全であると知っておくと良いでしょう。

実績はあるか、対応するサービスは豊富か、コミュニケーションしやすいかを重視

ホームページの更新や管理、かつカスタマイズやリニューアルに対応してくれる管理会社を選ぶ際、実績はあるか、具体的にどのようなサービスに対応しているかチェックしましょう。外部委託したものの、技術力が低い、セキュリティ対策を行ってくれない、またはSEOが強化できている気がしないという場合は、乗り換えることも検討すべきです。

実績がある外部委託先であれば、技術力が高く、セキュリティにも強い可能性が高いと言えます。同時に、外部委託する際、または乗り換える際の相談や問い合わせにおいて、コミュニケーションしやすいかも重視しましょう。特にITに苦手意識がある場合、思ったように伝わらない、わからないことがわからないなど、技術的な格差で意思疎通が難しいことがあります。しっかりと丁寧に説明してくれるか、言語化できない課題や問題を抽出し、具体的な解決案を提示してくれるかなどを見極めることをおすすめします。

まとめ:リップルネットならホームページの更新や管理とカスタマイズ・リニューアルにも対応可能

今回やWordPressのセキュリティに関する基礎知識、WordPressのセキュリティを強化する方法と導入すべきプラグインの一例、そしてITが苦手、ITに疎い、ITに縁遠い場合にどうすべきかについてお話しました。

現実問題として、ITに限らず、得手不得手があるのはごくごく自然なことです。同時に、慣れない方が無理に作業しようとすれば、かえってセキュリティ性を損ねてしまうのもしかたがないことでもあります。同時に、プラグインの設定によっては「ログインできなくなった」「ホームページが表示されなくなった」というネガティブな結果になってしまう可能性も高いです。わからないこと、苦手なこと、得意分野でないことは、専門家に任せることで、セキュリティ性を確保し、安心・安全にWordPressでコンテンツ制作できるようにしておくことをおすすめします。

当社「リップルネット」であれば、月々14,300円(税込)でホームページの更新や管理を承っております。カスタマイズやリニューアル、セキュリティに関しても別途相談いただくことも可能です。り、アイデアを実現し、Webマーケティングを最大限に有効活用するお手伝いができますので、ぜひともこの機会にご相談、お問い合わせください。

最後までお読みいただきありがとうございました。

この記事がWordPressの更新や管理においてセキュリティの不安がある方のお役に立てれば幸いです。

よく閲覧されるページ