WordPressのセキュリティ対策、何をやるべき?
- ツイート
-
- 2017/01/19
WordPressは世界中で使われているブログツールですが、人気が高くユーザー数が多いがために、悪意ある攻撃者に標的にされやすいという一面があります。すぐにできるセキュリティ対策を実施して、安全にWordPressを使いこなしましょう。
IT業界まるわかりガイドは、日本初Web専門スクールのインターネット・アカデミーが運営する業界情報メディアです。最新の業界情報を、初心者にも分かりやすくご紹介しています。
目次
人気のツールの落とし穴
ブログツールとして有名なWordPress。全世界のWebサイトの25%がWordPressで作られているとも言われています。プログラムが公開されていて、ユーザーが数多く存在するということは、逆に言うと目立ちやすく、悪意の攻撃者に狙われやすいということでもあります。
そのため、基本的なセキュリティ対策をしっかり意識することが大切です。
不正ログイン対策
ブルートフォースアタック(総当たり攻撃)と呼ばれる、考えられるユーザー名とパスワードを片っ端から入力して不正ログインを試みる手法で、WordPressが乗っ取られる事例が増えています。不正ログインの被害に遭わないよう以下の対策を実施しましょう。
デフォルトユーザーの「admin」を削除
WordPressをインストールした状態のまま使っていると、ログイン用ユーザー名が「admin」になっています。 この状態のままですと、ブルートフォースアタックを受けた場合、パスワードのみ特定すれば良いので、不正ログインしやすくなり、非常に危険です。
そのため、admin以外の管理者アカウントを作成した上で「admin」を削除し、ユーザー名を変更するという作業が必要になります。
ログインに使うユーザー名とブログ上の表示名を別にする
デフォルトのままですと、ログインに使うユーザー名と記事を書いている筆者のユーザー名が同一になってしまいます。このままでは記事からログインIDがわかってしまうので、設定を変更しておきましょう。
ダッシュボードの「ユーザー」から、「ユーザー一覧」をクリックし、表示されたユーザー名の下の部分の「編集」をクリックします。 次に、「ニックネーム(必須)」の欄に、ブログに表示させる名前を入力します。また、「ブログ上の表示名」を、新しい名前に変更しておきます。これでログインに使うユーザー名とブログ上の名前を別にすることができます。
ログインページと管理ページへのアクセス制限を行う
「ログインページ」にアクセス可能なコンピュータを自分のPCだけにしておけば、ログイン試行により不正アクセスを試みるブルートフォースアタックを完全に防ぐ事が可能です。 また、念のため管理画面にも、アクセス制限を設定しておくとより安心です。
WordPressでログインページに該当するのが「wp-login.php」です。管理画面は「wp-admin/」ディレクトリ以下に格納されているすべてのファイルとなります。
WordPress本体やテーマ・プラグインの脆弱性への対策
常に最新版にしておく
脆弱性が発見された場合、WordPressはバージョンアップを行い、対策を施します。 常に最新版にしておき、既知の脆弱性から攻撃を受けるおそれがない状態にしておきましょう。
使わないプラグインは削除する
使わないプラグインの中に脆弱性があった場合、その脆弱性が狙われるおそれがあります。 使わないプラグインは単に停止するのではなく、削除しておきましょう。
テーマやプラグインは公式のものが安全
上記のように、テーマやプラグインの脆弱性をついた攻撃を受ける可能性があります。 ネットで公開されている一般のプラグインやテーマの中には、長期間更新されないものがあり、脆弱性が放置されている可能性があります。 そのため、テーマやプラグインは公式のものを使った方が安全です。
まとめ
基本的なセキュリティを施したうえで、安全にブログ運営を続けていきましょう。
インターネット・アカデミーでは、「PHP講座」を開講しています。 プログラミング言語であるPHPを習得することで、WordPressの管理やカスタマイズができるようになります。また、本日ご紹介したこと以外にも、WordPressやPHPプログラミングにおいてなくてはならないセキュリティ知識についてもご紹介しています。セキュリティに強いプログラマーやWordPressサイトの運用者になりたい方は、ぜひお問い合わせください。