WordPressのハッキングを防止する10の施策をお知らせします。
弊社では毎日のようにハッキングの問合せを受けています。ほとんどの方が「対策をしていなかった」と言われます。
「転ばぬ先の杖」、まずはどのような施策があるのかを知り、一つ一つ対策をしてみましょう!
目次
①バックアップをとっておく
いざという時のためにWordPressのバックアップを取っておけばバックアップからサイトを復旧することができます。バックアップを取る方法として一番最適なのはレンタルサーバーのバックアップです。サーバーによっては有料のものもありますが、一番確実なので保険だと思って利用することをお勧めします。WordPressのプラグインでバックアップを取る事もできますが、いざ復旧の際に戸惑う事があるので注意してください。
②不正ファイルのチェックを行う
ハッキング被害によって不正なファイルを埋め込まれる場合があります。サイト内に不正なファイルが残されている場合は、それらのファイルを削除する必要があります。実行ファイルが埋め込まれることがあり、実行ファイルが実行されるとサーバー内に感染し、取返しのつかない事になる場合があります。定期的にサーバー内を点検する事をお勧めします。
③セキュリティプラグインを導入する
ハッキング被害を防止するために、セキュリティプラグインを導入することでユーザーや攻撃者からの不正アクセスを防止することが期待できます。例えば、ログイン制限、不正なログイン試行のブロック、ウイルスやマルウェアのスキャン、不正なトラフィックの検出など、プラグインによってセキュリティ対策に有効な機能が含まれています。プラグインは導入すればいいのではなく、機能の理解と適切な設定が必要になります。
④パスワードの変更を行う
パスワードを定期的に変更することで、ユーザーアカウントのセキュリティが向上します。これにより、不正なアクセスや情報漏洩などのリスクを低減することができます。また、パスワードを複雑にすることでハッカーが総当たり攻撃を行ってパスワードを推測する事を困難にします。経験上、ハッキングされるIDは単純なものが多いです。パスワードを複雑なものにする事をお勧めします。
⑤セキュリティアップデートを適用する
WordPressのセキュリティアップデートを適用することで過去のセキュリテイ・ホール(脆弱性)の攻撃を避ける事ができます。経験上、ハッキングされるサイトはプラグインの更新を放置している場合が多いです。WordPressのダッシュボードにある「サイトヘルス」に更新情報が記載されているので適宜確認するようにしましょう。
⑥ホスティングサービスからの情報に注意する
ホスティングサービス(レンタルサーバー等)は、セキュリティ・アップデートや脆弱性の注意喚起、機能の変更などを提供してくれますので、最新の脆弱性や攻撃手法に対する対策を早期に行うことができます。ハッキングされた場合に通知がくることがあり、すぐに対処ができれば感染拡大を食い止める事もできます。経験上、ハッキングされる方はホスティングサービスからのメールを無視していることが多いです。ホスティングサービスから送られてくるメールを読み、しっかり対策される事をお勧めします。
⑦Google Search Consoleに登録しておく
Google Search Consoleは、Webサイトのセキュリティに関する問題を自動検出して知らせてくれます。これにより、ウェブサイトのセキュリティ問題を早期に発見し、対策を講じることができます。Google Search Consoleは、SEOのツールとして知られていますが、クローキング被害(ハッキングによる検索結果の偽装)に対応もしてくれます。登録は無料ですのでお勧めです。
⑧セキュリティ強化策を実行する
ハッキング被害を防止するために、セキュリティ強化策を導入することも有効とされます。例えば、ワードプレスのバージョンを知られないようにする、FTPのパーミッションを適切な値にする、ログインURLをステルス(偽装)するなどです。いずれも技術的な知識が必要になりますので分からない方は専門家に行ってもらう事をお勧めします。
⑨脆弱性情報をチェックしておく
WordPressは、世界中で最も多く使われているCMSなので、ハッカーなどの攻撃者による攻撃の標的となりやすいというデメリットがあります。WordPressの脆弱性情報はネット上に一般公開されています。脆弱性情報ををチェックすることで、脆弱性が発見された場合には早期に対策を講じることができます。WordPressの脆弱性情報をチェックすることで、WordPressの最新情報を把握し、最新版へのアップグレードや、新しい機能の活用ができますのでお勧めです。
⑩サーバーのセキュリティ設定を行っておく
サーバーのセキュリティ設定を適切に行っておくことで、ハッカーなどの攻撃者がサーバーに侵入しにくくなる事が期待できます。例えば、防御壁(ファイアウォール)の設置や、海外からのアクセスを拒否したり、登録していないユーザーからのログイン拒否など、ホスティングサービスによって様々な機能が用意されています。但し、場合によってはサイトに影響を与えてしまい一部の機能が動作しなくなる事もありますので注意が必要です。
まとめ
WordPressを守るにはやるべき事が沢山ありますが、自分で分かる範囲で色々試してみる事をお勧めします。自信が無い方や時間が無い方は専門家のアドバイスを受ける事や全てお任せの保守契約サービスもありますので、これを機会に検討してみてはいかがでしょうか。