あなたのWordpressサイト、ハッキング対策はしっかり行っていますか?
WordPressは誰でも簡単に使いこなせるオープンソースのソフトウェアですから、その分ハッカーの攻撃対象になりやすいという面があります。ハッカーの攻撃を受けると、個人情報の流出やサイト内のデータ改ざん、スパムメールの大量送信など大きな被害を受けるおそれがあります。「まだアクセス数が多くないから大丈夫だろう」と油断せず、しっかりハッキング対策を行いましょう。
WordPress初心者の方が今すぐできるハッキング対策をまとめました。
目次
WordPress、テーマ、プラグインは常に最新バージョンにアップデートする
WordPress、テーマ、プラグインは、不具合やセキュリティ脆弱性が修正された最新バージョンに保つようにしましょう。
Akismetを有効にする
Akismetプラグインは、スパムコメントを自動で判別してブロックしてくれるプラグインです。Wordpress導入時にデフォルトでインストールされていますので、必ず有効にしておきましょう。
二段階ログイン認証を設定する
・BASIC認証を設定する
BASIC認証は、ユーザーIDとパスワードでアクセス制限をかける基本的な認証設定です。簡易的なものですのでこれを設定すれば安全というわけではありませんが、公開前のサイトを関係者だけに公開したり、検索エンジンにインデックスされるのを防ぐことができます。
BASIC認証の設定方法はこちら
構築中のWordPressサイトを限られた人だけに公開したい
・Google Authenticatorプラグインを利用する
Google Authenticatorプラグインを導入すると、ユーザーIDとパスワードのほかにワンタイムパスワードを要求する二段階認証を設定することができ、セキュリティが高まります。
定期的なバックアップ
セキュリティに対して完璧な対策というものは残念ながらありません。万が一ハッキングされ、データを改ざんされたり削除されても元の状態に復元できるよう、必ずバックアップをとりましょう。プラグインを利用すれば簡単に定期的にバックアップを取得してくれます。
詳しい設定方法はこちら
ワードプレスサイトのバックアップはBackWPupがおすすめ
管理者アカウントは最小限にする
サイトを複数ユーザーで管理する場合、できるだけ管理者権限は付与せず投稿者や編集者の権限で運営できるか検討しましょう。管理者権限を付与されたユーザーが安易なパスワードを設定すると、ハッキングの危険性が高まります。
サイトを常時SSL化する
SSL(Secure Sockets Layer)はインターネット上で送受信するデータを暗号化するプロトコルで、情報漏えいやデータの改ざんを防止します。常時SSL化とは、特定のページだけでなくサイト全体をSSL化することを指します。
当サイト内では、エックスサーバーでのSSL設定をご紹介しています。
ワードプレスをSSL化する方法【SEO対策にもなります】
エックスサーバーの常時SSL化の方法
データベースのアクセスを制限する
データベースにはWordpressのアカウント情報が保管されています。Wordpressの操作に慣れてきたら、.htaccessファイルを編集してデータベースのアクセスを制限するとセキュリティがより強化されます。データベースを管理するwp-config.phpへの外部アクセスを不可にすることで設定できます。
.htaccessファイルがwp-config.phpと同じ階層にあるか確認し、.htaccessに以下を追記しましょう。
[html]
<files wp-config.php>
order allow,deny
deny from all
</files>
[/html]
デフォルトアカウントは削除する
WordPressをインストールすると、デフォルトでadminという管理者ユーザーが作成されていますが、これをそのまま残しておくとパスワードが破られればハッキングされてしまいますので、たいへん危険です。admin以外の管理者ユーザーを作成後、adminユーザーは削除するようにしましょう。
まとめ
いかがでしたか。Wordpressのセキュリティ対策はほかにもいろいろとありますが、Wordpress初心者の方でもすぐに設定できるセキュリティ対策を中心にまとめました。まずは基本の設定を行った上で、徐々にセキュリティを強化してきましょう。
