WordPressは世界で最も使用されているCMSであることと同時に、
ハッカーなどの悪意を持った第三者の標的になる可能性も高いと言わざるを得ません。
そのため、セキュリティ対策はとても重要かつ必須といえます。
今回は、WordPressでサイトを制作する際にこれだけは実行して欲しいセキュリティ対策をご案内致します。
走り回っていた社長に自由な時間と売上をもたらしたコーポレートサイト制作 | フォーサイトクリエイション
フォーサイトクリエイションのコーポレートサイト、ECサイト、ブランドサイト、採用サイトなどのホームページ制作の実績をご紹介します。
本記事を紹介している大阪のホームページ制作会社の株式会社フォーサイトクリエイションでは、ブランディングやマーケティングというプロの視点、そしてお客様という第三者視点で詳細に的確に提案・評価し、『最も効果的なホームページ制作』を行っています。ぜひお気軽にお問い合わせください。
総合セキュリティ対策プラグイン
まず、初めに総合的なセキュリティ対策が可能なプラグインをご紹介します。
これらのプラグインは、セキュリティ対策に必要な
・ログインの2段階認証の追加
・ファイルの変更監視
・不正ログインへの監視および自動ブロック
などをプラグインを導入するだけで実行できます。
どの様なサイトでもまずは導入いただきたいプラグインです。
iThemes Security
セキュリティチェック、及び各セキュリティについて詳細に設定できます。
ファイル変更の監視、IP制限、データベースのテーブル名変更、ファイルのパーミション変更など多岐にわたって設定可能です。
退席中モードというものもあり、こちらを設定すると一定時間はダッシュボードにアクセスができなくなります。
これで、自分が作業している時間以外の全てのアクセスを禁止することができます。
SiteGuard
Security Strength Meterというもので、現在のサイトのセキュリティ状況を確認することができます。
また、サイトのPHPやWordPressの情報が簡単に確認できるため、アップデートができていないものもすぐ確認できます。
SiteGuard WP Pluginよりは日本語での説明が少ないですが、調べれば情報がたくさん出てくるため設定には困らないかと思われます。
SiteGuard WP Pluginが備えているような基本的なセキュリティ設定のみならず、多種多様な機能が備わっています。
具体的には、アクセスが非常に多いIPからのアクセスを自動でブロックできる機能や、ユーザー名・データベースのテーブル名を簡単に変更する機能があります。
プラグインの更新頻度が高いのも安心です。
WordPressのユーザー名を隠す
WordPressのログインIDは、実は特定の方法で簡単に調べることができてしまいます。
WordPressの管理画面へのログインには、
・ログインID
・ログインパスワード
の3つが揃ってしまうと、可能になってしまいます。
この内の、ログインIDが簡単に調べられてしまうということは、セキュリティに多大な影響を与えてしまいます。
WordPressでホームページを作る手順について詳しく知りたい方は、以下の記事をご覧ください。
関連記事:WordPressでホームページを作る手順!各種設定方法も解説
Edit Author Slug
こちらのプラグインを導入すれば、ログインIDを隠し別の文字列に変更することが可能になります。
IDの流出が防ぐことが可能となり、セキュリティもぐっと高まります。
常時https化
一昔前までは、問い合わせフォームなど入力情報があるページなどのみhttps(通信の暗号化)が必要とされてきました。
現在は、入力情報だけでなくページ自体へのアクセス情報なども個人情報として扱われる事が当たり前になっています。
訪問者への安心感の提供という意味でも導入が必須です。
また、Googleも全ページの常時https化を推奨しており、対応していないサイトについては評価を下げるということを明言しています。
SEOという意味でも導入が必要です。
Really Simple SSL
こちらのプラグインは、手軽にWordPressのサイトを常時https化が可能です。
ただ、サイト上の画像への参照用のURLが変更されなかったり、細かな調整が必要になりますので
その点はご注意下さい。
管理画面上での安全対策
WordPressなどのCMSでのホームページの構築は、WEBブラウザとインターネット環境があればどこでも、誰でも編集、更新が可能です。
ただ、その便利さの反面管理画面へアクセスされてしまうと、簡単にサイトを改竄され、最悪の場合フィッシング詐欺などの踏み台に利用されてしまうこともあり得ます。
様々なセキュリティ対策を講じても、IDとパスワードが流出してしまうと例え、IPアドレスを制限していても管理画面へアクセスされてしまう可能性は大きく高まります。
ページの更新が可能な人員を最小限にすることも必要ですが、ページ更新者に不要な権限を与えないこともセキュリティ対策面から重要です。
User Role Editor
こちらのプラグインはユーザーごとに細かな権限設定が可能になります。
ページの更新者に最低限の機能しか許可しないことにより、ログインIDやパスワードが流出した際にも被害を最小限に食い止めることが可能です。
User Admin Simplifier
こちらのプラグインも管理画面をユーザーごとに変更が可能になります。
User Admin Simplifierと組み合わせれば、更に細かな設定が可能になります。
関連記事:WordPressでコーポレートサイトを制作する際に気を付ける3つのこと
本記事を紹介している大阪のホームページ制作会社の株式会社フォーサイトクリエイションでは、ホームページの無料診断を実施しています。
「新規顧客の獲得」「求める人材の獲得」「ブランディング」などホームページに求める成果は大きいにも関わらず、「作りっぱなし」になっていませんか?
定期的にホームページ診断を行うことで、
・正常に機能しているか?
・求めている効果が得られているか?
・改善の余地があるか?
など早期発見・早期改善が可能になりますので、定期的に診断を行うことをお勧めします。
\1週間でホームページの課題が知れる/
まとめ
ご紹介したプラグインを導入すれば、限りなく安全に運用が可能になります。
ただ、セキュリティ対策も日進月歩ですがその対策を破ろうとする技術も日進月歩です。
最も大切なセキュリティ対策は、運用する側のセキュリティ意識であることは、代わりありません。
ぜひ、日頃からセキュリティという面からサイトの運用を行って下さい。
監修者情報
株式会社フォーサイトクリエイション
代表取締役 村田 雅利
大学卒業後、大手スポーツメーカーの営業としてトップの売上実績を残し、もっと営業スキルを磨くために転職した広告代理店でも年間売上数十億円と売上に貢献。そして広告をもっと深く知るために、事業モデルの構築や土地開発から関われる商業施設のプロデュース及び集客コンサルティング会社に転職。そこでは年間数億円の広告予算を預かり、広告戦略を組み立て売上拡大に貢献。その後、大手制作会社の取締役と集客コンサルティング業務の両立を経て、現在の株式会社フォーサイトクリエイションを設立。 今までの経験を活かし、営業・企画・戦略の3つの目線から業種を問わず様々なクライアントの課題や目的に対して、コンサルティングとデザインでクライアントの成長に貢献しています。