WordPressは世界で最も使用されているCMSであることと同時に、
ハッカーなどの悪意を持った第三者の標的になる可能性も高いと言わざるを得ません。
そのため、セキュリティ対策はとても重要かつ必須といえます。

今回は、WordPressでサイトを制作する際にこれだけは実行して欲しいセキュリティ対策をご案内致します。

ブランディングをマーケットに発信するコーポレートサイト | フォーサイトクリエイション

フォーサイトクリエイションのコーポレートサイト、ECサイト、ブランドサイト、採用サイトなどのホームページ制作の実績をご紹介します。

hp.f-creation.co.jp

総合セキュリティ対策プラグイン

まず、初めに総合的なセキュリティ対策が可能なプラグインをご紹介します。
これらのプラグインは、セキュリティ対策に必要な

・管理画面へのログイン用URLの変更
・ログインの2段階認証の追加
・ファイルの変更監視
・不正ログインへの監視および自動ブロック

などをプラグインを導入するだけで実行できます。
どの様なサイトでもまずは導入いただきたいプラグインです。

iThemes Security

セキュリティチェック、及び各セキュリティについて詳細に設定できます。
ファイル変更の監視、IP制限、データベースのテーブル名変更、ファイルのパーミション変更など多岐にわたって設定可能です。
退席中モードというものもあり、こちらを設定すると一定時間はダッシュボードにアクセスができなくなります。
これで、自分が作業している時間以外の全てのアクセスを禁止することができます。

SiteGuard

Security Strength Meterというもので、現在のサイトのセキュリティ状況を確認することができます。
また、サイトのPHPやWordPressの情報が簡単に確認できるため、アップデートができていないものもすぐ確認できます。
SiteGuard WP Pluginよりは日本語での説明が少ないですが、調べれば情報がたくさん出てくるため設定には困らないかと思われます。
SiteGuard WP Pluginが備えているような基本的なセキュリティ設定のみならず、多種多様な機能が備わっています。
具体的には、アクセスが非常に多いIPからのアクセスを自動でブロックできる機能や、ユーザー名・データベースのテーブル名を簡単に変更する機能があります。
プラグインの更新頻度が高いのも安心です。

WordPressのユーザー名を隠す

WordPressのログインIDは、実は特定の方法で簡単に調べることができてしまいます。
WordPressの管理画面へのログインには、

・ログイン用URL
・ログインID
・ログインパスワード

の3つが揃ってしまうと、可能になってしまいます。
この内の、ログインIDが簡単に調べられてしまうということは、セキュリティに多大な影響を与えてしまいます。

Edit Author Slug

こちらのプラグインを導入すれば、ログインIDを隠し別の文字列に変更することが可能になります。
IDの流出が防ぐことが可能となり、セキュリティもぐっと高まります。

常時https化

一昔前までは、問い合わせフォームなど入力情報があるページなどのみhttps(通信の暗号化)が必要とされてきました。
現在は、入力情報だけでなくページ自体へのアクセス情報なども個人情報として扱われる事が当たり前になっています。
訪問者への安心感の提供という意味でも導入が必須です。
また、Googleも全ページの常時https化を推奨しており、対応していないサイトについては評価を下げるということを明言しています。
SEOという意味でも導入が必要です。

Really Simple SSL

こちらのプラグインは、手軽にWordPressのサイトを常時https化が可能です。
ただ、サイト上の画像への参照用のURLが変更されなかったり、細かな調整が必要になりますので
その点はご注意下さい。

管理画面上での安全対策

WordPressなどのCMSでのホームページの構築は、WEBブラウザとインターネット環境があればどこでも、誰でも編集、更新が可能です。
ただ、その便利さの反面管理画面へアクセスされてしまうと、簡単にサイトを改竄され、最悪の場合フィッシング詐欺などの踏み台に利用されてしまうこともあり得ます。
様々なセキュリティ対策を講じても、IDとパスワードが流出してしまうと例え、IPアドレスを制限していても管理画面へアクセスされてしまう可能性は大きく高まります。
ページの更新が可能な人員を最小限にすることも必要ですが、ページ更新者に不要な権限を与えないこともセキュリティ対策面から重要です。

User Role Editor

こちらのプラグインはユーザーごとに細かな権限設定が可能になります。
ページの更新者に最低限の機能しか許可しないことにより、ログインIDやパスワードが流出した際にも被害を最小限に食い止めることが可能です。

User Admin Simplifier

こちらのプラグインも管理画面をユーザーごとに変更が可能になります。
User Admin Simplifierと組み合わせれば、更に細かな設定が可能になります。

まとめ

ご紹介したプラグインを導入すれば、限りなく安全に運用が可能になります。
ただ、セキュリティ対策も日進月歩ですがその対策を破ろうとする技術も日進月歩です。
最も大切なセキュリティ対策は、運用する側のセキュリティ意識であることは、代わりありません。

ぜひ、日頃からセキュリティという面からサイトの運用を行って下さい。

大阪のホームページ制作ならフォーサイトクリエイションへ

監修者情報

 

株式会社フォーサイトクリエイション

代表取締役 村田 雅利

大学卒業後、大手スポーツメーカーの営業としてトップの売上実績を残し、もっと営業スキルを磨くために転職した広告代理店でも年間売上数十億円と売上に貢献。そして広告をもっと深く知るために、事業モデルの構築や土地開発から関われる商業施設のプロデュース及び集客コンサルティング会社に転職。そこでは年間数億円の広告予算を預かり、広告戦略を組み立て売上拡大に貢献。その後、大手制作会社の取締役と集客コンサルティング業務の両立を経て、現在の株式会社フォーサイトクリエイションを設立。 本物のデザインを提供し、業種を問わず様々なクライアントの課題や目的に対してコンサルティングとデザインで企業の成長に貢献している。

コーポレートサイト制作
採用サイト制作
ブランドサイト制作
ランディングページ制作