WordPressは、オープンソースで世界的に多くの人に利用され、最も有名なコンテンツマネジメントシステム(CMS)です。
ところで、自社サイトのセキュリティ対策は万全ですか?
特にWordPressを使ってサイトを自分(自社)で制作した場合には、しっかりとセキュリティ対策をしていないと非常に危険です。もし、セキュリティ対策が万全でないと、ショッピング機能やお問い合わせができる機能を持ち、個人情報を扱っているサイトなどでは、ウイルスや不正プログラムといった悪意ある攻撃によって、大切な情報を流出させてしまう恐れがあるのです。
今回は、WordPressのセキュリティについて、少しお話しようと思います。
■対策の基準の軸は2つ
Webサイトのセキュリティ対策の基準は2つあります。
1つ目は、プログラム(ソフトウェア)の穴(脆弱性)を塞ぐこと。
2つ目は、外部からの攻撃や侵入を防ぐこと。
■WordPressの脆弱性対策の3点
・WordPress本体
WordPress本体を最新のバージョンにアップデートすることは、機能追加だけでなくセキュリティパッチも含まれることがあります。基本であり、最重要なセキュリティ対策になります。
自動アップデートを有効にすることで、軽微な不具合修正や、緊急度の高いセキュリティパッチはマイナーバージョンとして配信され、情報を自動で更新してくれます。
しかし、マイナーバージョンアップではなく、メジャーバージョンアップと呼ばれる大きなアップデートを行う際には、注意が必要です。今のサイトの表示や、機能が正常に行えないようになる可能性もあります。不安がある場合は、WEB制作会社に問い合わせて依頼すると良いでしょう。
・プラグイン
人気なプラグインは、WordPress本体同様に攻撃の対象にされやすいため、本体同様にバージョンアップは可能な限り早い対応が必須になります。
プラグインを使用する際は、WordPressのプラグイン追加画面から探せるプラグインのみ利用すると良いです。登録されているプラグインは公式にレビューされているのと、ある程度のセキュリティが担保されています。また、使用を考える場合、プラグインの最終更新日が1年以内のものを使用することをおすすめします。定期的に、機能改善やセキュリティメンテナンスなど行われているものを使用したほうが良いです。
・テーマ
テーマは、WordPress本体と同様に攻撃を受ける可能性が高いため、最新のバージョンにアップデートするようにします。テーマを作成した場合、「子テーマ」と呼ばれるファイルを作成します。子テーマには、直接的にセキュリティ対策になる要素はありません。テーマのアップデートとは、テーマの上書きとなります。もし、テーマファイルに直接カスタマイズをしていると、アップデートで帳消しにされてしまいます。
■不正アクセスへの対策の3点
・アクセス制限
WordPressの管理画面にあたる「wp-admin」へのアクセス制限をしましょう。接続制限(IP制限)を行うことが望ましいですが、難しい場合はベーシック認証で代用しても良いです。
不正アクセスで1番人気なのが、ログインページ(wp-login.php)です。真っ先にターゲットになるため、URL自体も変更してしまうのも手段の1つです。
・データベース
WordPressをインストールする際に設定するデータベースの接頭辞を、デフォルトの「wp_」以外で設定します。データベースを直接狙った不正アクセスや、不正なプラグイン・テーマを、決め打ちでアクセスしてくるのを防ぐ意味があります。
・ユーザー
管理者IDに「admin」を使ってはいけません。「admin」は最も攻撃を受けやすいパスワードになります。「admin」を使用していたり、設定が残っている場合、削除を行います。
また、WordPressでユーザーを新規作成すると英数記号24文字の強力なパスワードが作成されます(2018/07/26時の最新版)。このパスワードを基準に、複雑なパスワードに設定しましょう。
まだまだ沢山の対策方法がありますが、1つ1つの対策の積み重ねが大切です。
自分(自社)で行うことが難しい場合、制作会社に相談してみましょう。
もちろん、弊社でもご相談いただければ対応可能です。
