「WordPressを入れて自分たちで更新できるようにしたいけど、WordPressってセキュリティが心配で…」というお話をよく伺います。
確かに昔はセキュリティホールを突かれて不正ログイン等されてサイトを改ざんされるなどのケースがしばしばありましたが、現在ではバージョンアップも進み、基本的な対策は取られています。「WordPressは危険」は過去の話と言えます。
また、被害に合ったケースの原因のほとんどが、
・ログインID・PWを簡単なものにしていた
・不正なプログラムが含まれるプラグイン、セキュリティホールのあるプラグインを利用してしまった
の2点だと言われています。
WordPressの5つのセキュリティ対策
1.管理画面ログインURLを変える
WordPressをインストールしたときのデフォルトの管理画面ログインURLは、
http://●●●.com/wp-login.php
となります。このURLを狙う不正アクセスが多いため、ログインURLを変更します。
ちなみに安倍首相の個人のwebサイトはこのログインURLがデフォルトのままなので、ちょっと心配です。
https://www.s-abe.or.jp/wp-login.php
2.管理画面にIP制限/basic認証かける
指定したIPアドレスからでないと管理画面にログインできないようにします。セキュリティのリスクをかなり排除できるので、おすすめです。
ただし、IP制限をかけるためには「固定IP」が必要で、会社によっては固定IPがないケースがあるので、情シス部門等に確認してみてください。
また、リモートワークが多い場合や、外部パートナーに更新をお願いする場合など、IP制限が向かないケースもあります。
その場合は、管理画面にbasic認証と呼ばれる簡易な認証を入れるようにしましょう。
(basic認証)
このID・PWも後述するものを同じように単純なものは避けてください。
3.ログインに画像認証入れる
ロボット対策として、画像内に表示されている文字を入力欄に入力し、合致しないとログインができない仕組みを入れます。
いろいろなサービスのログイン画面に使われてる画像認証と同じ仕組みのものです。
ちなみにここまで紹介した1〜3の対策は、「SiteGuard WP Plugin」という有名なセキュリティプラグインでまとめて設定できます。
4.PWを16桁以上の複雑なものにし、3ヶ月に1回程度変更する
WordPressの不正ログインの原因のほとんどが単純なIDとPWを設定していたことです。
IDだとadminとか、PWだと1234とか、そういった類のものです。
これはWordPressに限らず、全てのIT関連のことに言えることです。
PWはなるべく複雑なものにしましょう。記憶できるものはダメと思っておいた方がいいです。少なくとも16文字以上で、ローマ字の大文字小文字、数字、記号が混ざったものにしましょう。WordPressでユーザーを作成すると、24文字の複雑なPWがランダムに生成されるので、それをそのまま使うのがいいと思います。そして、3ヶ月、または年に数回、PWを変更するようにしましょう。
5.無名な・不要なプラグインは使わない
WordPressはオープンソースのソフトウェアで、プラグインは誰でも公開できるため、似たようなプラグインが多数存在します。しかし、中にはセキュリティホールが存在するプラグインがあったりするので、便利だからといって何でもプラグインを使えばいいということではありません。
有名か無名かの判断は難しいところですが、ダウンロード数、評価、レビューの内容、更新頻度などがWordPress公式サイトに掲載されているので、それらの数字から判断できます。
弊社では「こういう場合はこのプラグインを使う」というパターンがほぼ決まっています。
WordPress管理画面の「使用済みプラグイン」を見て20個以上プラグインが入っていたら、不要なプラグインがないか、制作会社に確認した方が良いでしょう。
