WEBサイトのセキュリティ対策として、何を取り組んでいますか?
今回は、あなたのサイトを不正アクセスやハッキングから守るための、WordPressのセキュリティ対策を9つ紹介します。
セキュリティ対策が重要な理由
正直に言ってしまうと、セキュリティハッカーにピンポイントで狙われたら、並のセキュリティ対策では太刀打ちできません。
※セキュリティハッカーとは、悪意をもってハッキング行為をする者のこと。クラッカーとも呼ばれている。
専門家が対策しているであろう、県警のサーバーでさえハッキングされるのですから、一般的な制作会社が施すようなセキュリティ対策なんて、あってないようなものです。
ここだけを聞くと、「セキュリティ対策をするだけ無駄なのでは?」と思われるかもしれませんが、そんなことはありません。
なぜなら、ピンポイントでセキュリティハッカーに狙われるケースは稀で、ほとんどの場合、コンピューターウイルスなどによる無差別な攻撃が原因で、ハッキングされているからです。
コンピューターウイルスというのは、言い方を変えれば、悪意のある行動をするようにプログラミングされたものです。
ですから、その行動を阻害する、基本的なセキュリティ対策を行うだけでも、十分効果があると言われています。
今回はその、基本的なセキュリティ対策についてWordPressサイトのケースで紹介していきます。
動画での紹介はコチラ。
文章の方が好きな方は引き続きお読みください。
– セキュリティ対策 その1 –
WordPress、テーマ、プラグインを最新の状態にする
WordPressやテーマ、プラグインは定期的にバージョンアップが行われているのですが、そのバージョンアップの中には、セキュリティに関連するものも含まれています。
しかし、意外にも、このバージョンアップを行わずに、WEBサイトを運営し続けているケースが少なくありません。
バージョンアップをせずに、古いバージョンのまま利用するということは、発見されたセキュリティに関する問題も放置することになるので、ハッキングされるリスクを高めてしまうため、必ず更新通知を無視せずに、更新処理を行うようにしましょう。
WordPressよりもプラグインの方が感染リスクが高い!?
ちなみに、古いバージョンのWordPressを利用することがハッキングされるリスクを高めるというのは、Sucuri公開の2021年にハッキングされたウェブサイトの脅威レポートの調査結果により示されています。
その調査結果によると、マルウェア感染時にCMS(WordPress)のバージョンが古くなっていた割合は52%となっており、これは、2017年の同レポートの39.3%よりも大幅に増えていることがわかります。
ただし重要なのは、WordPressのバージョンよりも、脆弱なプラグインを利用することの方が、マルウェア感染のリスクが高くなる、ということです。
つまり、WordPressのバージョンを最新にしていても、利用しているプラグインのバージョンが古かったり、悪意のあるプログラムが組まれているプラグインを利用してしまうと、マルウェアに感染してしまうということです。
ですから、ワードプレスのコアとなるCMSだけをバージョンアップするのではなく、テーマやプラグインもなるべく最新の状態で利用するようにしましょう。
WordPressをバージョンアップする方法
ワードプレスやプラグインを最新の状態にするには、ワードプレスにログインして、ダッシュボードの中にある、更新をチェックします。
この時、更新できるものがあれば、その横に、図のように更新するものの数が表示されます。更新するものがなければ、何も数字は表示されません。
更新方法は、更新するものにチェックをいれて、更新ボタンをクリックするだけです。
簡単ですよね?
更新する際の注意点としては、稀に、ワードプレスやテーマ、プラグインとの互換性が崩れてしまい、表示がおかしくなったり、一部の機能が利用できなくなったりすることがあります。
なので、理想としては、ローカル環境で更新して、問題ないことを確認してから、本番環境でも更新するという手順で更新作業を行ないましょう。まぁ、正直、手間ですけどね。
– セキュリティ対策 その2 –
信頼できるプラグインやテーマを利用する
WordPressのテーマやプラグインは数えきれないほど存在しますが、残念ながら、それらの全てが信頼できるものとは限りません。
中には、マルウェアが潜んでいるものもあるので、できる限り、信頼できるものを利用することが、セキュリティ対策になります。
信頼できるテーマやプラグインを見つける方法
とは言っても、どうやって個々のプラグインやテーマを信頼していいのかどうか?判断すればいいのかわからないですよね?実は簡単な方法があります。
それは、WordPress上で追加できるかどうか?です。
ざっくりとした見分け方なんですが、WordPressから追加できるものは、基本的に信頼でしても大丈夫です。
あそこに表示されるテーマやプラグインは、WordPressの審査やチェックを通過したものだけなので、あからさまに怪しいものは、弾かれます。もちろん、それで100%弾かれているとは限らないですが、それでもリスクはだいぶ軽減できます。
逆に、掲示板や個人ブログ、謎の配布サイトなどのWEBサイトから無料でDLして利用するテーマやプラグインは、WordPressの審査が入らない分、信頼度は低いと考えられます。
ただ、誤解しないでほしいのですが、WEBサイトからDLするものでも、例えば、優良なテーマやプラグインを開発している企業のものは、有料でも無料でもある程度信頼しても大丈夫だと考えられます。
但し、この判断基準は100%当てはまるわけではないので、実際に使っているテーマやプラグインについて、気になるのであれば、個々にネットで検索をかけてチェックしてみてください。
もし、悪意のあるモノであれば、そういう情報が検索結果に出るはずなので、とりあえず、そのテーマやプラグインの利用をやめて、その後で、その情報の真偽を確かめてから、利用を再開するかどうか?を検討するようにしましょう。
– セキュリティ対策 その3 –
WordPressのアカウント情報の流出に注意する
アカウント情報というのは、WordPressサイトにログインするためのアカウント名やパスワード情報のことです。
たまーに、覚えるのが苦手とか面倒とかの理由で、アカウント情報を付箋に書いてPC本体やモニターに貼り付けている人がいますけど、それは、アカウント情報の流出につながるので、やってはダメです。
やっている人がいたら、せめて、引き出しの中にしまってもらうなどして、何かアクションを起こさない限り見られないようにしましょう。
それから、ちょっと前に起きた、USB紛失事件の会見のように、パスワードの桁数を漏らしたり、ヒントにつながる情報を公開することにも気をつけましょう。
まぁ、そういう情報を公開するというのは、相当稀なケースですけどね(苦笑)
※追記
ある対策をしていないと、ログイン情報の漏洩に気を付けていても、あなたのユーザー情報が特定されてしまいます。
⇒ ユーザー情報が特定される!?今すぐチェックし対応すべきセキュリティ対策
– セキュリティ対策 その4 –
WordPressのログインパスワードを強力なものにする
パスワードを自分の誕生日など、他の人も想像しやすいものを設定していませんか?
それはとてもキケンなので、今すぐ変更することをお勧めします。
強力なパスワードというのは、大文字英字+小文字英字+数字+特殊文字の組み合わせで設定されたものが強力なパスワードと言われています。
また、10文字以上で、2文字以下の同一文字を利用すると、さらに強力になるそうです。
また、ログイン画面に画像認証を追加することで、マルウェアによる自動ログインを防ぐことにもつなります。
個人的には、ひらがなやカタカナの画像認証にすると、より強力になると、考えています。なぜなら、海外の方って日本語入力に対応しているケースが少ないので、マルウェアソフトも対応しているケースが少ないのでは?と思ったからです。
まぁ、これは、検討違いかもしれないですけどね…(苦笑)
ちなみに、画像認証というのは、こういうやつです。
– セキュリティ対策 その5 –
WordPressのログインにニ要素認証を利用する
複数人でWEBサイトを管理する場合、人数に比例して、ログイン情報の漏洩リスクが高くなるのは、仕方がないことです。
ですから、そういう場合、ログイン情報が漏れてしまっても大丈夫なように、ニ要素認証を導入することで、第三者にログインされることを防ぐことができます。
ニ要素認証というのは、例えば、正しいログイン情報を入力した後に、登録したスマートフォン宛てにワンタイムパスワードを送るので、それを入力することで、ようやくログインできるというモノです。
ニ要素認証がセキュリティ対策として有効な理由
ニ要素認証がセキュリティ的に強い理由としては、仮に、アカウント情報が盗まれてしまったとしても、あらかじめ登録してあるスマートフォンを持っていなければ、ログインするためのワンタイムパスワードがわからないので、ログインされることがないからです。
さらにその場合、誰かが、ログインしようと試みたということもわかるので、すぐにアカウント情報の変更をするなどの対応もできるという利点もあります。
ニ要素認証は、ログインするのに、一手間&時間がかかるので、面倒なのですが、Googleにログインする時などに利用されているので、WEBのサービスを利用されている方には、結構身近なログイン方法になっているのではないかと思います。
– セキュリティ対策 その6 –
WordPressのログインURLを変更する
ワードプレスをインストールした後に表示される、デフォルトのログインURLを使っていませんか?実は、そのログインURLをそのまま使い続けることは、とてもキケンです。
なぜなら、ログインするページにアクセスされてしまうことが、不正アクセスの第一歩になるからです。
もし、アカウント情報が盗まれた場合、簡単にログインされてしまいますし、アカウント情報がわからなくても、無差別のハッキングウイルスにアクセスされれば、正解の組み合わせが出るまで、入力され続けたら、いつかはログインされてしまいます。
しかし、ログインURLを変更することで、そういった不正なログインを防ぐことができます。なぜなら、アカウント情報を盗まれたとしても、それを入力する画面に辿り着けないからです。
※追記
ある対策をしていないと、ログインURLを変更していても、簡単にログインペーにアクセスされてしまいます。その対策についてはコチラの記事でご確認ください。
⇒ ユーザー情報が特定される!?今すぐチェックし対応すべきセキュリティ対策
これは、思いつきなので実際にやったことはないのですけど、仮に、デフォルトのログインURLに何か適当な内容のページを作って、そのページへのアクセス数をチェックしてみたら、おそらく、恐ろしい結果になると予測しています。
恐ろしい結果というのは、予想外のアクセス数がありそうな気がしすることです。
試したことがないので、デフォルトのログインURLに適当なページを追加できるかどうかすらわからないですけどね…。
– セキュリティ対策 その7 –
セキュリティ系のプラグインを導入する
ここまで紹介した、画像認証やニ要素承認、ログインURLの変更などを実行するには、セキュリティ系のプラグインを利用する必要があります。
他にも、セキュリテイ系のプラグインには、ファイヤウォールの設定や、スパムコメントをブロックするもの、ハッキングウイルスを排除するものなど、たくさんあります。
ですから、それぞれのプラグインのカバーする機能や評判を精査して、さらに、利用しているテーマや他のプラグインとの相性を考慮して、利用するようにしましょう。
相性というのは、たとえば、同じ機能を持つプラグインが複数ある場合、その機能の全て、もしくは、一部の機能が動作しなくなるというようなことが起こるケースがあり、そういうプラグイン同士を、相性が悪いプラグインと表現したりします。
セキュリティ系のプラグインもたくさんあるのですが、プラグインを入れれば入れるほど、サイトが重くなったり、プラグイン同士の相性の悪さから、動作に不具合が生じたりするリスクも増えるので、ある程度厳選して利用することをお勧めします。
ちなみにこれは、セキュリティ系のプラグインに限った話ではないので、利用するプラグインの総数が多くなりすぎないように注意しましょう。
– セキュリティ対策 その8 –
万が一に備えて定期的にバックアップを取る
いくら万全にセキュリティ対策を取っていたとしても、冒頭でお伝えしたように、ピンポイントでセキュリティハッカーに狙われたら、そのセキュリティは破られてしまうものです。
ですから、そうなる可能性も考慮して対策をとっておくことも重要です。
その対策の一つが、バックアップをとることです。
バックアップデータがあれば、万が一ハッキングされて、サイトが改ざんされたりしたとしても、すぐに戻すことができます。
もちろん、その後に、ログイン情報の変更などの、セキュリティ対策の見直しが必要になりますけどね。
ちなみに、このバックアップデータは、プラグインを使えば、簡単に撮ることができます。
また、レンタルサーバーのオプションでそういうサービスもあるので、バックアップをとっていない方は、そういうサービスの検討をしてみてください。
– セキュリティ対策 その9 –
WordPressに定期的にログインしWEBサイトを更新する
すでにお伝えした通り、Sucuri公開の調査結果によると、ワードプレスのバージョンが古く、更新されずに放置されているサイトは、ハッキングされやすいというデータがあります。
ですから、それを防ぐために「ワードプレスやテーマ、プラグインを最新の状態にしましょう」とお伝えしましたが、その状態を維持するためには、定期的にWordPressのサイトにログインすることが求められます。
ですが、WordPressなどを最新の状態に保つために、ログインするというのは、本末転倒というか、本来の目的を忘れてしまっている状態なので、キケンな状態です。
WEBサイトの目的を思い出そう
というのも、本来、「何のためにWEBサイトを立ち上げたのか?」という当初の目的を考えてみれば、「セキュリティ対策のために、定期的にログインする」ということが、いかにおかしいのか?に気づくと思います。
”ハッキングされるリスクを低下させるため”ではないですよね?
認知のためとか、社会的信頼を得るためとか色々あると思いますが、最終的には集客のため、そして売上につなげるために、WEBサイトを立ち上げたはずです。
ではその目的を達成するために、WEBサイトでは何をしなければいけないのか?というと、定期的な情報発信です。
さまざまな視点から情報発信を行うことでWEBサイトへのアクセスが増えると同時に、あなたやあなたの会社に対する信頼感を高めることにつながり、それが、なんやかんやあって(笑)、最終的に売り上げにつながっていきます。
ですから、何のためにWEBサイトにログインするのか?というと、情報発信をするためであり、言い方を変えると、WEBページやBlog記事を追加するためです。
それがSEO対策になって、集客につながり、売上につながります。
もちろん、ログインしたついでに、バージョンアップを行なったりすることでWEBサイトを健全な状態に保つことも大事ですが、それは、あくまでもついでの作業です。
ですから、定期的にWordPressにログインし、記事を追加する(サイトを更新する)ついてでに、ワードプレスやプラグインのバージョンアップを行う。その結果、SEO対策だけでなく、セキュリティ対策にもつながるというわけです。
まとめ
以上、WordPressサイトのセキュリティ対策を9つ紹介しました。
まとめると、
1.WordPress、Theme、pluginを最新の状態に保つ
2.信頼できるpluginやThemeを利用する
3.WordPressのアカウント情報の流出に注意する
4.WordPressのログインパスワードを強力なものにする
5.WordPressへのログインにニ要素認証を利用する
6.WordPressのログインURLを変更する
7.セキュリティ系のpluginを追加する
8.万が一に備えて定期的にバックアップを取る
9.WordPressに定期的にログインしWEBサイトを更新(記事を追加)する
という9つです。
紹介したものは、それを行うためのプラグインの導入が必須のものもありますが、プラグインがなくても実施できるものもあります。
新たにプラグインを導入するとなると、いろいろ検討する必要があるかと思います。
ですから、とりあえず簡単にできる、1の最新の状態保から4のログインパスワードを強力なものにする、それから9のサイトを更新するっていう5つのセキュリティ対策から、取り組んでみてはいかがでしょうか?
これらのセキュリティ対策が、あなたの役に立つことを祈っています。
※コチラの記事も併せてチェック!
この記事では、WordPressのセキュリティ対策が漏れていました。その対策をしていないと、ログイン情報の漏洩やログインURLの特定が簡単にされてしまいます。
WordPressサイトのセキュリティ対策として、からなず下記記事の内容にも取り組むことをお勧めします。
⇒ ユーザー情報が特定される!?今すぐチェックし対応すべきセキュリティ対策