非常に高機能で簡単にホームページが作れる WordPress。
世界中で多くの人に愛され、利用されていますが、
それだけ多くの脅威にさらされていることは言うまでもありません。
この記事では、様々な脅威にさらされている WordPress をあなた自身で守るために、
ぜひとも検討していただきたい基本的な設定と、
インストールしておきたいプラグインを紹介いたします。
あなたが WordPress 初心者でも、比較的簡単に設定できるものがほとんどです。
少し意識を変えるだけで、WordPress のセキュリティは大幅に高まります。
なぜWordPressは狙われるのか?
WordPress は 世界でもっとも利用されているCMS(コンテンツマネジメントシステム)です。
全世界のホームページの約40% が WordPress で制作されており、
プログラムが公開されているオープンソースのソフトウェアです。
ちなみに、オープンソースとは、
ソフトウェアを構成しているプログラムの「ソースコード」が、無償で一般公開されている状態を言います。
オープンにすることで「誰でも」そのソフトウェアの改良が行えるということです。
WordPress のファイル構造はどのサイトも同じなので、
ハッカーからすると、1つでも欠点を発見できれば大量のハッキングが可能になります。
金庫のカギ穴にカギが刺さったまま放置されているようなもので、ハッカーが狙うのは当然と言えます。
どのようなリスクがあるか
WordPress には、マルウェアという悪意のあるプログラムを埋め込むことが簡単にできてしまいます。
マルウェアの攻撃にさらされると、下記のような被害があります。
- 情報の書き換え、漏洩
- 詐欺サイト(フィッシングサイト)への自動転送
このように、ハッキングによってあなた自身が被害にあうだけでなく、
第三者をも被害者にしてしまう可能性があります。
WordPress サイトの自己診断をしよう
あなたのサイトがマルウェアの攻撃を受けている可能性、情報セキュリティ上の欠陥の有無は、
オンラインツールを使って簡単に診断できます。
ここでは、簡単かつ無料で使えるオンラインの診断サービス「 WPdoctor 」をご紹介します。
使い方はいたって簡単です。
WPdoctor の「 Online Security Scanner 」ロゴ下の検索窓に、あなたのサイトのURLを入力するだけです。
数分待つと、あなたの WordPress サイトについての詳細な診断結果レポートが表示されます。
レポートで指摘された危険性を改善することで、
あなたの WordPress サイトのセキュリティを向上させることができます。
まずはあなたが自己診断をして、自分のWordPress サイトの現状を把握することが大切です。
あなたにできる有効な対策
ここではあなたの WordPress サイトを守るための、簡単かつ有効な予防策を見ていきます。
定期的なバックアップ取得
あなたのサイトがハッキングなどの攻撃を受けても、
バックアップデータから復元することで、被害を最小限に食い止められます。
被害に会わない努力は当然ですが、
万が一の場合の備えとしてバックアップを定期的に取っておくのが理想です。
バックアップに関しては、
「BackWPup 」というプラグインがもっとも信頼性が高く、安定的に動作してくれます。
定期的に自動でバックアップを取ることができ、
そのバックアップのスケジュールを自由に設定できるプラグインです。
本当に助かります。ぜひインストールしてください。
プラグインとテーマの更新
WordPress 本体をはじめ、インストールしたプラグインやテーマは
脆弱性が発見されると頻繁に更新通知が届きます。
面倒でも定期的にログインして、アップデートがないか確認するクセをつけてください。
セキュリティ対策プラグインの導入
WordPress にはセキュリティのためのプラグインが数多くあります。
WordPress の管理画面からインストールできるプラグインはすべて無料ですので、
この機会にセキュリティ対策プラグインをインストールしておいてください。
ここでは、人気の高いセキュリティ対策プラグインを3つ紹介します。
1. SiteGuard WP Plugin
WordPress の管理画面やログインパネルは、悪意のある第三者によって攻撃される可能性があります。
誰かが管理画面からログインできてしまうと、サイトをダウンさせたり、
個人情報にアクセスされてしまう可能性があります。
SiteGuard WP Plugin は無料なので、使うのにお金は一切かかりません。
無料で、WordPress サイトにインストールするだけで使用できます。
このプラグインを使用する利点は、管理ページやログインページを保護するために、
1つだけでなく複数の手段を使用できることです。
2. Invisible reCaptcha for WordPress
このプラグインを使うと、「Contact Form 7」などのフォームに、
Google のスパム対策機能「Invisible reCaptcha」を無料で追加することができます。
あなたのサイトのフォームから頻繁にスパムメッセージを受け取る場合は、
このプラグインを追加して、スパムメッセージを受け取らないように設定することができます。
従来の画像認証では、ユーザーがテキストを入力したり、表示された画像の文字をすべてクリックしたり、
「私はロボットではありません」にチェックを入れたりする必要がありました。
しかし、2017年に第3世代の認証システムが導入され、
ユーザビリティを損なうことなく、スパム対策を行うことができるようになりました。
3. Wordfence Security
最も多く導入されている WordPress のセキュリティプラグインです。
サイトのセキュリティ脆弱性をスキャンし、その修正方法を示し、現在のアクセス状況を示し、
IPアドレスを制限するなどの機能を備えています。
また、WordPress のコアファイルに加えられた変更を自動的に修正するので、
ハッキングされたかどうかを常に把握することができます。
Wordfence Security には有料版(プレミアムバージョン)と無料版があります。
有料版(プレミアムバージョン) には、以下のような機能が含まれています。
- 最新の脅威に対するリアルタイムな保護 (無料版では30日遅れで脅威データを受信してスキャンを実施)
- 国別のアクセスコントロール
- Webサイトのドメインがブラックリストに登録されているかどうかの確認
無料版には30日間のタイムラグがあります。
しばらく無料版を導入してみて、あまりにも多くの脅威を発見したら
有料版にアップグレードすることを薦めます。
いずれにしても、開設して間もない Webサイトやブログでは無料版で十分なパフォーマンスを得られます。
WordPress にはデフォルトで Akismet Anti-Spam というプラグインがインストールされています。
WordPress のスパム対策として、非常に評価の高いプラグインです。
しかし、Akismet Anti-Spam では一切の商用利用が禁止されています。
つまり、あなたの Webサイトやブログが、アフィリエイトやアドセンス目的であれば有料になります。
そのまま無料で使っておられる方もたくさんいると思いますが、いつブロックされるかわかりません。
商用目的でブログを運営するなら、Akismet Anti-Spam 以外の無料プラグインを導入してください。
まとめ
記事の中でも書きましたが、セキュリティ対策を怠っていると、
あなたの WordPress サイトが傷つくだけでなく、
まったく関係のない第三者にまで被害が及ぶ可能性があります。
今回紹介した対策やプラグインはすべて無料です。
これらを利用してサイトの安全性とともにあなたのキュリティ意識を高め、
WordPressを楽しんでください。