あなたのWordPressサイト、セキュリティ対策は万全ですか?
最近、WordPressで構築されたサイトが不正アクセスの被害に遭い、サイトが改ざんされたり、サーバー側から強制的にサイトを停止させられたりするケースが増えています。
起業家にとって、自社サイトはビジネスの「顔」であり「資産」です。もしサイトが停止すれば、売上機会の損失はもちろん、スパムメールの送信元にでもなれば社会的な信用も失いかねません。
「セキュリティは難しそう」と後回しにせず、この記事で紹介する「最低限やるべき対策」を今すぐ実行し、あなたの大切なビジネス資産を守りましょう。
不正アクセスが引き起こす致命的な被害
万が一、あなたのサイトが不正アクセスを受けると、次のような深刻な被害が発生します。
- サイトが強制停止させられる: サーバー会社は他の利用者への被害拡大を防ぐため、不正アクセスの疑いがあるサイトを即時停止します。
- ビジネス(売上)の停止: サイトが閲覧できなくなれば、商品販売やサービスの申し込みもすべてストップします。
- 信用の失墜: サイトが改ざんされたり(例:不適切な画像が表示される)、あなたのメールアドレスから大量のスパムメールが送信されたりすれば、顧客や取引先からの信用は一瞬で失われます。
- データの消失: 最悪の場合、苦労して書き溜めた記事データや顧客情報がすべて失われる可能性もあります。
これらの被害を防ぐために、今から紹介する対策を必ず実施してください。
最低限実施すべきセキュリティ対策10選
日々新しい攻撃手法が生まれるため「これをやれば100%安全」というものはありません。しかし、これから紹介する対策は、比較的簡単に行え、かつ非常に効果が高いものです。
注意: 設定変更やプラグインの導入・更新を行う前には、万が一の事態に備え、**必ずサイトのバックアップを取得してください。**作業はご自身の責任において慎重に進めましょう。
1. 利用PCとネットワーク環境の安全を確保する
WordPressのセキュリティ以前の問題として、作業を行うパソコン自体がウイルスに感染していては元も子もありません。
- セキュリティソフトの導入: お使いのPC(Windows/Mac)に必ずセキュリティ対策ソフトを導入します。
- OS・ソフトの最新化: WindowsやmacOS、ブラウザ(Chromeなど)、FTPソフトなどを常に最新バージョンにアップデートします。
- 安全なWi-Fiを利用する: カフェなどの公共Wi-FiでWordPressの管理画面にログインするのは避けましょう。パスワードが盗聴される危険があります。
2. WordPress本体を常に最新にする
WordPressの管理画面にログインすると、「更新」の通知が来ていることがあります。 これはセキュリティの脆弱性(弱点)が修正された合図です。通知が来たら、バックアップを取った上で、すぐに「今すぐ更新」ボタンを押してアップデートしましょう。
3. テーマを最新にし、不要なテーマは削除する
WordPress本体と同様に、テーマ(サイトのデザインテンプレート)にも脆弱性が発見されることがあります。
- アップデート: 「外観」>「テーマ」で更新通知が来ていたら、すぐに更新します。
- 不要なテーマの削除: 過去に試した無料テーマなど、現在使っていないテーマは必ず削除してください。有効化していなくても、ファイルが存在するだけで攻撃の標的になります。
4. プラグインを最新にし、不要なプラグインは削除する
WordPressへの不正アクセスの原因として最も多いのが、プラグインの脆弱性です。
- アップデート: プラグインの更新通知は「最優先」で実行します。
- 不要プラグインの削除: 「使っていないプラグインは必ず削除する」を鉄則にしてください。インストールするプラグインは必要最小限に絞り込みましょう。
- 信頼性の確認: 新しくプラグインを導入する際は、「最終更新日」が古くないか、「アクティブインストール数」が多いかを確認し、信頼できるものだけを使います。
5. パスワードを強固なものに変更する
「password123」や「admin」のような単純なパスワードは、数秒で破られます。
- 管理画面: 「ユーザー」>「あなたのプロフィール」
- 手順:
- 「パスワードを生成する」ボタンをクリックします。
- 自動生成された強固なパスワード(
k!8B$pXv...のような文字列)が表示されます。 - **このパスワードを必ずパスワード管理ツールや手帳にメモ(コピー)**します。
- 「プロフィールを更新」ボタンをクリックします。
- 一度ログアウトし、新しいパスワードで再ログインできるか確認しましょう。
6. ログインURLを変更する
WordPressのログイン画面(wp-login.php)は世界共通のため、攻撃者にすぐに見つかってしまいます。この「玄関」の場所を変えてしまいましょう。
- 対策: プラグイン**「WPS Hide Login」**を導入します。
- 設定:
https://example.com/loginのように、あなたしか知らないURLに変更できます。これにより、不正なログイン試行(ブルートフォースアタック)の大半を防ぐことができます。
7. ログイン試行回数制限を導入する
ログインURLを変更しても、何らかの方法で突破された場合に備え、「パスワードの総当たり攻撃」を防ぐ仕組みを導入します。
- 対策: プラグイン**「Limit Login Attempts Reloaded」**を導入します。
- 機能: 短時間に何度もログインに失敗したIPアドレスを、一定時間アクセス禁止(ブロック)にします。
- ※レンタルサーバー側で同様の機能(WAFやログイン試行回数制限)が提供されている場合もあります。契約サーバーの設定も確認しましょう。
8. 二段階認証を導入する
銀行のネットバンキングなどでも使われる、強力なセキュリティ対策です。 万が一パスワードが漏れても、「スマホに届く確認コード」がなければログインできなくします。
- 対策: プラグイン**「Wordfence Security」(総合セキュリティプラグイン)や「Google Authenticator」**を導入します。
- 設定: ログイン時にパスワードに加えて、スマートフォンの認証アプリが表示するワンタイムパスワードの入力を必須にします。
9. PHPのバージョンを最新(推奨)にする
PHPとは、WordPressを動かしているプログラム言語です。古いPHPはセキュリティ上の危険があるため、定期的にバージョンアップする必要があります。
- 確認・変更場所: 契約しているレンタルサーバーのコントロールパネル(サーバーパネル)
- 手順: 「PHP Ver.切替」などのメニューを探し、現在のバージョンを確認します。「非推奨」となっている古いバージョン(例: 7.4など)を使っている場合は、WordPressが公式に推奨する最新のバージョン(例: 8.1以上)に変更しましょう。
- ※注意:まれに古いプラグインが新しいPHPに対応していない場合があります。変更後はサイトが正常に表示されるか必ず確認してください。
10. 定期的なバックアップを(自動で)行う
これは攻撃を防ぐ「防御」ではなく、万が一被害に遭った際に「復旧」するための最重要対策です。
- 対策: バックアップ用プラグイン**「BackWPUp」や「UpdraftPlus」**を導入します。
- 設定: 「毎週1回、深夜に自動でバックアップを実行し、Google DriveやDropboxなど、サーバーとは別の場所(クラウドストレージ)に保存する」ように設定します。
- ※レンタルサーバーが自動バックアップ機能を提供している場合もありますが、自分で別の場所にも保存しておくとより安全です。
まとめ:セキュリティ対策も「システム化」しよう
WordPressのセキュリティ対策は、一度やったら終わりではありません。
- WordPress・テーマ・プラグインの更新通知が来たら、すぐに(バックアップを取って)更新する。
- 使わなくなったプラグインやテーマは、すぐに削除する。
この2つを日々の運用ルールとして「システム化」することが、あなたの大切なビジネス資産を守る最も確実な方法です。
難しく考えず、まずはこの記事で紹介した対策を一つずつ実行してみてください。
コメント