WordPressはブログやウェブサイトを始めるのに便利なツールです。しかし、最低限のセキュリティ対策を行っていないと、ハッキングや不正ログインの被害にあう可能性もあります。ここでは、あなたの大切なブログを不正な攻撃から守るための5つの簡単な方法について紹介します。
初心者にもできるWordPressのセキュリティ対策5つ
1.Akismet Anti-Spam (アンチスパム)
Akismet Anti-Spam (アンチスパム)は、WordPressブログをさまざまな迷惑コメントから守ってくれるプラグインです。WordPressをインストールしたら最初から入っているプラグインなので、プラグインを「有効化」すれば使うことができます。
当ブログで使用しているWordPressテーマ「STORK(ストーク)」の製作者、ブログマーケッターのJunichiさんが解説動画を作ってくれているので、参考にしてください。
2.SiteGuard WP Plugin
SiteGuard WP Pluginは、WordPressブログのセキュリティを格段に高めてくれるプラグインです。これもWordPressに最初からインストールされているので「有効化」することで使えます。
SiteGuard WP Pluginの設定について
WordPressの管理画面でSiteGuard > ダッシュボード を開くと、以下のような設定画面が表示されます。
特にチェックしてもらいたい項目は以下の3つです。
- ログインページ変更
- 画像認証
- ログインロック
一つひとつの機能を以下に紹介します。
①ログインページ変更
ログインページのURLを変更します。通常、WordPressのログインページはhttp://ブログURL/wp-admin/というURLです。しかし、このURLは世界中の人が知っているので、もしユーザー名とパスワードが漏れたら誰にでもログインされてしまう危険性があります。
そこで、ログインページのURLそのものを変更してしまうという設定です。設定を開くと以下のような画面が表示されます。
赤い枠の部分(従来の「wp-admin/」の部分)を適当なURL(英数字)に変更できます。
②画像認証
画像認証をONにすると、WordPressをログインするときに、画像認証が必須になります。画像認証を取り入れることで、機械的な不正ログインを防ぐことができます。
▼ログインするときに画像認証が表示される
③ログインロック
短時間のうちに複数回WordPressへのログインに失敗したら、一定時間ログインできなくなるというセキュリティ機能です。これは「ブルートフォース攻撃」という、異なる無数のユーザー名とパスワードでのログインを繰り返し、パスワードを突破する不正な攻撃からWordPressを守るために有効な機能です。
3.ユーザー名をadminから変更する
WordPressのユーザー名にデフォルトの「admin」を設定していると、不正ログインの格好の的となります。なぜなら、パスワードだけ突破できれば簡単にログインできてしまうからです。
そのような不正ログインからWordPressを守るためにも、ユーザー名をあらかじめ「admin」から任意の文字に変更しておくことをおすすめします。
ユーザー名を一番簡単に変更できる方法は、WordPressをサーバーにインストールする際に、admin以外のユーザー名で事前に設定してしまう方法です。
しかし、WordPressをインストールした後に、ユーザー名を変更したい場合もあるでしょう。
そのようなときには、WordPressの管理画面のユーザー > 新規追加 で、ユーザーの新規追加を行い、管理者の権限を委譲することでユーザー名の変更ができます。
詳しくは以下のサイトを参考にしてください。
WordPressのユーザー名(admin)を変更・削除する方法(はっちゃんの初心者向けWordPressセミナー)
4.パスワードを大・小の英数字から作成する
これは基本中の基本ですが、パスワードは英語の大文字・小文字、数字を混ぜて、推察されにくいものを設定するようにしましょう。
特に、英語の大文字を入れたパスワードまで設定しているユーザーは少ないので、工夫して大文字を入れておくだけでもセキュリティを向上させることができます。
5.WordPressやプラグイン、テーマのバージョンは最新にしておく
これもWordPressのセキュリティの基本です。WordPressやプラグイン、使用しているテーマのバージョンは必ず最新のものにしておいてください。
古いバージョンのままだと、システムに脆弱性があったりして、そこから不正侵入される可能性があります。プラグインやテーマの最新バージョンが出たら、必ずバージョンアップしておきましょう。
また、使用していないプラグインも不正侵入元になりやすいので、必要のないプラグインはすべて削除しておくことをおすすめします。
以上、WordPressのセキュリティ対策、初心者にもできる5つの方法でした。