WordPressで最初にやるべき６つのセキュリティ対策【初心者向け】

この記事ではWordPressでWEBサイトを運営する際に、必ずやっておくべきセキュリティ対策の具体的な方法について解説しています。

WEBサイトをインターネット上に公開するということは、そのWEBサイトのファイルやデータが格納されているウェブサーバーに“誰でもアクセスできる”ということです。

もし、悪意を持った人に、あなたのウェブサーバーのデータベースや、WordPressの管理画面にログインされてしまった場合、これまでに作成した記事を削除されたり、あなたのWEBサイトの訪問者がウィルスに感染したり、フィッシング詐欺サイトに誘導されてしまう可能性すらあります。

WordPressでセキュリティ対策をする必要性

前述のとおり、セキュリティ対策は、インターネットを通じて不特定多数の人が、あなたのWEBサイトやウェブサーバーにアクセスできる状況にある場合、必ずやっておかなければなりません。

特に、WordPressは世界中のWEBサイトの30％以上で利用されているため、その分脆弱性を突かれる可能性も高まります。

以下では、WordPressの管理画面からでも簡単にできるセキュリティ対策について詳しく解説しています。

一つずつ確認してみてください！

WordPressでやっておくべきセキュリティ対策

ここでは以下の６つの項目について解説しています。

それでは一つずつ見てきましょう。

ユーザー名・パスワードの設定

WordPress管理画面にログインするにはユーザー名(もしくはメールアドレス)とパスワードが必要です。

よって、ユーザー名、パスワードは推測されにくいものにする必要があります。

ユーザー名の設定方法

ユーザー名はWordPressをインストールする時に設定します。

当サイトではWordPressの運営にエックスサーバーをお勧めしているのですが、エックスサーバーでは「WordPress簡単インストール」という機能があり、そこでユーザー名の設定ができます。

すでにインストール済みの場合は、新たに“管理者”としてユーザーを追加してアカウントを入れ替えるか、下記の「ログイン制限」の項目で別の対策を解説しているので参考にしてください。

パスワードを強化する

パスワードはユーザーの設定から変更することができます。

ユーザーの設定画面から「パスワードを生成する」をクリックします。

新しいパスワードを入力すると以下のセキュリティレベルが表示されます。

ログイン制限

先ほど“ユーザー名は変更できない”とお伝えしましたが、別の方法でログインされないように対策することができます。

SiteGuard WP Pluginを利用する

SiteGuard WP PluginとはWordPressのセキュリティ対策のプラグインです。

ログインページへのアクセス制限や、ログインURLの変更などが管理画面から簡単にできます。

SiteGuard WP Pluginの利用方法については下記の記事で詳しく解説しています。

WordPress.orgのSiteGuard WP Pluginに関するページはこちらから。

WordPressのログインページにベーシック認証を設定する

これはWordPressの設定ではありませんが、WEBページを表示させるためのユーザー名とパスワードの入力を必須にすることができます。

ベーシック認証を管理画面に設定することにより、Basic認証を通らない限り、管理画面が表示されなくなります。

上記の「SiteGuard WP Plugin」プラグインを利用すれば、この設定は特別必要ありませんが、参考までに紹介します。

なお、この設定はエックスサーバーを利用したベーシック認証の設定方法です。

エックスサーバーの管理画面から「アクセス制限」をクリックします。

ベーシック認証を利用したいドメインを選択します。

「wp_admin」のアクセス制限を「ON」にして「設定する」をクリックします。

「戻る」をクリックします。

今ベーシック認証を設定したフォルダの「ユーザー設定」をクリックします。

ユーザーIDとパスワードを設定して「確認画面へ進む」をクリックします。

設定したユーザーIDとパスワードを確認して問題なけれは「追加する」をクリックします。

これで、管理画面をアクセスしようとした時に、このようにユーザー名とパスワードが要求されるようになりました。

ユーザーの表示名の設定

WordPressでは、WEBページ内やURLにユーザー名が表示される場合があります。

このユーザー名が、WordPressのログインユーザー名の場合、セキュリティ上あまりよくありませんので対策が必要です。

表示名を変更する

WordPressでは、記事の投稿者や、投稿者ごとに作成した記事一覧の表示などで“投稿者名”を表示することができます。

この投稿者名は、デフォルトではWordPressのユーザー名（ログインユーザー名）になっています。

この表示される投稿者名は、ユーザー設定から変更することができます。

ユーザー設定から「ニックネーム」に表示させたい名前を作成し、その下の「ブログ上の表示名」から、作成した名前に変更してください。

Edit Author Slugを利用する

Edit Author SlugとはURLにWordPressのユーザー名が表示されないようにすることができるプラグインです。

WordPressでは投稿者ごとに作成した記事一覧を表示することができます。

とても便利な機能ですが、この著者の記事一覧ページのURLは通常「https://example.com/author/●●/」となり、●●の部分にはWordPressのログインユーザー名が表示されてしまいます。

このため悪意を持った第三者がWordPressのユーザー名を容易に知ることができてしまいます。

ところが、Edit Author Slugを利用すれば、ログインユーザー名の代わりに任意の文字列を表示させることができるようになります。

WordPress.orgのEdit Author Slugに関するページはこちらから。

利用するテーマ・プラグインの選定

テーマやプラグインはWordPressの管理画面やWordPress.orgから簡単にインストールすることができます。また、WordPress.orgに登録されていないテーマやプラグインも外部サイトからダウンロードして使用できます。

しかし、テーマやプラグインもWordPressソフトウェアと同様に脆弱性があったり、テーマやプラグインの製作者が悪意をもって使用者に害をもたらすプログラムを仕込んでいる可能性もあります。

そのため、テーマやプラグインを利用する際には以下の点について意識してみてください。

同じ機能であれば信用性の高いほうを利用するとよいでしょう。

プラグインの情報を確認

プラグインの評価・有効インストール数、最終更新などはここで確認できます。

ソフトウェアの管理・更新

WordPress自体もそうですが、プラグインやテーマも新しいバージョンがあれば、どこが改善されたのかを確認し、必要に応じて更新していかなければなりません。

特にセキュリティに関わる場合は更新が必要です。

WordPressには、新しいバージョンが出た時のお知らせ機能があります。

テーマやプラグインの使い方は以下の記事で解説しています。

定期的なバックアップ

設定変更やソフトウェアのインストール・更新の前にバックアップを取ることは必須ですが、それ以外にも定期的にバックアップを取ることが大切なことです。

BackWPupを利用する

BackWPupは必要なファイルやデータをバックアップしてくれるWordPressプラグインです。

管理画面から必要なタイミングでバックアップを取ることもできますし、定期的に自動でバックアップをとるように設定することもできます。

基本的なセキュリティ対策の解説は以上です！

まとめ

今回はWordPressでWEBサイトを運営する際に、必ずやっておくべきセキュリティ対策について解説してみました。

基本的な対策のポイントは以下の6つです。

WordPressは世界中のWEBサイトの30％以上で利用されているため、その分脆弱性を突かれる可能性も高まります。あなたと、あなたのWEBサイトの利用者を守るためにも、WordPressのセキュリティ対策をしっかりとしておきましょう！