【まずはこれ】WordPressでブログを運営する際にやっておきたいセキュリティ対策3選 + 5選

スポンサーリンク
Web
この記事は約8分で読めます。

こんにちは!ともわん(@TomoOne4)です。

ブログはWordPressを使って書いている人が多いと思いますが、

セキュリティ対策も超重要です。

今回は、こういった内容です。

【解消できる課題】
・WordPressでブログ運営をしていく上で気をつけるべきセキュリティ対策を知りたいけど、初心者だからわからない・・・
・よくわからないけどセキュリティやらないといけない感じはしている
・なんか漠然と心配

【解消策】
・「これだけやっておけばいい」という対策3選がわかる
・やりたい場合はやってもいいという対策5選がわかる

企業であれば、不正ログインなどで信頼性や評判が一気に落ち、個人情報が漏れた場合には賠償問題になりますが、

個人のブログはどうでしょう?

これも同様です。

不正ログインされて記事をやばい感じに書き換えられたり、変なリンクに飛ばされるようにされてしまったり、頑張って書いた記事が消されてしまったりなどよろしくない状態になってしまいます。

これは自分が実際やっている対策で、今の所セキュリティの被害なしのものです。

ブロガーの優先度順に紹介していきます。

ちなみに、パスワードは大文字、小文字、記号など考慮して複雑なものにしておきましょう!

スポンサーリンク

絶対やるべきWordPressのセキュリティ対策3選

この3つの対策は絶対やりましょう。クラウドサーバやVPSを使っていない限りは、どれもお使いのサーバで簡単にできるはずです。

プラグイン、WordPressの常時最新化(アップデート)

まずはこれが1番です。

WordPressのセキュリティ対策TOP2のうちの1つです。

WordPressはマイナーアップデートを
プラグインは常にアップデートを

必ずやりましょう。

WordPressのマイナーアップデートとは、

末尾の数字が上がるアップデートのことです。(ex. 5.5.1 → 5.5.2)

新しいWordPressであれば、基本は何もしなくてもマイナーアップデートはされていくので心配いりません。

マイナーバージョンのアップデートが来ていたら、自動でアップデートさせ、メジャー(ex. 5.5.1 → 5.6)の場合はバックアップとって手動でアップデートするという運用にしましょう。

また、

最新版のWordPressの場合、プラグインのアップデート

管理画面のプラグインのところに自動更新するかどうかが選べるようになっているので分かりやすいです。

ただし、プラグインの自動アップデートは要注意です!
(WordPressのバージョンに対応していないものもあるので、モノによっては機能がバグることがまれにあります。)

常時SSL

今や絶対必用なものがこの常時SSL対応です。

というのも、常時SSL化されていないサイトでは通信が暗号化されずにやり取りされるため、パスワードやCookie情報などを盗まれたりする可能性があります。

また、ブラウザで「保護されていない通信」のような
あからさまにサイトとしてだめな表示が出されること、さらにSEO的にも影響するため、絶対に対策をしましょう!

Chrome の HTTP 接続におけるセキュリティ強化に向けて
Google フレンドリーなサイト制作・運営に関するウェブマスター向け公式情報

常時SSL対応とは、

SSL証明書という、第3者が発行する証明書を自分のサーバに適用し、サーバの設定をすることで常時SSL(https://で始まるURL)にすることができることを言います。

レンタルサーバなどであれば、サーバのサービスでやってくれるので安心です。

例えば、ConoHa WING は、

コントロールパネルから超簡単に設定できます。

無料独自SSLを設定する|ConoHa WINGサポート
ConoHa WINGのご利用ガイド、FAQなどの各種サポート情報をご案内しています。ConoHa WINGは便利なご利用ガイドと専任スタッフのサポートで安心してご利用いただけます。
さくらのレンタルサーバ スタンダード などでも、コントロールパネルから手順通りに行えば数分で設定ができます。
無料SSL(Let’s Encrypt)設定手順 – さくらのサポート情報
さくらのレンタルサーバで無料SSLを導入する手順をご紹介します。 本ページでは新規にSSLを設定される方を対象にしております。 すでにラピッドSSL等の有料SSLを利用していて無料SSLへ乗り換えをされる方は【無料SSL...
TomoOne
TomoOne

ちなみに、証明書には無料のものと有料のものがあり、セキュリティ的には違いはないので、無料のLet’s Encryptというものでも問題ないです。
無料のものはちょっと、、、という人は有料の証明書を購入しましょう!

SSL証明書は誰が、どうやって証明してくれたかで金額が変わる代物です。

管理画面へのベーシック認証

これは、サーバ側で設定するアクセス制御の方法です。

ベーシック認証を設定することで、サーバ側とWordPress側で合計2段階の認証が実現します
(しかもこれから紹介する2段階認証よりもウザくない)

レンタルサーバなどであれば、無料のサービスでやっています。

ConoHa WINGは、コントロールパネルから「ディレクトリアクセス制限」で /wp-admin (WordPressで決まっている管理画面のディレクトリ)を指定してユーザー名とパスワードを決めるだけです。

ユーザー名とパスワードはWordPressの管理画面で使っているものと同じにしないでください!(意味なくなってしまうので・・・)

機能一覧|レンタルサーバーならConoHa WING
ConoHa WINGで提供している機能の一覧です。マルチドメイン無制限でWordPress簡単インストールや無料独自SSLなど、Webサイト運営にかんたん便利な機能も多数ご用意。全プランですべての機能をお使いいただけます。

さくらのレンタルサーバだとコントロールパネルのファイルマネージャーから設定するだけで完了します。こちらもディレクトリは /wp-admin を指定します。

ファイルマネージャーでアクセス制限をする – さくらのサポート情報
サーバコントロールパネルから利用できるファイルマネージャーでは、アクセス制限やインデックスファイルの設定を変更することができます。 前提条件・設定例 パスワードによる制限 接続元によるアクセス制限 インデックスファイルの...
TomoOne
TomoOne

ここまでやっていればブロガーであればほぼ問題ないです!!

やりたい人はやってもいいWordPressのセキュリティ対策5選

ここからは、正直必須ではないです。

やってみたい対策があれば、やってもいいくらいのレベル感です。

管理画面への2段階認証

WordPressレベルでの認証を設定できる方法で、プラグインで実現することが多いです。

僕は、Two Factorというプラグインを使っています。

これは、

  • 使い捨てパスワードでログイン
  • ワンタイムパスワードみたいな感じでログイン
  • つどつどメールで送られてくるパスワードでログイン

などができるのでセキュリティ強化にはいいのですが、管理画面に入るときにウザくなってきたので使うのを辞める予定です。。

Two-Factor
二段階認証を有効にします。時間の限られたの1度きりのパスワード (OTP, Google Authenticator) または Universal 2nd Factor (FIDO U2F, YubiKey) メールなどが利用可能。

URLかえる

WordPressは、決まって管理画面へのURLが、https://xxxxxxx.com/wp-admin というようにURLの末尾に /wp-admin を加えることでアクセスできるようになっています。

そこで、このルールをカスタマイズして、例えば https://xxxxxxx.com/abababababa にアクセスしたら管理画面へのログイン画面にアクセスできるように変更させる対策です。

プラグインでできます。

SiteGuard WP Pluginなどが有名ですね。

SiteGuard WP Plugin | ソフトウェアWAFのJP-Secure
SiteGuard WP Pluginは、管理ページとログインページの保護を主な目的とする、WordPress向けのシンプルなセキュリティプラグインです。インストールするだけで簡単にセキュリティを向上でき、完全日本語対応しています。

IPアドレス制限

IPアドレス制限は、

特定のURL(正確に言うとディレクトリ配下)へのアクセスをしようとしたときに、設定したIPアドレス以外からは受け付けない、もしくは設定したIPアドレスは受け付けないという制限設定をすることです。

ベーシック認証のときと同じように、管理画面へのアクセス部分のみIPアドレス制限をかけるとセキュリティがぐっと上がりいます。

このIPアドレス制限がぶっちゃけ1番確実なセキュリティ対策です。

例えば、自宅のIPアドレスと会社などのIPアドレスからのみアクセスを許可し、それ以外のIPアドレスからのアクセスを拒否してしまえば物理的に自宅や会社のネットワークを使っている場合にしか入れないのでかなり安全になります。

難点は、IPアドレス制限をしてしまうと
決まったIPアドレス以外からアクセスしようとした時(例えば、カフェや移動中など)だと弾かれてしまう点と、
固定のIPアドレスがないと、使い勝手が悪い点です。

作業場所を固定しないブロガーの場合はだとやらないほうがいいと思います。

逆に、固定のPC(社内)からしか更新しない企業の持っているWebサイトのWordPressであればこれはやるべきです。

WAF

WAF = Web Application Firewall は、アプリケーションのファイアーウォールのことで不正攻撃などから守るために使われます。

正直、ブロガーのWordPressにはあまりいらないと思います。

企業のWebサイトであればやったほうがいいのですが、ビジネス向けのWAFは結構高いので、

ブログであれば、やるとしても無料のSiteGuard WP Pluginで十分です。

SiteGuard WP Plugin | ソフトウェアWAFのJP-Secure
SiteGuard WP Pluginは、管理ページとログインページの保護を主な目的とする、WordPress向けのシンプルなセキュリティプラグインです。インストールするだけで簡単にセキュリティを向上でき、完全日本語対応しています。

ログイン回数の制限

何回かログイン間違えると一定時間入れなくなるあれです。

Limit Login Attempts Reloadedというプラグインなどで実現できます。

Limit Login Attempts Reloaded
WordPress の開発者チームによる、元祖 Limit Login Attempts plugin for Login Protection (ログイン保護のためのログイン試行制限) プラグインのリニューアル版。GDPR 準拠。

僕は、パスワード間違えまくって自滅することもあるので、使っていないです笑

まとめ:セキュリティ対策は

セキュリティで一番いいのは、なにも起こらないことです。

そのためには、やらなければならないことが多少あります。

企業レベルになるとお金をしっかりかけて対策を行うものですが、

個人レベルであればやるべきことをしっかりやるだけでかなりの効果が期待できますし、使っているサーバのコントロールパネルからなんとかできる部分も多いので、しっかり対策を行っていきましょう!

現状自分の中では、ブロガーのサーバおすすめとしては取り上げてきた、

あたりが、使いやすいしコントロールパネルから簡単に設定ができるのでいいかなと思っています。

タイトルとURLをコピーしました