【WordPressのセキュリティ対策】まずこのプラグインを入れておこう

WordPressでウェブサイトを運用していくとき、セキュリティ対策としてまず何をすればよいのかという点は、比較的悩みの多いところではないでしょうか。

サイトのセキュリティが低いと、最悪の場合サイトを乗っ取られて好き勝手に変更されてしまったり(有害なソフトのダウンロードサイトへのリンクを仕込まれたり)、場合によってはサイトが全く表示されなくなってしまったりと、様々な危険が生じます。

セキュリティの向上はWordPressに限らず、サーバー側の設定など幅広く対応していく必要があります。が、本ページでは最初の第一歩として、WordPressでサイトを運用していく場合に最低限入れておくと乗っ取りなどのリスクを軽減できるプラグイン1つに絞って紹介します。

ユーザー名とパスワードが単純すぎじゃない?

ところでプラグインを紹介する前に。WordPrssや、WordPressを設置するために契約しているレンタルサーバーのユーザー名(ログインID)やパスワードが、非常に簡単だったり推測しやすいものになっていませんか。

WordPressのセキュリティプラグインを導入したりサーバーのセキュリティ対策を行う前に、まずは肝心のユーザー名とパスワードの見直しを図るのが、乗っ取り防止策としては効果的です。

いくらWordPressのセキュリティを向上させても、その前提となるサーバーのパスワードが簡単すぎることから乗っ取られてしまっては、意味がありませんから。

それと、WordPress本体や他のプラグインのアップデートもこまめに行っておかないと、セキュリティの穴ができてそこを狙われる危険があるので要注意です。

SiteGuard WP Plugin

WordPressのセキュリティを向上させるプラグインは数多く公開されていますが、最初に導入するプラグインとしておすすめなのがSiteGuard WP Pluginです。

設定画面が日本語に対応していること、また設定項目も基本的な箇所を押さえつつあまり広範囲になりすぎていないことから、他のプラグインと比較して設定が分かりやすいのが一番の理由です。

SitGuard WP Plugin

そしてセキュリティ面を向上させるとき、更新が止まってしまったプラグインを使うのは逆に脆弱性を作ることにもなりかねません。

その点、SiteGuard WP Pluginは(現時点では)比較的コンスタントに更新が入っているためプラグインを導入したことによる問題が発生する可能性も低く抑えられそうです。

SiteGuard WP Pluginの設定

WordPressにSiteGuard WP Pluginをインストールして有効化後、管理画面のSiteGuardというメニューを表示すると以下のようなセキュリティ対策が設定済みの状態になっています。

WordPressログインページの変更

この中で1カ所注意しておきたいのが、上から2番目に表示されている「ログインページ変更」です。

WordPressの管理画面は通常、サイトのURLの後に/wp-login.phpを付けたものとなりますが、SiteGuard WP Pluginを有効化した場合、この管理画面へのログインページURLが通常とは異なるものに変更されます

管理画面へのログインページは、不正にアクセスされる可能性が非常に高いページです。そのため、ログインページのURL自体を変えてしまい、総当たりなど自動的に行われる不正な攻撃をその段階でシャットアウトするためにこの機能があります。

そしてSiteGuard WP Pluginを有効化した直後は、login_XXXXX(数字5桁)というログインページへ自動的に変更されていますので、このページURLをメモしておくか、または自分の覚えておきやすい任意のページ名に変更してしまいましょう

※まだWordPressを導入して日が浅くWordPress自体に不慣れな場合は、ここで紹介しているログインページ名の変更を行わず、SiteGuard WP Pluginを有効化した直後にログインページ名の変更をオフにしてしまうのも手です。「ログインページのURL忘れた」というとき、どうやってログインすればよいか分からなくなってしまう危険がありますので。

管理画面からのリダイレクトを停止する

なお、WordPressはサイトURL+/wp-admin/という管理ページのURLを打ち込むと、ログインページへ自動的に遷移させる仕組みが備わっています。この仕組みがあることによって、SiteGuard WP Pluginでログインページ名を変更しても、/wp-admin/へアクセスすればそのページ名が判明してしまう問題が生じます。

そこで、オプションとして表示されている「管理者ページからログインページへリダイレクトしない」にもチェックを入れておくことで、よりログインページを攻撃から隠す効果が期待できます。

合わせて設定しておきましょう。

その他の機能

上で触れたログインページ名の変更を除いて、SiteGuard WP Pluginで用意されているその他の機能については、まずはそのままデフォルトの設定で構いません。慣れたら少しずつ設定を見直して変更していけばOKです。

有効化後はログインページで平仮名の追加入力を求められることで、自動的に行われる攻撃から不正ログインを守ることになりますし、誰かがログインした場合にもメールで通知がなされるため、万が一の場合にもすぐ事態を把握できます。

またログイン履歴の欄を見れば、どのユーザーが何時にログインしたかのログも確認することができます。

SiteGuard WP Pluginを導入することで、以上のように不正なログインからWordPressで構築されたサイトを守る機能が多数追加されるので、何もセキュリティプラグインを導入していないとか、何から手を付けてよいのか分からないときは、このプラグインを導入してみてください。

念のため。あまりにWordPressの設定や管理に不慣れなときは、セキュリティ系のプラグインを導入・設定することで不具合が生じたり自分自身がログインできなくなってしまう危険もあります。WordPress自体のバックアップをしっかり取ってから設定してください。

The following two tabs change content below.
士業事務所のウェブ集客・活用のコンサルティングと営業用ウェブサイトの制作に13年超携わっています。 クライアントは行政書士、社労士、司法書士、税理士、弁護士等の士業事務所さんで、日本全国、幅広く対応中。 Twitter : https://twitter.com/WAMOFLOW

士業ホームページ制作に関するご依頼・ご相談

現在、新規のご相談につきましては一時的に受付を停止させていただいております。ご迷惑をおかけいたします。

ページトップへ戻る