WordPressを自社で管理するためには、必要最低限の知っておいた方が良い保守管理の知識というのがあります。
どのレベルで細かく項目を抽出して行こうかと考えていたのですが、今回は重要なものから16項目に絞って、持っておいて欲しい保守管理の知識をお伝えしていきます。
自社管理運営の参考にしていただければ幸いです。
では早速内容に入ってまいります。
ユーザー名とパスワードを強固にする
WordPressのユーザー名は自由に決めることができますが、昔のWordPressサイトで未だに過去のデフォルトのユーザー名である「admin」を使っている方も見受けられます。
この場合直ちにユーザー名の変更をする必要があります。
ハッカーにとってはあまりに簡単すぎるターゲットで、自ら危険を呼び込んでいるという認識が必要です。
また、複雑なものにすると分からなくなってしまうというわけで、ユーザー名とパスワードを他のWebサービス(Amazonや楽天や会員ログインが必要なサイトのものです)でも使っているいつもの文字列にされている方も多数いらっしゃいます。
例えば同じユーザー名とパスワードを、50サイトで使い回しているとすれば、その50のサービスのうちどれかで情報漏洩した場合に、他の49か所でもログインされる可能性が出るということです。
忘れないからとか覚えている文字列だからということで、ユーザー名やパスワードを使い回すのは危険極まりない行為となります。
弊社の場合はパスワード生成ツールを使って、ユーザー名の文字列を複雑なものにするだけでなく、パスワードも、少なくとも20桁以上の半角英数小文字大文字記号などを織り交ぜた、他とは被らない使い回しをしていないオリジナルな文字列を設定しています。
POINT!
まず最初に誰でも簡単にできるセキュリティを高めるポイントは、ログイン時のユーザー名とパスワードの文字列の複雑化と使い回しをしないということになります。
文字列を複雑にしても、いくつものサイトで同じものを使い回すことは意味がありませんので、そこにも意識を向けていただけますよう、お願いいたします。
ログイン画面を変更する
WordPressのログイン画面は、ドメインごとに異なりますが、それ以外は例えば下記のようなアドレスになっています。
- https://yourdomain.com/wp-login.php
- https://yourdomain.com/wp-admin/
「yourdomain.com」の部分にご自身のドメイン名が入ります。
つまりWordPressサイトであるかどうかの判定は、簡単にはトップページのアドレスの下に、「wp-login.php」「wp-admin」を追加して、アクセスをしてみると誰でも他のサイトがWordPressかどうかを知ることができます。
このようにドメインの下は同じ文字列でログイン画面にアクセスできてしまうので、そのままにしておくとハッカーにとっては簡単に入り口が特定できることになります。
この対策として、WordPressではセキュリティ強化のため、ログイン画面をプラグインで簡単に変更することができます。
POINT!
プラグインは重くなるから使いたくないという方は、カスタムPHPを追加してログインURLを変更する方法もあります。
弊社でお勧めしているサイトガードというプラグインですと、セキュリティに関する機能がパッケージ化されていますので、最低限のセキュリティを施しておきたい方には導入を推奨しています。
管理画面へのアクセスを制限する
WordPressの管理画面には、サイトの様々な設定が行えますが、この画面に不正なアクセスが行われると、サイトが乗っ取られたり、破壊されたりする可能性があります。
そのため、WordPressの管理画面へのIPアドレス制限や、パスワードによるアクセス制限などをかけることもできます。
WordPressの管理画面への許可IPアドレスを設定することも「.htaccess」ファイルを使えば簡単に行うことができますが、グローバルIPアドレスは頻繁に変更がありますので実務上の効率化を優先してこの設定は行わないことも多いです。
アクセスするユーザーが決まっていてなおかつ固定IPアドレスを使っている場合はこの制限をかけておいても問題ありません。
POINT!
ただし担当者が変わったり、業務を引き継いだりする可能性がある場合に「.htaccess」の記述部分が分かる管理者がいなければその部分に制限がかかっているということを見つけるまでに時間がかかることが考えられます。
設定箇所を見つけるまでに時間がかかったり、設定変更できるまでサイトの更新ができなかったりする可能性もありますので、「.htaccess」を触る際には、複数人がその設定を認識し、いつでも修正作業ができる状態にしておくことが望ましいといえます。
テーマやプラグインを厳選する
WordPressのテーマやプラグインは、多数の開発者から提供されています。
しかし、すべてのテーマやプラグインが信頼できるわけではありません。
基本的にはWordPressの管理画面から呼び出して表示されるプラグインを使うことが望ましいです。
POINT!
WordPress側の審査が通ったプラグインがWordPressの管理画面から表示されるのですが、長期間更新されていないものも多数あります。
バージョンアップが止まっているプラグインは、そのまま使い続けるのはリスクが伴いますので、代わりのプラグインに置き換える必要があります。
使わないプラグインは削除する
WordPressのプラグインはセキュリティ上の脅威となることがあります。
使わないプラグインは削除し、WordPressのインストールフォルダ内に置いたままにしないようにしましょう。
有効化していないプラグインも、アップデートせずに放置していれば外部からの攻撃者に付け入る隙を与えることにつながります。
継続的なアップデートをして現在進行形で使っているプラグイン以外は、全て削除しておくことが運営では望ましいと言えます。
WordPress本体・テーマ・プラグインの最新バージョンを常に使用する
WordPressの最新バージョンには、セキュリティ上の脆弱性を修正する「修正プログラム」が含まれます。
最新バージョンにアップグレードすることで、WordPressに付け入る隙をなくし、攻撃を受けるリスクを減らすことができます。
テーマやプラグインに関しても本体と同じで、脆弱性が見つかった場合は直ちに修正バージョンが公開されます。
WordPress管理画面の赤いランプで更新が必要なプラグインがすぐにわかるようになっています。
最新バージョンを利用することで、ネット上至る所で行われているログインアタックや脆弱性に対する攻撃を受けるリスクが減ることになります。
ただしWordPressの各バージョンのアップデートを行う際には、安定的に稼働状態になったバージョンをアップデートすることがおすすめです。
更新のお知らせの赤いランプがついたからといってすぐに更新ボタンを押してしまえば、開発者がテスト段階で問題がないと判断した最新バージョンであっても、ユーザーが使い始めて不具合が見つかる可能性があるからです。
POINT!
最新バージョンに更新されて、何らかの不具合があれば開発者にユーザーからフィードバックされるのがオープンソースの利点です。
本体テーマプラグインのどれにも言えることですが、更新のお知らせが来てから1日ほど経過して安定的に運営されていると確認が取れたものをバージョンアップさせる形で、一旦一呼吸おくことをお勧めいたします。
ただし緊急のセキュリティアップデートである旨、開発元で告知されている場合はこの限りではありません。すぐにバージョンアップを行いましょう。
定期的にWordPressをバックアップする
誤った操作や、外部からの攻撃などの万が一の場合に備えて、WordPressのデータベースや画像等のファイルを定期的にバックアップすることが重要です。
バックアップを取っているとその時点の状態にサイトを復旧させることができます。セキュリティ対策と同時に行うように心がけてください。
POINT!
バックアップデータを複数保存することも有効です。サーバー側での保存、ローカルパソコンへの保存、自社クラウドスペースへの保存など、複数の場所に保存しておくことでデータを失うリスクを減らすことができます。
セキュリティ対策のプラグインを導入する
WordPressには、セキュリティ対策を行うためのプラグインが多数存在します。一番のおすすめはサイトガードというプラグインですが、このようなセキュリティ対策プラグインを導入することで、セキュリティレベルを向上させることができます。
POINT!
もちろんセキュリティ対策プラグイン自体にも脆弱性が見つかることがあるので、セキュリティプラグインのアップデートがあった場合は優先的に更新するようにします。
ファイルのアップロードを制限する
WordPressには、画像や動画などのファイルをアップロードできる機能がありますが、この機能が悪用され、悪意のあるファイルがアップロードされる可能性があります。
そのため、ファイルのアップロードを制限することで、セキュリティを強化することができます。
POINT!
1.最大アップロードサイズの制限
WordPressでは、アップロードするファイルの最大サイズを制限することができます。
この制限は、php.iniファイルのupload_max_filesizeやpost_max_sizeなどの設定で変更することができます。
2.ファイルの種類の制限
WordPressは、アップロードできるファイルの種類を制限することもできます。
これにより、サイトにアップロードされる危険なファイルを制限することができます。
この設定は、.htaccessファイルに追加することで行えます。
不正アクセスを防ぐ
WordPressサイトにアクセスできる管理者や編集者のアカウントを、適切な権限設定で制限することが重要です。
過去にWordPressの管理権限を持つユーザーを10人以上設定しているサイトの保守を依頼されたことがありました。
そのうちの一人のユーザーのユーザー名とパスワードが何らかの形で外部に漏れ、不正なプログラムをWordPress内に削除しても削除しても設置されるという事態が起こりました。
ちなみにこのときの対応としては、サイトを全て削除したのはもちろん、サーバーの契約も解除し、別のサーバー会社で契約した上で新規再度一から構築する形になりました。
このように、不正アクセスがあり、さらに内部に侵入されるようなことがあれば、企業のサーバー移転も余儀なくされるほど大変な事態になります。
POINT!
1つのウェブサイトだけを運営管理しているサーバーですと被害は1サイトだけに止まるのですが、メールサーバーとして従業員50名のメールアドレスも管理しているといった場合、そのリカバリーにかかる労力は大変なものになってしまいます。
このような不正アクセスは、1度でもあったら終わりというほどの危機意識を持っていただき、常にセキュリティには目を光らせておくことが今の時代は求められています。
適切なファイルパーミッションを設定する
ファイルパーミッションは、ファイルやディレクトリへのアクセス許可を制御するための重要な機能です。
WordPressのディレクトリやファイルのパーミッションは、通常755または644に設定されていますが、セキュリティ上の理由からこれらのパーミッションを変更する必要がある場合もあります。
不適切なファイルパーミッションを設定すると、ハッカーがあなたのサイトのファイルにアクセスして変更できる可能性があります。
セキュリティのために、WordPressのファイルとフォルダーのファイルパーミッションを適切に設定しましょう。
POINT!
ファイルパーミッションの変更は主にサーバー側からFTPを通じて行いますが、このFTPへのアクセスの制限もかけておくことが望ましいです。
一般的にはアクセスできる端末を個別に指定しておくIPアドレスで制限をかけておくことが、シンプルで簡単な方法なのですが、セキュリティとしては何もしないよりもかなり高めることができます。
SSL証明書を導入する
SSL証明書を導入することで、通信内容を暗号化することができます。
HTTPS通信を実現するためにSSL証明書を導入して通信内容を保護することは、現在のWebでは標準化されています。
SSLはSecure Sockets Layerの略です。
こちらはWordPressを設定する際にhttpsにしておくことで問題ありません。
サーバー側からhttpsに設定し、WordPressの管理画面の一般設定からも、「WordPressアドレス(URL)」と「サイトアドレス(URL)」のどちらもhttpsに修正しておくことで、SSLの証明書の導入は完了します。
POINT!
SSLの証明書はサーバー会社からは有料のものを勧められるかと思いますが、無料のものでもセキュリティのレベルは全く同じですので、特にこだわりがなければ無料のSSLを使うことをお勧めいたします。
無料のSSLは「Let'sEncrypt」という非営利団体が提供するSSL証明書になります。
アクセスログを監視する
WordPressのログは、サイトにアクセスした際の情報や、エラーが発生したときの詳細な情報などを記録しています。
これらのログは、セキュリティ侵害の証拠を取得するために非常に重要な役割を果たします。
ログを監視することで、不正アクセスや攻撃が行われた場合に、その原因や経緯を特定することができます。また、定期的にログをチェックすることで、攻撃を未然に防ぐことができます。
WordPressサイトに不正なアクセスがある場合、セキュリティに関する問題が発生する可能性があります。
ログインの失敗やブロックされたIPアドレスなど、不審なアクティビティを監視するためにログを定期的にチェックすることが重要です。
POINT!
エックスサーバーでは下記の10項目のログが取得できます。
- バーチャルホスト
- IPアドレス
- クライアントユーザー名(*)
- 認証ユーザー名(*)
- タイムスタンプ
- "メソッドURI+QUERY_STRING"
- ステータス
- 転送量(単位:バイト)
- リファラ(アクセス元URL)
- ユーザエージェント
※エックスサーバーのアクセスログページ参照
XML-RPCを無効化する
WordPressはデフォルトでXML-RPCを有効にしていますが、このプロトコルは悪意のある攻撃者による拡張的な攻撃の標的になりやすく、無効化することをお勧めします。
XML-RPCは、WordPressから外部のアプリケーションやサービスに対して、投稿やコメントなどのアクションを実行するためのAPIを提供するものです。無効化するには、.htaccessファイルにこちらのコードを追加します。
# Disable XML-RPC
<Files xmlrpc.php>
Order Deny,Allow
Deny from all
</Files>
POINT!
サーバーサイドのセキュリティを強化する
WordPress自体が脆弱性を持つことは少ないですが、
サーバー自体が攻撃の対象になることがあります。
いわゆるレンタルサーバーやマネージドサーバーを使っている場合は、これらのセキュリティ対策は常にサーバー会社が行なってくれますので、WordPress管理者側で心配することはほとんどありません。
サーバー側のセキュリティを強化するためには、以下の対策が考えられます。
- サーバーソフトウェアやOSのアップデートを定期的に行う。
- サーバーソフトウェアやOSに適切な設定を行う。
- 不要なサービスやプロセスを停止する。
- ファイアウォールやセキュリティソフトを導入する。
- サイトのバックアップを作成する
これらの機能が正常に導入されているかどうか、時々サーバーの管理画面にログインしたり、サーバー会社から送られてくるメールやサイト上のお知らせをチェックすることで確認しておくことが必要です。
POINT!
せっかく提供されている機能が、それを知らなかったばかりに「オフ」になっているといったこともあり得ますので、サーバー側のセキュリティ機能のアップデートとその設定方法などの確認は継続的に行っていく必要があります。
WordPressのコアファイルを保護する
WordPressにはシステム本体とデータベースを接続するコアファイルなど、重要な情報が記載されたファイルが複数あります。
たとえば、「wp-config.php」などはその最たるものです。
これらのファイルを保護することが重要です。
ファイルの読み取りと書き込みのアクセス許可を最小限に抑えること、また、重要なファイルを変更できるのは管理者のみであることを確認してください。
管理者が一人だけの場合、勝手知ったる担当者が退職した場合に大いに困ることがあります。
そのような場合、Webサイトのセキュリティ対策やコンテンツの更新が止まってから焦らないためにも、弊社のようなWordPressの保守管理を専門として提供している会社のサービスを利用しておくことは意味のあることだと考えています。
POINT!
保険的な意味合いからも、企業の営業のコアとなるWebサイトを運営している企業にとって、信頼できる保守管理サービスを提供している会社とコミュニケーションを取っておくことは、継続企業の観点からも非常に重要な内容となります。
外部リソースを注意深く扱う
WordPressサイトでは多くの場合外部のリソースを使用しています。
例えば、外部のファイル共有サイトからのダウンロード、外部APIからのデータ取得、または外部のウェブサイトへのリンクなどです。
これらのリソースは、信頼できる提供元からのみ取得するようにしなければなりません。
例えば外部リンクを貼っている場合、リンク先の会社のドメインが、別の会社や不正に情報を取得しようとする第三者のサイトに書き換えられていないかなど、定期的にチェックする必要があります。
POINT!
もちろんリンク先でなく、その他の外部リソースには脆弱性が含まれる場合もありますので、リンク先のチェックツールなどで定期的にチェックしておくことが必要です。
今回16項目のセキュリティ確認事項を見てきましたが、ウェブサイトのセキュリティは細かく見ていけばまだまだきりがないほどたくさん必要な内容があるのです。
そのためどこかで区切り線を引いておく必要があるのですが、その最低限のラインが今回ご紹介した16項目であるというご認識を持っていただけると、自社での保守対応もやりやすいのではないかと考えています。
弊社ではWordPressサイトを運営している企業様に向けて、このようなセキュリティの定期チェックを含めた保守管理サービスを提供しております。
WordPressサイトのセキュリティにご不安をお持ちの事業者様は、メールフォームから問題になっている点を教えていただけましたら簡単にお返事させていただきますのでぜひご利用ください。
投稿者プロフィール
- 2004年頃の会社員時代からブログ作成を始める。ブログ作成が楽しくなり、そのまま趣味が高じて2006年にホームページ制作で起業、2008年に株式会社ウェブロードを設立。現在は、個人・中小事業者のWordPressサイト制作・改善を中心に、Web業界18年の知識と経験を生かして、大型案件のWebディレクターとしても活動中。 プロフィールはこちら
最新の投稿
- コンテンツ制作2025年1月22日コンテンツマーケティング事例紹介【ク◯◯ルの事例】
- WordPress講座2025年1月16日WordPressのセキュリティはユーザー名とパスワードを強固にするのが第一歩目
- メルマガバックナンバー2025年1月15日海外のDDos攻撃からWordPressサイトを守る方法
- SEO・Web集客2025年1月5日BtoBビジネスを行っている事業者の方へ
お問合せフォームはこちら
弊社サービスをご検討いただきありがとうございます。
相見積もりや社内検討用など、概算お見積りのPDFが必要な場合はこちらでご入力・出力できます。
お見積りのご依頼・打ち合わせはメール/お電話/GoogleMeet等オンラインでもご対応可能です。全国からお問い合わせを受付けています。
翌営業日を過ぎても弊社からの連絡がない場合はメールが届いていませんので、大変お手数をお掛けしますが、下記メールアドレスにご連絡ください。