こんにちは、プライム・ストラテジー マーケティング&セールス部のそまです。
このシリーズは、 WordPressとKUSANAGIをWebデザイナーの方と一緒に学んで行くコンテンツ「WebデザイナーのためのWordPress×KUSANAGI入門 」です。
前回は、ConoHa WINGでWordPressの立ち上げを行いました。
レンタルサーバの契約~WordPressサイトの立ち上げまで~画像付きで詳しく解説しているのでご興味あれば是非ご覧ください。 ⇒https://kusanagi.biz/webdesigner/wordpress_tips_20251028/
さて、最近ランサムウェアなどのサイバー攻撃が増えていますよね。
自分のサイトは小規模サイトだから大丈夫でしょ!そんな風に私も思っていたのですが、立ち上げて二日で100回ほどの攻撃にあっていました。(笑)
というわけで今回は、最初にやっておくべき最低限のセキュリティ対策6選についてご紹介します。
セキュリティ対策って何をすればいいかわからない!という方にもわかりやすくお話しますのでコラムを読みながらすぐに対策していきましょう!
最初にやっておくべき最低限のセキュリティ対策6選
セキュリティ対策について何をすべきか?まずは以下内容をご覧ください。
- 管理画面を隠す(Basic認証)
- ログイン周りのパスワードを複雑にする
- SSLを有効にする
- セキュリティプラグインを入れる
- バックアップを有効にする
- WordPressコア・プラグインテーマを最新にする
内容によっては、ご契約のレンタルサーバの無料サービスで対応できることがありますのでご確認ください!
今回もConoHa WINGでの手順でご紹介していきますね。
WordPressサイトの管理画面を隠す
まずは「1.管理画面(ログイン画面)を隠す」です。 管理画面を隠さなければいけない理由についても解説していきます。
WordPressにログインするとき、以下のような画面になると思います。
この画面は、自分のサイトURLの後に「/wp-admin」と入力すると確認することができます。(弊社のサイトの場合だと⇒ https://kusanagi-meetup.com/wp-admin となります。)
ログイン画面が見えていると、ここにユーザー名、パスワードを入力された場合他人に勝手にログインされてサイトを改ざんやデータを抜かれたりなど攻撃を受けてしまう可能性が出てきます。
と言っても、ユーザー名とパスワードがバレなきゃ平気…と思いませんか?実はユーザー名も簡単にバレてしまうんです。
先ほどのように、対象となるWordPressサイトURLの最後に、「/?author=1」や「/?author=2」や「/?author=3」…と入力してエンターを押してみてください。
ユーザーIDが見えてしまっていませんか?
その状態ですと、表示されたユーザーIDが含まれるページが表示されてしまいます。
ユーザーIDまでわかってしまうと、あとはパスワードを片っ端から試される「総当たり攻撃」でログインされてしまう可能性が高まる、という事なのです。
実際どんな攻撃をされるのか気になる!という方は
と言っても、どんな風に攻撃されるかは、見てみないと想像できない部分もありますよね。
12/12に開催される「WordPressとWebセキュリティの祭典 KUSANAGIサミット」では実際にどのような攻撃をされるか を実践してくれるセッションを行います。
国内ウェブセキュリティ第一人者である徳丸浩先生の名物講演です。
どんな攻撃をされるかがわかるとセキュリティ対策が自分ごとになりますのでご興味あればぜひご参加ください。
https://kusanagi.biz/event-seminar/kusanagisummit_20251212/
WordPress管理画面を隠す方法
簡単で効果的な隠し方の一つとして、「Basic認証をかける」といったものがあります。Basic認証をかけておくと、ログインする際に以下のような画面が表示され、設定したユーザ名とパスワードを入力しないと管理画面に入れないようになります。
こちらは簡易的な2重ロックとして管理画面を守るのに有効です。
デメリットとしては、管理すべき情報(ユーザー名やパスワード)が増えることですね。ユーザー名やパスワードをちゃんと管理できる!という方はおすすめの方法です。
WordPress管理画面にBasic認証をかける方法
ConoHa WINGでBasic認証をかける方法は以下の通り。
まずConoHa WINGの管理画面にログインし以下の通り進めていきます。
右端の「+ディレクトリ」を押すと、サイトのどこを守るかが出てきます。
守りたい画面のURLを入力し保存を押します。 すると、ユーザー名とパスワードを設定する画面が出てきますので入力します。
ここで「保存」をすると管理画面に入るためのBasic認証設定が完了します。 管理画面を隠せていなかった!という方は今すぐ対応してみてくださいね!
WordPress周りのパスワードを複雑にする
続いては「パスワードを複雑にする」です。 なぜパスワードを複雑にしなければならないか、は上記の「総当たり攻撃」で解説したので割愛します。
パスワードを設定する際は、「password」「123456」など想定しやすいパスワードは避けてください。(※)
IPA(独立行政法人情報処理推進機構 )ではパスワードを「できるだけ長く」、「複雑で」、「使い回さない」ものとすることを推奨しています。
パスワードを設定する際は複雑なものを設定するようにしてくださいね!
※https://eset-info.canon-its.jp/malware_info/special/detail/230412.html
SSLを有効にする
続いては、「SSLを有効にする」です。
SSLは、ブラウザとサーバの間でやり取りするデータを暗号化させる仕組みのことです。SSLを有効にすることでログイン情報などを盗み見られるリスクを減らすことができます。
SSLが有効になっていないサイトは「http://~」で始まっています。
SSLが有効になっているサイトは「https://~」になっています。
自身のサイトを確認してみてください!
ログイン情報などを盗み見られないよう、SSLは有効化しておきましょう! ConoHa WINGで SSLを有効化する手順は以下の通りです。
まずは管理画面にログイン。以下の数字の通り進めていきます。
ここまで進めたら、利用設定をONにするだけで設定が完了します!
URLが以下のようになっていれば、SSLは有効になっています。
WordPressのプラグインで「セキュリティプラグイン」を入れる
次は、「セキュリティプラグインを入れる」です。 セキュリティ関係のプラグインはたくさんあります。
選ぶ際のオススメとして、 ダウンロード数が多く更新頻度が高い(直近で更新されていること)ものを選ぶといいかと思います。
私は「SiteGuard WP Plugin」というプラグインをダウンロードしました。
このプラグインはログイン周りの防御をしっかりしてくれるので初心者の方でもお勧めです。
ほとんどの国内主要なレンタルサーバは、自動バックアップやWAF(Web application ファイアウォール)の機能が標準で入っているので最低限のプラグインでいいか、との判断しこのプラグインを導入しました。
プラグインはたくさんあるので、自身に合ったプラグインを見つけてみてくださいね!
バックアップを有効にする
続いては、「バックアップを有効にする」です。
セキュリティ対策として、攻撃されないようにすることを重視しがちですが、100%攻撃を受けないようにする、というのはかなり難しいのです。
そのため、「万が一のときに戻せるようにしておくこと」もとっても重要です!
WordPressのバックアップ方法にはプラグインを入れて対応する方法もありますが、ConoHa WINGなら設定しなくても勝手にバックアップを取っていってくれるようでした。
自動バックアップの場所は以下の手順で確認いただけます。
ConoHa WINGは1日1回バックアップ&過去14日分を復旧データとして復元することが可能なようです。万が一攻撃を受けた際は、まずはバックアップから復元することで、少なくとも改ざんされた状態からは戻すことができます。
ただし、原因となった脆弱性やパスワード漏えいの対処もあわせて行わないと、再度攻撃を受ける可能性がありますので忘れずに対処するようにしましょう。
WordPress本体・プラグインテーマを最新に
最後に、「WordPressコア・プラグインテーマを最新にする」です。
なぜWordPressのコア・プラグインテーマを最新にしておく必要があるのか?といいますと、コア・プラグインテーマの脆弱性に対しての攻撃を受ける可能性が高いからです。
アップデートにはメジャーアップデートとマイナーアップデートが存在し、すぐに対応してもらいたいものは「マイナーアップデート」です。 マイナーアップデートはセキュリティ修正のアップデートが主となりますので、脆弱性に対しての攻撃を防ぐことができます。
アップデートの種類や注意点について知りたい!という方は以下記事をご覧ください。
⇒https://kusanagi.biz/column/wordpress-core-update-baseknowledge/
実際のアップデート手順はこちら。
アップデートが必要なものがあるときは、管理画面左側のメニューの「更新」の横に数字が出てきますのでなるべく早めにご対応ください。
アップデートが面倒なら…
プライム・ストラテジーで開発している「KUSANAGI」というサーバ環境では、マイナーアップデートだけ自動アップデートできる機能もあります。
レンタルサーバでは使用できないのですが、今後クラウドでWordPressサイトを構築する必要がある…といった際は選択肢の一つとして思い出してください!
KUSANAGIについて⇒ https://kusanagi.biz/kusanagi-licenses/
無料でWordPressプラグインテーマ脆弱性の最新情報を得る方法
WordPress本体、プラグイン・テーマのアップデート情報は常に最新のものを得る必要があります。
プライム・ストラテジーでは「WordPress プラグイン・テーマ」の最新脆弱性情報をお知らせする Security Advisory for WordPressという無料メルマガを配信中です。
詳細はこちらからご覧ください。 ⇒ https://kusanagi.biz/wordpress-security-advisory/
まとめ:今すぐセキュリティ対応を!
最初にやっておくべきWordPressのセキュリティ対策6選いかがでしたでしょうか?
ConoHa WINGのレンタルサーバで、必要なセキュリティ対策を簡単に設定することができましたね。
今回ご紹介したものは簡易的な設定ではあるものの十分に効果を発揮しますので、まだ設定できていないという方はぜひお試しください!
ここがわからなかった!ここでつまずいたなどあれば私のXにコメントいただけると嬉しいです!
そまX:https://x.com/risako0917_
お気軽にお問合せを!
Webデザイナー向けWebシステム/CMS入門ページでは、Webデザイナーさんへのお役立ちコンテンツをご紹介していきます。
- Webについての知識(Webアプリケーション、サーバ知識など)
- WordPressの構築や制作の基本知識
- WordPressを超高速化する「KUSANAGI」を利用するためのノウハウ
まだまだできたばかりのページではございますが、Webデザイナーさんと一緒に課題を解決していく、という気持ちでコンテンツ制作をしてまいります。
そこで、「これが知りたい!」「これが見たい!」などご希望あればコンテンツ依頼フォームよりご連絡ください!
フォームはちょっと…という方は私のX(https://x.com/risako0917_)へご連絡いただいても大丈夫です!
執筆者/相馬理紗(プライム・ストラテジー株式会社)
WordPressのリーディングカンパニー「プライム・ストラテジー株式会社」でマーケティングをしています。
趣味は、お酒、サイクリング、ウェイトトレーニングです。
最近、WordPressサイトを一から作るため勉強中です!
YouTube頑張ってるのでよかったら見てみてください!
