WordPressを始めたら最初にすべきセキュリティ対策をまとめてみた【保存版】

2017年9月30日2017年11月1日

WordPressでWebサイトを開設したらまず最初にやっておきたいのがセキュリティ対策です。

WordPressは世界で最もメジャーなCMSなので、ハッキングの標的になりやすい側面を持っています。

セキュリティ対策はしているのとしていないのでは危険性が段違いなので、確実にやっておきましょう。

今回はWordPressを開設したらやっておきたいセキュリティ対策をまとめました。今回紹介するセキュリティ対策をすべてやっておけば、セキュリティ性のはかなり高まると思います。

1 基本的なセキュリティ意識を持つ
2 WordPress本体, テーマ, プラグインは最新版を使用する
3 管理者IDを隠す
- 3.1 『Edit Author Slug』というプラグインを入れる
- 3.2 『author.php』ファイルにコードを記述する
4 プラグイン「Akismet」でスパム対策
5 ブルートフォースアタック対策をする
6 SSLを導入する
7 バックアップ環境を整える
8 データベーステーブルのプレフィックス値の変更
9 wp-config.phpにアクセス出来ないようにする
10 webサイト攻撃（SQL injection等）に対する対策
11 最後に

基本的なセキュリティ意識を持つ

基本的すぎてわざわざ書くことでもないですが、とにかく基本的なセキュリティ意識を持つことが大事です。

重要情報はWordPress内に保持しない
ID/passwordは推測されにくい物を使う（数字や大文字を織り交ぜる）
使用するPC自体のセキュリティの強化（ウィルス対策ソフトやパスワード登録をしないなど）

ハッキングの大半はID/passの漏洩や推測によるものです。

Webサイトの脆弱性よりも危険なのはあなた自身のセキュリティ意識の欠如です。

WordPress本体, テーマ, プラグインは最新版を使用する

セキュリティ対策において最も簡単かつ効果的なのが、常に最新版の状態にしておく事です。

WordPressは世界で最も利用されているオープンソースCMSなので、ハッカーの攻撃対象にもなりやすいです。

脆弱性が見つかるとその都度バージョンアップされた最新の修正版が公開されます。

プラグインやテーマも同様に、出来るだけ最新版を使うように心がけましょう。

また、使用していないプラグインは削除するようにしましょう。プラグインを有効にしていなくても、脆弱性は残ります。

管理者IDを隠す

実は、WordPressはその仕様上、管理者ID（ログインID）を簡単に調べることが可能です。

試しに自分のwebサイトのURLの後ろに、

https://サイトアドレス/?author=1

1	https://サイトアドレス/?author=1

と入力して移動してみましょう。

表示された内容にログインIDが示されてしまいませんか？

もし表示されれば、後はパスワードだけなので、ハッキングの難易度ががくんと下がってしまいます。（ハッカーの標的）

これを防ぐ手段としては、以下の方法があります。

『Edit Author Slug』というプラグインを入れる

Edit Author Slugは記事に表示される管理者IDを別の文字列に変更できるプラグインです。詳しくは以下の記事を参考にしてください。

Edit Author Slugプラグイン(投稿者アーカイブで表示されるユーザー名(Author Slug)を

Edit Author Slugプラグインは投稿者アーカイブに表示される「Author Slug」の値を別の値に変更できる ...

https://www.adminweb.jp/wordpress-plugin/list/index23.html

『author.php』ファイルにコードを記述する

サーバーのファイルマネージャーなどから『wp-content』→『themes』→『使用しているテーマフォルダ』を開きます。

使用しているテーマ（or子テーマ）ディレクトリ内に『author.php』ファイルを作成し以下のコードを記述します。（既にある場合はそちらに記述）

<?php
    wp_redirect(home_url());
    exit();

<?php

wp_redirect(home_url());

exit();

これで、管理者IDを調べるとトップページにリダイレクトされるようになります。

プラグイン「Akismet」でスパム対策

スパムとは、ブログのコメント欄などに無関係な広告などが書き込まれる行為です。

スパムコメントの対策には、WordPress公式プラグイン『Akismet』を利用しましょう。

利用方法などは、以下の記事で紹介しています。

【2017年版】スパム対策プラグイン「Akismet」の設定方法

wordpressのセキュリティ対策の一つに、スパムコメント対策があります。スパムコメントとは、ブログの ...

https://asobiseeker.com/?p=428

ブルートフォースアタック対策をする

ブルートフォースアタックとは、あらゆるパターンの組み合わせを順番に試していくバスワード解析方法で、総当り攻撃とも呼ばれます。

WordPressにおいてもブルートフォースアタックによる不正ログインの被害は多く、対策をする必要があります。

対策には、以下のような方法があります

ログインページと管理ページのアクセス制限
二段階認証などの追加
ログインURLを変更する

これらはWordPressのファイルをいじって設定することも出来るんですが、初心者には敷居が高いので、プラグインを導入することをおすすめします。

おすすめのプラグインは、『SiteGuard WP Plugin』です。国産のプラグインなので使いやすく、初心者でも簡単に使用できます。

『SiteGuard WP Plugin』の使用方法については、以下の記事で紹介しています。

WordPressのブルートフォースアタック対策プラグイン『SiteGuard WP Plugin』の使用方

WordPressは世界で最もメジャーなCMSなので、ハッキングの対象にされやすいって知っていますか？日本 ...

https://asobiseeker.com/?p=580

SSLを導入する

SSLとは暗号化通信の事で、SSLが導入されているサイトはURLがhttps://〜で表示されます。

仮に通信を傍受されていた場合、ログイン画面で入力した情報を抜き取られ不正ログインをされてしまいます。

SSLの導入はセキュリティ面においても、SEOに関しても今後WEBのスタンダードになっていきます。是非とも導入しましょう。

※参照　Googleが全面支持する「常時SSL」のSEO対策への影響とは

当サイトがおすすめするレンタルサーバーでは、SSLが無料で導入可能です。

本当に知りたいレンタルサーバー選びのポイントをまとめてみたよ！

wordpressで自分のWebサイトを持つ場合に、最初にしなければならないのがレンタルサーバー契約とドメイ ...

https://asobiseeker.com/?p=102

バックアップ環境を整える

完璧なシステムなどありえませんから、どれだけセキュリティ対策をしていても、ハッキングされてしまうときはあります。

ある日突然サイトが表示されなくなってしまったり、全く別のサイトになっていたり・・・。

万一ハッキングの被害にあってしまった場合の対処として、バックアップが必要です。

また、ハッキング被害以外にもあらゆるリスクを考えてバックアップを取ることは非常に重要です。

バックアップはレンタルサーバーの機能だけでなく、ローカル環境への定期的な保存やクラウドへの保存など、分散する事でリスクを回避しましょう。

データベーステーブルのプレフィックス値の変更

WordPressをインストールした後、デフォルトのままだとデータベーステーブル（構成データ・ファイル）には『wp_』というプレフィックス（接頭語）が使われています。

プレフィックスが『wp_』のままだとテーブル名が予測されやすいので、データベースへのハッキングが容易になってしまいます。

ログインIDがデフォルトのままだと危険なのと同じ理屈ですね。

データベースのプレフィックス値は変更しておきましょう。

ちなみに、当サイトでおすすめするレンタルサーバー『mixhost』では、WordPressの自動インストール時にデータベーステーブルのプレフィックス値をランダムで設定してくれます。（例：wp0e9_など）

もちろん、自分で好きなプレフィックスに設定することも可能です。

ミックスホストでWordPressを自動インストールしている場合にはこの設定は不要ですね。

インストール後にプレフィックス値を変更する場合は、以下の記事を参考にすると良いかと思います。

プレフィックス（prefix）とは！Wordpressのテーブル名（プレフィックス）を変更する

プレフィックス（prefix）とは、電話番号の市外局番のように、先頭に特別な意味がある場合に用います。 ...

http://viral-community.com/wordpress/wordpress-table-prefix-1305/

wp-config.phpにアクセス出来ないようにする

『wp-config.php』というファイルは、最も重要で、セキュリティを厳重にしておくべきファイルです。

このファイルには、データベースのアカウント情報が記載されているので、ハッカーの手に渡ると、データベースを直接操作されてしまう危険性があります。

そうならない為に、外部からのアクセスを制限し、パーミッション（権限）も設定します。

※パーミッションとは、ファイルの（読み・書き・実行）権限の事。

手順としては、『wp-config.php』と同じ階層の『.htaccess』に以下のコードを追記します。（『.htaccess』ファイルがない場合は新しく作成しますが、おそらく有ると思います。）

<files wp-config.php>
order allow,deny
deny from all
</files>

order allow,deny

deny from all

</files>

次に、『wp-config.php』のパーミッションを400に設定します。

これでOKです。

パーミッションの設定はセキュリティ対策の一つです。『wp-congfig.php』以外のファイルにも推奨されるパーミッションが存在します。

詳しくは、以下で解説されています。

WordPressの理想的なパーミッション設定は？権限を見直してセキュリティ強化しよう

WordPressのパーミッション設定

https://www.webernote.net/wordpress/wp-permission.html

webサイト攻撃（SQL injection等）に対する対策

SQLインジェクション、XSS（クロスサイトスクリプティング）、DDos攻撃、etc…

あまり聞いたことのない言葉かもしれませんが、これらはWEBサイトに対する攻撃方法として有名です。

攻撃の仕組みの詳細について知りたい場合は、こちらの記事でご確認ください。

SQLインジェクション

XSS（クロスサイトスクリプティング）

DDos攻撃

これらの攻撃の対策としては、WAF（ウェブアプリケーションファイアウォール）が挙げられます。

WAFとは、Webサイトの前面に配置することでWebサイト、およびその上で動作するPHPなどのWebアプリケーションを狙った攻撃を防御するセキュリティ対策製品です。F/W（ファイアウォール）やIPS（IDS）といった従来のゲートウェイセキュリティ対策製品とWAFの違いは、防御できる通信レイヤーと防御できる攻撃にあります。

参照：symantec

簡単に説明すると、WAFはSQLインジェクションやXSS等に特化したセキュリティ機能というわけですね。

WAFを個人レベルで利用するのなら、WAFを導入しているレンタルサーバーを選択するのが最も現実的です。

当サイトがおすすめするレンタルサーバーだと、mixhostにはWAFが標準で動作しています。

エックスサーバーにはWAFはありませんが、国外IPアクセス制限などはあります。（ハッキングは海外IPが圧倒的に多い）

WAFは絶対に必要！無いなんて論外！というほどではありませんが、あるに越したことはないです。