これだけはやっておきたいワードプレスのセキュリティ強化 5つの対策
ワードプレスでホームページを作ったら、絶対にやっておきたい設定がいくつかあります。
その中でも重要なのが、セキュリティ関連の設定です。
あなたのホームページを不正アクセスから守り、ユーザーに信頼されるサイトにするために、これから紹介する対策を早速行ってみてくださいね!
ワードプレスでセキュリティ強化が大切な理由
ホームページのセキュリティ対策が不十分だと、不正アクセスされる恐れがあります。不正アクセスされると、どんなリスクがあると思いますか?
不正アクセスされると…
- ホームページが改ざんされてしまう
- ホームページや情報が乗っ取られてしまう
- ホームページがウイルスに感染してしまう
- クレジットカードの情報など、ユーザーの個人情報が流出してしまう
- ドメインから、大量のスパムメールが送信されてしまう、など
この中で最も怖いのは、ウイルスに感染してしまうこと。
ウイルスに感染した時のよくある事例
- 海外の怪しいサイトに自動でリダイレクトしまう
- ホームページが表示されない
- サイト内のデザインが崩れる
- サイトの表示速度が極端に遅くなる
ウイルスに感染した時の対応は2つ
- ホームページを消して、最初から作り直す
- 大規模なウイルス除染対応をするか
最初から作り直すのは現実的ではないので、ほとんどの場合、ウイルス除染を選ぶと思います。
費用は除染専門の業者に依頼すると、15~20万円ほど、サイトの規模が大きな場合は損害賠償まで含めるともっと高額な金額がかかる場合もあって、コスト的にも大きなダメージがあります。
しかも、ページ内にウイルスの感染源のコードが1つでも残っていれば再感染してしまうので、「完全除去」は専門業者でも難しいんです。
こんな風に一度ウィルスに感染すると、常に不安が拭えなくなってしまいます。そうならないためにも、サイトを設置したらすぐにセキュリティを強化して、対策をすることをおすすめします!
セキュリティ強化でやるべき5つの対策
- 常時SSL化する
- セキュリティプラグインをインストール
- 自動更新でワードプレスをバージョンアップをする
- サーバー内 PHPのアップデート
- 定期的にワードプレスのバックアップを取る
対策1
常時SSL化する
SSL化とは
インターネットでのデータのやりとりを暗号化し、第三者に情報を見られないようにする方法。「Secure Sockets Layer」の略称。
常時SSL化とは
ホームページ内のすべてのページに、SSLを導入する設定。
インターネット上には、個人情報などのデータを盗もうとしたり、サイトを改ざんしようとする犯罪者がいます。そんな犯罪に備えて、「SSL設定」でデータを暗号化しておけば、情報漏洩の被害にあうリスクがグッと下がります。最近は、GoogleもSSL化を推奨しています。
Google chromeの場合、SSL化されていないページは「このサイトへの接続は保護されていません」と警告が表示されることもあります。この表示が出ると、ユーザーは「なんだか怪しいページかも?」と不安になり、アクセスをやめてしまう場合もあります。
信頼性を高めるためにホームページの「常時SSL化」は必須です!
本来はサーバーにワードプレスをインストールしたタイミングでやっておくべき設定です。でも、SSL化していない人も多いので、まずは自分のホームページがSSL化されているかどうか、チェックしてみてください。SSL化されているかの確認方法
確認する方法はとっても簡単。サイトのURLをチェックするだけです。
本来はサーバーにワードプレスをインストールしたタイミングでやっておくべき設定です。でも、SSL化していない人も多いので、まずは自分のホームページがSSL化されているかどうか、チェックしてみてください。
SSL化されているかの確認方法
確認する方法はとっても簡単。サイトのURLをチェックするだけです。
https:// | httpの後に「S」があるなら、SSL化されてる |
http:// | httpの後に「S」が無いなら、SSL化されていない、SSL化が必要 |
httpの後に「S」があり、「https://」となっていたらSSL化されているとすぐにわかります。
常時SSL化をする2つのステップ
常時SSL化は、サーバーとワードプレスの両方で設定が必要です。
- 手順1:ワードプレスを設置しているサーバー側で設定
- 手順2:ワードプレス側で設定
2つのステップを順番に説明します。
あなたが使用しているサーバーで設定します。5つの人気サーバーの、設定方法のリンクを紹介しますね!
各サーバーで、無料プランと有料プランがありますが、セキュリティの機能に差はないと言われています。基本は無料プランでOK。
有料のSSLは、厳しい審査の上でサイトの所有者が実在していることを証明できるので、より信頼度を高められるというメリットがあります。ただしユーザー側からは、無料か有料か分かりません。
<無料SSLと有料SSLの違い>
無料:ドメインの証明
有料:ドメイン+サイト所有者が実在していることの証明
<有料のSSL化を検討したいのは>
・クレジットカード情報を扱うECサイト
・顧客情報の管理システムを使用するサイト など
個人情報を扱うサイトの場合は、有料のSSLを検討してもよいと思います。エンドユーザーに信頼してもらうため、そしてトラブルが発生した時のためです。ただ、有料SSLは費用が年間3万~16万くらいと高額で、毎年支払うことになります。費用対効果を十分に考えた上で検討してみてください。
無料にするか有料にするかは、ホームページの規模や用途で選んでください。(有料プランは、法人や企業のホームページで使われることが多いようです)
各種有名所のサーバーのSSL設定リンクはこちらを参考にしてくださいね。
サーバーでSSLを設定しても、ワードプレスで設定しなければ常時SSLは有効になりません。忘れずに設定する必要があります。
事前準備
ワードプレスで常時SSL化の設定をする前に、必ず確認してほしいことがあります。それは、サーバー側のSSL化申請にパスし、サイトで機能しているかどうかの確認です。
確認方法
- https:// で始まるURLを、ブラウザに入力してアクセス
- サイトが表示されていればOK
上記を試してページが表示されない状態で、ワードプレスをSSLに設定してしまうと、
- 「SSL化されていません」というエラー画面になる
- ログイン画面すら表示されない
- サイトが見れない
という状態になります。もしそうなった場合でも、時間をおいてSSL化が機能し始めればアクセスできるようになりますが、混乱を避けるためにも事前に確認が必要です。
事前準備が終わったら、ワードプレスでの常時SSL化の設定をしてください。
まず、ワードプレスにログインし、
- ダッシュボードの「設定」、「一般」をクリック
- WordPressアドレス(URL)と、サイトアドレス(URL)の「http://」を、「https://」に変更します。
設定は以上です。とっても簡単ですね。
対策2
セキュリティプラグインをインストールする
セキュリティプラグインをインストールするのは、最も手軽なセキュリティ対策です。初心者でも3分でセキュリティ対策ができますよ。
おすすめ 初心者向けセキュリティプラグイン
セキュリティプラグインでは珍しい国産のプラグイン。
日本語に完全対応していて、機能面も操作性も高く人気です。
不正アクセス対策に特化しており、基本的なセキュリティ対策を行えます。「管理ページアクセス制限」、「ログインページ変更」など
多くの機能を分かりやすく操作できます。
All In One WP Security & Firewall
総合的なセキュリティ対策プラグイン。
ファイアウォール(不正アクセスをブロックするシステム)を導入可能。
右クリックによる操作(コピーなど)を禁止することも可能です。
日本語対応。
海外で人気のセキュリティプラグイン。
さまざまな攻撃を想定した、オールインワンタイプ。
禁止ユーザーの設定や、パスワードを割り出されてしまうブルートフォース攻撃に対応できます。
インストール後、一部日本語の対応も可能。
「SiteGuard WP Plugin」でできるセキュリティ対策
ここでは、おすすめのセキュリティプラグイン「SiteGuard WP Plugin」について説明します。
【SiteGuard WP Pluginのおすすめポイント】
- 日本製のプラグインのため、基本的に日本人にわかりやすい
- 有効化してから1クリックでURLが変更可能
- 管理ページへのアクセス制限も設定できる
- 画像認証も自動で適応される
- 画像認証はひらがな
インストール後、すぐに設定したいのは「ワードプレスのログインURLの変更」です。
実は、初期設定のログインURLは誰でも知ることができ、不正ログインされやすいんです。
初期設定を変更していない場合、ログインURLは
あなたのホームページのURL/wp-login.php/
または
あなたのホームページのURL/wp-admin/
「そんな簡単に特定されてしまうなんて、こわい!」と思った方も多いかもしれません。
下記の記事を参考に、今すぐにログインURLを変更することをおすすめします。
対策3
自動更新でワードプレスをバージョンアップをする
「ワードプレスのバージョンをアップデートすると、データが壊れそうで怖い」「不安だから更新しない」。
こんな風に、ワードプレスのバージョンアップに躊躇する声をよく聞きます。
でも最新バージョンに更新しないと、不正ログインやウィルス感染の危険性が高まります。
万が一、更新が理由でホームページに表示崩れが起きたとしても、バックアップデータがあれば復旧できます。でも、一度ウィルスに感染すると、完全復旧は難しいです。費用の面でも、表示崩れを直す費用よりも、ウィルス感染の対応費用の方がずっと高額です。
更新するメリットとデメリットは、専門家の目線ではメリットの圧勝! 最新バージョンがリリースされたら、すぐに更新するのがおすすめです。
バージョンアップの種類
ワードプレスのバージョンアップは2種類あります。
- メジャーアップデート
大規模なアップデート。新機能の追加、大規模なプログラム変更など - マイナーアップデート
セキュリティの脆弱性対応、細かい不具合の修正対応
ワードプレスは5.6以降、メジャーアップデートもマイナーアップデートも自動更新がデフォルト設定となっています。手動更新を選択することは可能ですが、あまりおすすめはできません。
「それもやっぱり不安…」という人は、マイナーアップデートだけでも自動更新するのがおすすめです。その際は、メジャーアップデートの手動更新を忘れないよう、十分に注意してくださいね。
ワードプレスは、こまめにバージョンアップするようにしてください。その理由は、大幅にアップグレードすると、大きな不具合が発生することもあるからです。こまめにアップグレードしておけば、不具合が発生するリスクを最小限に抑えることができます。
自動更新でアップデートするデメリット
まれに、サーバー側のPHPやプラグインとの互換性が合わなくなり、表示崩れを起こす場合があります。
(※PHPについては、このあと解説します)
でもわたしの経験上、市販のテーマであれば、アップデートが原因で表示崩れが起きたことはほとんどありません。
自動更新の注意点
自動更新設定をするときに注意したいのは、市販のテーマではなく、オリジナルテーマを使用してホームページを制作している場合です。
テーマが最新のワードプレスに対応していなくて、サイトが崩れてしまうケースがあるからです。テーマの制作者に「自動更新設定をしても問題ないか」と確認してから設定してくださいね!
対策4
サーバー内 PHPのアップデート
ワードプレスを最新バージョンに更新したときに、表示崩れなどの不具合が発生する場合があります。
その原因として多いのが、サーバー内の「PHP」のバージョンに問題があることです。
PHPとはワードプレスを構築するプログラム言語のこと。PHPが適切なバージョンでなければ、ワードプレスが正常に稼働できません。
ここでは、
- PHPのバージョンに関する注意点
- PHPのバージョンを、ワードプレスで確認する方法
- PHPのバージョンを、サーバーから確認する方法
- PHPをアップグレードをする際の注意点
- 大幅にPHPをアップグレードする場合の注意点
- 豆知識
をお伝えします。なお、ワードプレスの最新の推奨環境は公式サイトのこちらのページから確認できます。
1.PHPのバージョンに関する注意点
PHPは、必ずしも最新バージョンが良いとは限りません。PHPの最新バージョンに、ワードプレスが追いついていない場合があるためです。
PHPのバージョンは、ワードプレスのバージョンの推奨環境に合わせるのがベター。たとえば、ワードプレスの最新バージョンが「PHPは7.4以上推奨」であるなら、PHPは7.4にしておくイメージです。
2.PHPのバージョンを、ワードプレスで確認する方法
- ダッシュボードの「ツール」から、「サイトヘルス」をクリックします
- 情報を選択し、「サーバー」を選択します。
- サーバー内に「PHPバージョン」という項目があり、現在のPHPバージョンを確認することができます。
3.PHPのバージョンを、サーバーから確認する方法
人気のサーバーごとに、PHPバージョンを確認できるリンクをご紹介します。
4.PHPをアップグレードをする際の注意点
同じPHPをワードプレス以外(顧客リストやメルマガ等)で使っている場合は、そちらにも影響が出る場合があります。PHP同様、推奨環境のチェックが必要です。
5.大幅にPHPをアップグレードする場合の注意点
大幅にPHPをバージョンアップすると、ホームページに不具合が生じる場合があります。
そのため、必ずワードプレスのバックアップをとってからPHPをバージョンアップしてください。
6.豆知識:PHP以外で、ワードプレスが影響を受けるものは
ワードプレスに影響があるのはPHPだけではありません。PHPのほかにMySQL 、MariaDBというデータベースも、関係しています。データベースは更新頻度が低く、PHPのように頻繁にアップグレードされません(数年に一度程度)。
また、データベースのアップグレードは、PHPのように自分で行うのは非常に難しいので、もし、データベースが最新のワードプレスの推奨バージョンと異なる場合は、プロに相談してくださいね。
ワードプレスのあらゆるお困りごとのご相談に乗っています。ホームページ保健室をご利用ください。
対策5
バックアップを定期的にとる
バックアップを定期的にとっておくと、
- ホームページに表示崩れが発生した
- アップデートでバグが起きた
- データがおかしくなった
- 突如文字化けした
こんなトラブルが発生した場合も復旧できるので安心です。
バックアップにおすすめのプラグイン
次の2つのプラグインがおすすめです。
「BackWPup」
ファイルデータ・データベースのバックアップができます。
「万が一に備えてバックアップしておきたい」という方は、「BackWPup」で十分だと思います。
「all in one migration」
テーマやプラグインも含めて、サイトをすべてバックアップできます。
「サイトの全データを、しっかりバックアップしたい」という方には「all in one migration」がおすすめです。
テーマやプラグインも含めて、サイトをすべてバックアップできるので、全データを失うことがありません。ただし、無料版はデータ容量に制限があるため、サイトが大きい場合は有料になります。
プラグイン「BackWPup」でバックアップする方法
BackWPupは英語表記ですが、ラウザの翻訳機能を使うことで、手軽に日本語表記に変更できます。
https://backwpup.com/docs-category/getting-started/
バックアップの手順
保存する際は
- 定期保存で設定
- 「データベースのバックアップ」と「ファイルのバックアップ」にチェックを入れる
で設定します。
「バックアップファイルの保存方法」は、「メールでバックアップを送信」がおすすめです。
メールでバックアップがおすすめの理由
バックアップデータは容量が大きいので、定期的にバックアップを取っていると保存が大変です。
そこで4つある保存方法の中でおすすめなのが、「メールでバックアップを送信」。バックアップデータをメールで受信すると、メールサーバーに保管しておけるので、次のようなメリットがあるからです。
- パソコンのデータ容量を気にしなくていい
- メールがたまっていくと、古いメールは自動で消去されていくので、新しいデータだけ保存しておける
やり方はとっても簡単。
- バックアップ用のフリーメールを作成
- バックアップの方法を「メール送信」を選択
- 送信先のアドレスを、バックアップ用のメールアドレスに設定
わたしもこの方法で、バックアップを取っています!
バックアップの頻度
ホームページの更新頻度に合わせてください。週に1回ペースで更新しているなら、週末に1回。毎日更新しているなら、毎日がベストです。
ただしサーバーによっては、毎日のバックアップは負荷が大きすぎることもあります。その場合は3日に一度など、負荷がかからない程度にしてください。
時間指定できる場合は、自分のサイトにアクセスが少ない時間帯を設定するのがおすすめです。
【自動バックアップ後の注意点】
自動バックアップを設定したら、初回はバックアップがされているか確認してください。「正しく設定したつもりが間違っており、バックアップができていっていなかった」というケースがあるからです。
ホームページを作ったら、できるだけ早くにセキュリティ対策を!
ホームページを作ったら、少しでも早いタイミングでセキュリティ対策をしてくださいね!
いつ、自分が被害に合うかわかりません。
1日も早く対策をとり、ワードプレスやPHPをアップデートする習慣をつけて、リスクを回避していきましょう!
ホームページ保健室
「ホームページがわからなすぎる」とひとりで悩んでいませんか?
法人~個人まで2,500サイトを制作したWebサイト制作技術の専門家が、
ホームページの技術的なこと~運用方法まで、
なんでも解決する『ホームページ保健室』をご利用ください。
\ 何日も悩んでいたことが、一瞬で解決 /