SCROLL

コラム
Volume
14

あなたのWordPressは大丈夫?簡単セキュリティチェック

手軽に使え、商用・非商用を問わず利用できるということもあり、CMS(コンテンツ管理システム)として世界中で最も使用されているWordPress。多く使われる反面、不正アクセスの標的になりやすいといわれています。脆弱性が発見されることも少なくありませんので、不正アクセスなどセキュリティを心配している方も少なくないのではないでしょうか。

パソコンにウィルス対策ソフトをインストールしたりするのと同じように、WordPressもセキュリティ対策をしっかり行なっておく必要があります。
しかし残念なことに、WordPressで制作したものの、きちんとセキュリティ対策がされていないサイトをよく見かけます。

設定しておきたいセキュリティ対策はたくさんありますが、ここでは簡単にできるセキュリティチェックをご紹介します。自社のホームページがWordPressを使用しているという方は、ぜひ一度チェックしてみてください。

WordPressのバージョンが古い

まずは管理画面にログインしてください。
「ダッシュボード」を開くと、使用されているWordPressのバージョン情報が確認できます。より新しいバージョンがある場合は、上の方に「WordPress X.Xが利用可能です!今すぐ更新してください。」というようなメッセージが表示されるようになっています。

古いバージョンをそのまま使用することは、セキュリティ上の脆弱性を放置しているのと同義です。バージョンアップをして新しいバージョンを維持していくことはある意味どんなセキュリティ対策よりも重要性が高いといっても過言ではありません。本来なら、制作会社から案内があるべきところですが、音沙汰がない場合はそのあたりの意識が不足している制作会社と考えてよいでしょう。

プラグインのバージョンが古い

WordPress本体だけに限らず、導入されているプラグインについても最新版にアップデートしておくことが望まれます。アップデートは、機能追加の場合もありますが、セキュリティの不具合修正やバグ(問題)の修正が含まれていることも多々あります。常に最新版にしておくことで、セキュリティのリスクを軽減することができます。

何ヵ月も(あるいは何年も)更新せずに放置されているプラグインがある場合は、早急に制作会社にお問い合わせいただくのがよいと思います。

使っていないプラグインが放置されている

いろいろな機能を実現していくうちに、多くのプラグインを導入してしまいがちです。管理画面のメニューにある「プラグイン」を確認してみてください。もしまったく使っていないプラグインがある場合は、削除しておきましょう。

メンテナンス時など、特定の時にのみ使用するものもありますので、詳しくは制作会社にお問い合わせください。

プラグインの数が増えれば増えるだけ、リスクも増大すると考えていただいてもよいと思います。使わなくなった機能がある場合や、単に「便利かも」というようなレベルのものは、できれば削除しておいた方がよいでしょう。「有効」に設定されているものは、削除すると不具合が出る場合が多いので、制作会社に相談されることをおすすめします。

パスワードが甘い

忘れると困るから、といった理由で、他で使用しているパスワードを使い回していたり、簡単でごく短いパスワードを設定したりしていないでしょうか。例えば、以下のようなものが挙げられます。

  • 会社名:sincar、など
  • 担当者名:yamada、tanaka、など
  • 電話番号:0781234567、など
  • 地名:hyogo、sandashi、など
  • 英単語:rainbow、password、など

強固なパスワードの設定は、セキュリティ対策の基本中の基本です。数字だけのパスワードや、ありふれた英単語、10文字未満のパスワードなどを設定している場合は、今すぐ変更されることをおすすめします。できれば15文字以上、アルファベット(大文字、小文字)・数字・記号を織り交ぜた複雑なものがよいでしょう。

例)S%&.cRzzCf@bK9T$Ju

これくらい強いものにしておくと、ひとまず安心です。

ログインページURLを変更していない

一般的に、ログイン画面が攻撃の対象になりやすいといわれています。しかし、ログインページのURL(アドレス)は、通常そのままでは「/wp-login.php」となっており、簡単にアクセスできてしまいます。

https://www.yoursite.co.jp/wp-login.php

ログインページのURLを変更することで、機械的にログイン画面に辿り着くことが困難となり、ログイン画面への攻撃そのもののリスクを下げることができます

ログイン試行回数制限がない

ログインの際、パスワードを一定回数間違えると一定時間ロックがかかる機能がない場合も、セキュリティ対策がまだ甘いといえるかもしれません

ロックがかからないと、何度でもログインを試行できるため、総当たり攻撃(片っ端からさまざまな組み合せのパスワードでログインを試行)の対象にされかねません。仮にログインされなかったとしても、攻撃によりサーバーに負荷がかかることで、表示に時間がかかるなどの問題も発生します

バックアップしていない

厳密にはセキュリティ対策ではありませんが、何でも100%安全というものはありません。何重もの対策をしている場合であっても、できることなら、定期的にバックアップしておくことをおすすめします。バックアップがあれば、もし不正アクセスされたり、誤ってデータを消してしまったりした場合も、これまでの資産を無駄にすることなく早期に復旧することが可能になります。

ただ、バックアップが同じサーバー上に置かれていると、サーバーごと乗っ取られたり、サーバーが物理的に故障したりした場合にはせっかくのバックアップも機能しません。できれば外部(別のサーバー等)に保存することが望ましいといえます。

まとめ

実際にはもっと多くの項目がありますが、ここでは基本的な一部の対策をご紹介しました。
WordPressでサイトを構築する際には、費用面やデザイン面だけでなく、セキュリティ対策もしっかりしてくれる制作会社を選択することも肝要です

シンカーデザインでは、セキュリティ対策に力を入れています。サイトの構築時はもちろん、WordPress本体のアップデートやプラグインのアップデート、万一に備えたデータバックアップなどをセットにした「バックアッププラン」もご用意しています。