【wordpressブログのセキュリティ大丈夫！？】いますぐ簡単にできる対策

この間案件でまさかまさかのクライアントが被害を受けました。

恐ろしくなった私は、セキュリティについて調べました。

アクセス少ないとか、あまり触ってないとか、実は関係ないです。

サイトが改ざんされて悪用されたり…大量のメールが送られたり…悪いサイトに飛ばされるようになっちゃったり…

怖いですよね！！！

その中でも、無料で簡単にできるものを紹介します！

■この記事はこんな方向け！

サイトのセキュリティ対策をまだしていない方
ブログを始めたばかりの方

WordPressは被害に遭いやすい
1. 利用者が多いから
2. プラグインやテーマなどを個人が作成する場合があるから
過去にも様々な脆弱性で被害が…
wordpressのセキュリティ対策！
セキュリティを強化して、不正アクセスを防ごう！

WordPressは被害に遭いやすい

はじめに。

WordPressはとても不正アクセスの被害に遭いやすいです。

「無料で始められて、いろんなテーマやプラグインがあって、初心者でも簡単！」「世界中の４０％のサイトがWordpressで作成されているし安心！」てな感じでwordpressに入ってきた方もいると思います。

もちろん、その通りです。

ワタシ、wordpress愛してます。

けど…だから、危ないんですよね。

なんで危ないの？

利用者が多いから

そう。これです。

利用者が多いから。

悪いことする人は利用者が多いところにアタックする方が当たるかもしれないので狙ってきます。

無料で、ブラウザにダッシュボードがあって、みんながつかってる…使いやすいということは、狙いやすいということなのです。

プラグインやテーマなどを個人が作成する場合があるから

そして、みなさんが使っているプラグインやテーマ、それらは全て公式が発表したものではありません。

個人の方、企業の方が仕事だったり趣味だったりで作ったものです。

なので、不正アクセスの入り口がたくさんあるということです。

過去にも様々な脆弱性で被害が…

今回の私のクライアントのように、「検索結果を操作される」「悪質なサイトに飛ばされる」ということが身近にあったので、よりリアリティを感じて震えているのですが、他にも…

サイトを使って大量のスパムメールを送信される
個人情報などの漏洩
広告を独自のものに変えられて、収益を奪われる

など。

ブログ運営しているだけでこんなにリスクがあったら恐ろしいですね…

ってことで、出来るかぎりの対策を行っていきましょーっ！

※紹介する対策はセキュリティを強化させるものですが、必ず不正アクセスを逃れられるというものではありません。

wordpressのセキュリティ対策！

それでは具体的なセキュリティ対策を紹介します。

IDとパスワードを強固なものに変更する

最も身近で、簡単で、重要な対策です。

こんな方は危険です

IDとPASSを他のサービスでも使いまわしている
adminを使用している
予測可能なパスワードである
記号や大文字小文字の区別、数字などが混在していない

これを…

ID/PASSは覚えやすい、かつ他のサービスで使っていないものにする
IDは自分用に変更する
パスワードを複雑なものにする（記号・大文字小文字・数字の混在）

まずはパスワードを強固なものにして、簡単に通り抜けられないようにするのが大事です

最近のとあるサービスで不正アクセスが行われ、大勢のメールアドレス・パスワードなどが流出しました。

被害に遭われた方で、他のサービスで同じメールアドレス、同じパスワードを使用していたせいで、支払いアプリやショッピングサイトを不正利用される事例も発生しています。

運営は、そのサービスに登録したアドレスとパスワードを使用しているサービスのパスワード変更などを呼びかけています。

また、そこに登録してあったGmaliとパスワードからgoogleアカウントに入り、登録されているパスワードが全て流出した事例もあるそうです。

IDとPASSの扱いには十分注意しましょう。

wordpressのバージョンは最新に保つ

WordPressのバージョンは最新に保つようにしましょう。

WordPressは何かで不具合や脆弱性が見つかるとその弱い部分を修正したものを配布します。

それが最新バージョンなので、セキュリティ的に重要です。

バージョンが古いと、脆弱性が修正されないままのものを使っていることになります。

※更新前にはバックアップをローカル保存しておくと安心です。
（後ほど説明）

更新があればダッシュボードの上部に案内が出てきます。

「今すぐ更新してください」をクリックし、

青いボタン「バージョン 6.3-jaに更新」（日本語の場合）をクリックすると更新されます。

PHPのバージョンに注意

バージョンの数字が大きく変わる更新をする場合は、PHPのバージョンが対応していないと、wordpressのサイトが真っ白になってしまう恐怖があります。

PHPのバージョンが対応しているか確認しましょう

プラグインとの互換性に注意

WordPressのバージョンを最新にしても、有効化しているプラグインがそのバージョンに対応していないと、エラーを起こす可能性もあるので、プラグインも確認してから行います。

プラグインやテーマのバージョンは最新に保つ

プラグインやテーマも更新があれば最新に保つようにします。

こちらもWordpressのバージョンと同じで、脆弱性などの不具合が確認されたら更新を要求してくるからです。

また、プラグイン作成者が長い間更新をしていないプラグインも存在します。

そして、しばらく更新されていないプラグインは同じ機能を持った別のプラグインに切り替えることをお勧めします。

更新されているかどうかは、「ダッシュボード」→「プラグイン」→「インストール済みプラグイン」から「詳細を表示」をクリックします。

そして右側の以下の部分で確認できます。（書いていないものもあります）

使用していないプラグインやテーマは無効化ではなく削除する

今使用していない不要なプラグインは、無効化するのではなく削除するようにしましょう。

無効化では、プラグインはそのWordpressに存在している状態です。

削除すればWordpressからなくなりますので、不正アクセスの入り口を塞ぐことができます。

バックアップは日頃から取っておく

書き換えなどがあったときのために、日頃からバックアップは取っておきましょう。

ローカル環境（自分のpcなど）に保存するとさらに安心ですね。

ただ、今回のクライアント不正アクセスではアカウントを乗っ取られ、バックアップや修正などをしても修復不可な状態になったりしたので、バックアップがあればあんしん、とはいえません。

そういうこともありますが、違う場合だと直せる可能性もあるので、バックアップは取っておきます。

私はUpdraftPlusをお勧めしています。

セキュリティプラグインを入れる

セキュリティプラグインを入れて対策をするのも可能です。

サイト強化系では「SiteGuard WP Plugin」がお勧め。

有効化するだけなので、簡単に扱えます！

サーバの機能を利用する

サーバのセキュリティ機能を利用すると、サーバ側で対策を行ってくれるので安心です。

私が使っているconohaWINGではON/OFFの切り替えで簡単にサイトセキュリティ機能を利用することができて簡単、安心、便利です。

脆弱性情報をこまめにチェックする

脆弱性情報はこまめにチェックするようにしましょう。

脆弱性情報については、こちらのサイトで確認できます。

→JPCERTCC

xml-rpc.phpを無効化する

xml-rpc.phpはサイバー攻撃に狙われることが多いので、こちらをシャットダウンしてしまいましょう。

.htaccessに以下を書き込みます

<files xmlrpc.php>
order deny,allow
deny from all
</files>

アプリから記事を投稿している人はできなくなるので注意！

セキュリティを強化して、不正アクセスを防ごう！

ブログライフを楽しむために、対策は十分に行っていきましょう！

サーバでセキュリティ対策するなら conoha WING　♪