2022.08.01 コラム
【初心者向け】WordPressのセキュリティをプラグインで強化する方法
セキュリティ対策の重要性は年々高まっています。あらゆるwebサイトでWordPressは活用されていますが、セキュリティ対策を万全にしておく必要があります。WordPressはセキュリティが脆弱との指摘もありますが、初心者でも簡単に取り組めるWordPressプラグインを使ったセキュリティ対策法などについてわかりやすく紹介します。(2021年6月初出/2022年8月改稿)
WordPressのセキュリティ対策状況
WordPressとは、「CMS(コンテンツ・マネジメント・システム)」と呼ばれる、無料でブログやWebサイトを作成することができるシステムのことです。WordPressは2003年にリリースされてから現在まで幅広くつかわれており、CMSとして世界一のシェア率を誇ります。
企業のホームページから個人ブログまで世界中の人が利用しているWordPressですが、セキュリティの脆弱性が問題視されています。考えられる理由は以下の通りです。
- ・世界で最も多く利用されているCMSのため
- ・導入するハードルが低く、初心者ユーザーが多いため
- ・無料で使えるオープンソースのため、既存のセキュリティ対策が甘い(ユーザーがそれぞれ設定する必要がある)
など
ホワイトハウスやイギリス国立公文書館などのWebサイトにもWordPressが使われているほど、全世界で考えても圧倒的なユーザー数を持っています。利用しているユーザーが多いことやWebサイトが保持している情報量の多さが、狙われやすい条件となります。
また、WordPressは無料で使えるオープンソースのため、言葉のとおりプログラムコードが公開されています。そのため、プログラムを理解している人であれば、WordPressの構造が分かってしまい、脆弱な部分を攻撃しやすいということです。このような理由から、Webサイトの改ざんや、個人情報が流出されてしまう恐れがあります。
WordPressは非常に便利ですが、セキュリティリスクがあることを理解しましょう。そのうえで、どのようなセキュリティ対策ができるのか考えることが重要です。
初心者でも簡単!プラグインで対策
WordPressを使用するにはセキュリティ対策が大切ですが、以下のような悩みを持ったことはありませんか?
- ・WordPressでサイトを作ったけど、なにから手を付けて良いのかわからない
- ・正しいセキュリティ対策方法がわからず不安だ
- ・毎日届く迷惑メールをどうにかしたい
このように、どのようなセキュリティ対策をするべきか悩んでいる方のために、安全にWordPressを運用するための対策をお伝えします。
対策の一つとして、プラグインを導入する方法が効果的です。WordPressにはセキュリティ対策のプラグインが数多く用意されており、有料のものもありますが、無料で導入できるものでも効果を得ることができます。
プラグインで期待できる効果としては以下のようなものがあります。
・WordPressのバージョン情報非表示
WordPressを使ったサイトでは、なにもしないとHTMLソース中にWordpressのバージョン情報がデフォルト表示されてしまいます。旧バージョンなどで運営を続けている場合、このバージョン情報をもとにハッキングや攻撃を受けてしまうかもしれません。バージョン情報は外部に公開する必要のある情報ではありません。非公開化しましょう。また可能な限り最新バージョンに更新することが何よりもの対策となることを付記いたします。
・スパムメール/コメント防止
WordPressは標準搭載の機能を使ってスパムコメントを阻止できます。やり方としては、「コメント全体を無効」「匿名でのコメント投稿をオフ(無効化)」「コメント管理を有効化」「ログインユーザーのみコメント許可」「コメント内のリンク制限/禁止」などが設定可能です。コメントからセキュリティ攻撃につながることもありますので、しっかり確認しましょう。・データベースのバックアップ
バックアップをとることも忘れてはなりません。WordPressでは管理画面上で自動バックアップを設定することができます。管理画面へログインし、レフトメニューの「BackWPup」を選択。新規ジョブを追加することで自動バックアップが設定できます。
・パスワード強化
WordPressに限った話ではないですが、セキュリティ強度を高めるのに大事な手としてログインパスワードを強固にする方法があります。WordPressのパスワードも例外ではありませんので、使いまわしなど容易に突破されかねないパスワードは今すぐ変更しましょう。
・ファイル書き込み制限
WordPressではファイル書き込み制限を設定可能です。「ファイルパーミッションの変更」で設定を行います。ディレクトリやファイルの一つ一つにパーミッションを設定し、読み込み、編集、アクセスを誰に (何に) 許可するかを指定することでサイト改ざんなどセキュリティ事故を抑止します。
一つのプラグインだけでも、複数の機能を持ち合わせているため、WordPressサイトのセキュリティ対策をトータル的にサポートしてくれます。
▽参考ページ
一つのプラグインだけでも、複数の機能を持ち合わせているため、WordPressサイトのセキュリティ対策をトータル的にサポートしてくれます。
ただし、セキュリティ強化を意識するあまり、いくつものプラグインを導入することはやめましょう。同じ機能を持っている複数のプラグインを有効化することで、不具合が生じる場合やサイトスピードが遅くなる可能性があります。
まずは必要な機能を持ち合わせたプラグインから導入することが大切です。
より堅牢なサイトを構築するためには、プラグイン以外のセキュリティ対策ツールもあわせて利用することをおすすめします。
・SiteGuard WP Plugin
WordPressセキュリティプラグイン3選
・SiteGuard WP Plugin
インストールするだけで、WordPressの管理画面とログイン画面のセキュリティを向上させてくれます。
言語:日本語対応
・iThemes Security
禁止ユーザーの設定やブルートフォース攻撃に対応できるソフトです。インストール後に日本語化も可能です。
言語:日本語対応
・All In One WP Security & Firewall
セキュリティ対策の機能拡充だけではなく、ファイアウォールを導入可能。右クリックによる操作(コピーなど)を禁止することもできます。
言語:日本語対応
対策分類別5選!おすすめセキュリティ対策
セキュリティ対策をする目的は企業や個人によってさまざまです。無料のものから手強いサポートのものまで幅広くあります。ここではプラグイン以外で導入できるセキュリティ対策ツールを目的別に紹介します。
【ウイルス対策】
| サービス名 | ZEROウイルスセキュリティ |
|---|---|
| 提供会社 | ソースネクスト株式会社 |
| 月額費用 | 1,980円〜 |
| 初期費用 | 要問い合わせ |
| トライアル | あり |
1台用であれば、1,980円から始められるウイルス対策ソフトです。登録本数も1000万本もの販売数を誇っており、2,300社以上が導入しています。
【不正アクセス対策】
| サービス名 | NTTPCセキュリティ |
|---|---|
| 提供会社 | 株式会社エヌ・ティ・ティピー・シーコミュニケーションズ |
| 月額費用 | 要問い合わせ |
| 初期費用 | 要問い合わせ |
| トライアル | 要問い合わせ |
プロの目から危険度を判断して、不正を検知してくれるソフト。24時間365日の監視がありながら、月額108,350円(税込)で利用可能です。
【脆弱性対策】
| サービス名 | yamory |
|---|---|
| 提供会社 | ビジョナル・インキュベーション株式会社 |
| 月額費用 | 0円〜 |
| 初期費用 | なし |
| トライアル | あり |
チームごとの脆弱性対応状況を見える化してくれるツールです。改善すべき項目を優先度別にアラートしてくれるため、すぐに取り組むべき要項が明らかになります。情報漏洩リスクと社内エンジニアへの負担を下げたい企業におすすめです。
【標的型サイバー攻撃対策】
| サービス名 | コーポレートエディション XG |
|---|---|
| 提供会社 | トレンドマイクロ株式会社 |
| 月額費用 | 要問い合わせ |
| 初期費用 | 要問い合わせ |
| トライアル | あり |
AI技術を活用した「Xgenセキュリティ」を採用。ITアドバイザリー企業や第三者機関による高い評価を獲得しています。
【不正注文対策】
| サービス名 | O-PLUX |
|---|---|
| 提供会社 | かっこ株式会社 |
| 月額費用 | 3万円〜 |
| 初期費用 | あり |
| トライアル | 要問い合わせ |
不正注文に特化したセキュリティ・ソフト。商品発送前に検知をしてくれます。20,000以上の利用実績があります。公式サイトでは「不正注文発生リスク」を判定可能。
よくある質問
Q1.予算がないが自力でもできない。無料/フリーから使えるものはあるか
A1.
まずは優先すべきセキュリティ対策事項を決め、目的にあったツールを見つけましょう。有料プランがベースとなっている場合でも、無料で試せるものから長期間無償で使用できるものも多くあります。また、完全無料で使えるサービスも存在し、WordPressのプラグインは無料でセキュリティ対策が行えるものがたくさんあるためおすすめです。ほかにも、前出の「yamory」のように小規模な開発であれば無料で脆弱性対策をすることができます。的を絞っていくことで、無料でも十分に有効性のあるツールを見つけることができます。
Q2.ツールを導入したことがあるが使いこなせなかった
A2.
セキュリティ対策はできることが幅広いがゆえ、多機能すぎるツールを使ってしまう事象があります。実際に必要のない機能がたくさんあると、設定などの手間が増えてしまい、導入した意義がなくなってしまいます。まずは、自社のセキュリティ対策として必要な機能を把握することが前提です。手間のかからない自動機能があるものなど、「使いやすさ」重視のツールを導入することもおすすめです。
WordPressセキュリティ対策まとめ
WordPressは導入するハードルが低く世界中でたくさんの人に使用されていますが、だからこそセキュリティ対策は万全に行いたいところ。
膨大の情報を管理していることや、プログラムソースが公開されていることから、ハッカーから攻撃されやすいCMSであることは事実です。
しかし、リスクをしっかりと理解したうえで、セキュリティ対策を行うことができれば、安全にWebサイトを管理することができます。
「不正アクセスやスパムメールから守りたい」など、セキュリティ対策を行う目的を明確にし、プラグインや外部のツールを取り入れましょう。
これらを行ったうえでセキュリティに強いサイトを目指してください。
セキュリティ対策に関する資料の紹介
下記ページでは、ダウンロード可能な資料をまとめています。
・セキュリティ対策関連資料の一覧
・不正ログイン・不正注文対策関連資料の一覧
セキュリティ対策に関する記事紹介
下記ページでは、セキュリティ対策に関する関連記事を多数掲載しています。
・「セキュリティ対策」関連記事一覧
セキュリティ対策に関するセミナー情報
セキュリティ対策に役立つセミナーが開催されていますので、チェックしてみてください。
※「資料掲載企業アカウント」の会員情報では「通販通信ECMO会員」としてログイン出来ません。
資料DLランキング
-
1
【成功事例7選】EC×LINE公式アカウント活用
-
2
Yahoo!ショッピング店を検索対策で売上アップ
-
3
これでセールを逃さない!EC年間イベントカレンダー
-
4
Amazonビッグセールで 売上を8倍までのばした 広告運用術
-
5
会員数2,500社以上、日本最大級の会員制サポートサービス「ECマスターズクラブ
ニュースランキング
-
1
【2月3日15時更新:物流配送状況】日本郵便/ヤマト運輸/佐川急便/西濃運輸/福山通運
-
2
楽天・三木谷氏、AIを活用できない企業の「未来は厳しい」と警鐘
-
3
ECサイト利用者の6割がマイページ活用、定期購入者は7割に~エルテックス「消費者」調査
-
4
除菌製品の広告が景表法に違反、東亜産業に課徴金1651万円
-
5
ジャパネットグループ、全従業員を対象とした「不妊治療サポート休職制度」を新設
