本ページではWordPressのセキュリティ対策をまとめています。

WordPressのセキュリティ対策と言えばプラグインの導入をイメージするかもしれませんが、それは対策の一部になります。

プラグインを導入する前に、WordPressを操作する端末やWordPressの初期設定で問題がないか見直しておくことも大切です。

また、プラグイン導入後も定期的に検査を行い、脆弱性が見つかった場合は対応の検討が必要になります。

セキュリティ対策は色んな角度から見てみる必要があるため、本まとめを参考に検討の一助にして頂けますと幸いです。

共通の対策要素

WordPressに限らずWebサイトを構築するうえで対策が必要になるものです。

セキュリティ対策の第一歩としてWordPressを始める前に知っておきましょう。

パソコンやスマホのセキュリティ対策
https://wp-security.work/security/post9/

パスワード複雑化と追加認証機能
https://wp-security.work/security/post6/

便利さとセキュリティ対策は表裏一体
https://wp-security.work/security/post7/

初期設定を見直しましょう

良くない初期設定の放置はハッカーの絶好の餌食になります。

下記を参考にWordPressの初期設定に問題がないか見直しておきましょう。

変更した方が良いWordPress初期設定
https://wp-security.work/security/post5/

プラグインを導入しましょう

WordPressではプラグインを導入することでセキュリティを強化できます。

セキュリティ対策のプラグインは多種多様にあるため自分に合ったものを導入しましょう。

下記は当サイトおすすめプラグインになります。

SiteGuard WP Plugin(無料)
https://www.kagoya.jp/howto/wordpress/wordpress_siteguard-wp-plugin/

基本的なセキュリティ対策が行えるプラグインになり、国産で日本語がベースになっているため初心者にも優しいです。

機能としては、管理ページアクセス制限、ログインページ変更、画像認証、ログイン詳細エラーメッセージの無効化、ログインロック、ログインアラート、フェールワンス、XMLRPC防御、更新通知、WAFチューニングサポート、ログイン履歴があります。

WP-Ban(無料)
https://meredy.org/plugin/security/wp-ban/

特定のIPアドレスからのアクセスをブロックするのに役立つプラグインになります。

例えばログイン履歴に不審なアクセス記録があった場合など、アクセス元のIPアドレスをブロックできるため「SiteGuard WP Plugin」の補助としても効果が期待できます。

Edit Author Slug(無料)
https://www.javadrive.jp/wordpress/plugin-list/index23.html

WordPressのユーザー名は極力公開しない方が良いのですが、URLに「https://サイトURL/?author=1」と入力することでユーザー名が表示されてしまいます。

上記を防ぐために役立つプラグインが「Edit Author Slug」になり、表示されるユーザー名をhash値などに変更することができます。

Akismet Anti-Spam(一部有料)
https://bazubu.com/akismet-23841.html

スパムコメントをブロックするプラグインになります。

スパムと思われるコメントを自動で振り分けてくれるため運用が楽になりますが、アフィリエイトなどの商用サイトでは有料になるため注意が必要です。

WP-Doctor Malware Scanner & Security Pro(一部有料)
https://takapon.net/wpdoctor/

マルウェアスキャンができるプラグインになります。

時間を指定して自動スキャンができるほか、統合的なセキュリティ対策が行えます。

セキュリティ診断を行いましょう

ハッカーは常に様々な手段を使ってWebサイトのハッキングを試みています。

また、新しいプラグインやテーマの導入により、セキュリティホールが生まれる可能性があります。

下記を参考に構築したWebサイトは定期的にセキュリティ診断を行っておきましょう。

セキュリティ診断の方法
https://wp-security.work/security/post8/

情報収集を行いましょう

セキュリティは新しい情報が次々に発信されます。

脆弱性情報などはいち早く入手して対策を検討しましょう。

下記はおすすめの情報収集サイトになります。

IPA
https://www.ipa.go.jp/security/index.html

セキュリティに関する啓発業務を行っており、IT初心者に対するコンテンツも多く有益な情報が揃っています。

JPCERTコーディネーションセンター
https://www.jpcert.or.jp/

脆弱性の調整機関であり、脆弱性に関する情報がまとめられています。

JVN
https://jvn.jp/

JPCERTコーディネーションセンターとIPAが共同で管理している脆弱性情報データベースとなり、脆弱情報の一覧が掲載されているサイトになります。

JVN iPedia
https://jvndb.jvn.jp/

JVNと同様に脆弱性情報データベースになりますが、キーワード検索等で対象を絞れるほか、CVSSによる危険度の採点も公開されています。

内閣サイバーセキュリティセンター
https://www.nisc.go.jp/index.html

日本のサイバーセキュリティに関する様々な取り組みを行う政府機関となり、啓発業務も行っています。

Pocket