あなたのホームページは大丈夫?WordPressのセキュリティを高めるためにやっておきたい7つのこと
近年、セキュリティに関する被害が急速に広がっています。
とりわけ、ランサムウェア(身代金を要求するマルウェア)と呼ばれる、悪質なマルウェアにひっかかったという被害も多く聞かれます。
最近では、「Wanna Cry」(ワナクライ:「泣きたくなる」の意)というマルウェアが流行しており、感染するとネットワーク内で自己増殖するワーム機能が搭載されており、爆発的な被害拡大の要因となっています。
そのような状況の中、「自分には関係ない」と思って対策をしておかないと、いつの間にか自分が被害者になるかもしれません。
特に、Wordpressでホームページを運用している場合は、注意が必要です。
2017年1月、WordPressの深刻な脆弱性を突く攻撃が横行し、150万件以上が改ざんされたと米セキュリティ企業Feedjitが発表しています。
何も対策を行っていないと、自らが被害者になる可能性も十分にありえます。
今回は、WordPressのセキュリティを高めるために2017年にやっておきたい対策方法を7つのポイントに絞ってご紹介します。
何も対策せずにWordPressサイトを放置しておくのは、鍵を開けたまま家を外出するのと同じようなものです。
自分で今すぐできることから対策を講じていきましょう。
WordPressのセキュリティを高めるために2017年にやっておきたい7つのこと
WordPressは世界中で最も有名で人気のあるCMSです。
人気であるがゆえに、WordPressでは一度セキュリティの穴を見つけてしまうと被害が急速に拡大していくというデメリットもあります。
残念なことに、ほとんどの人々は自分のホームページはWordPressで作成されているので安全であると考えてしまいますが、実際のところ重要なファイルやフォルダーにアクセス権を設定していなかったり、セキュリティ対策を講じていなければ、被害を被る可能性があります。
ここでは、今すぐできる、WordPressのセキュリティを高めるために2017年にやっておきたい7つのことをご紹介します。
1. WordPressを常に最新版にする
WordPressは、「機能の向上」だけでなく「セキュリティの改善」の面でも、常にバージョンアップが行われています。
WordPressを安全で快適に使うためにも、新しいバージョンが公開されたらアップグレードするようにしましょう。
WordPressは、2013年10月のバージョン3.7以降、自動バックグラウンド更新機能が実装されています。
セキュリティ修正は、過去に遡って2バージョン前(例えば4.7.4なら4.7.2)までサポートされます。
しかし、これ以上のバージョンについては、たとえ脆弱性があったとしても対応はされませんので、マイナーリリースも含めてアップデートは必ず行いましょう。
また、自動更新はユーザー側でオン/オフの切り替えを行うことも可能です。
自動更新をオフにしている場合は、オンにするか、毎回手動でバージョンアップを行うことにしましょう。
2. 「wp-includes」フォルダにアクセス制限をかける
WordPressの仕組みを導入しているホームページでは、さまざまなファイルやフォルダが組み込まれており、独自のURLが設定されていますが、逆に言えばURLが特定されてしまえばアクセスされてしまったり、最悪の場合は乗っ取られてしまうこともあります。
WordPressのシステムの中で最もハッキング被害に逢いやすいのが*「wp-includes」*フォルダです。
こうした脅威に対応するためには、ひとまず「wp-includes」フォルダにアクセス制限をかけ、ほかのファイルもセキュリティで保護すべきです。
手順はいたってシンプルです。
まずWordPressを設置しているフォルダにある*「.htaccess」*ファイルをダウンロードし、テキストエディタで開きます。
そして、次のようなテキストをコピー&ペーストしてアップロードしなおすだけで、「wp-includes」フォルダが守られます。
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]
</IfModule>
WordPressの機能の多くは、「wp-includes」フォルダに格納されているので、ハッカーたちの多くはこのフォルダを狙ってきます。
こうしたコードを設置するだけで、フォルダにアクセスしようとした人々にアクセスを拒否することができます。
3. 「wp-config.php」にアクセス拒否をかける
次に大切なのが、*「wp-config.php」*にアクセス拒否をかけてシステムを守ることです。
WordPressでホームページを作ると、データベースが作られ、ユーザーネームやパスワード、テーブルの接頭辞などが設定されますが、それらの設はすべて「wp-config.php」の中に書かれているからです。
先ほどと同じ手順で、*「.htaccess」*ファイルに次の内容を追記してあげましょう。
<files wp-config.php>
order allow,deny
deny from all
</files>
保存して再アップロードすれば、対策完了です。
4. 「.htaccess」自身を保護する
先ほど見てきたように、「.htaccess」ファイルを設定することで、マルウェアや外的なアクセスからホームページを守ることができます。
しかし、「.htaccess」自身を保護しておかなければ、ハッカーが「.htaccess」ファイルを一度削除してしまえばホームページに入り込むことができてしまいます。
そのためには、やはり*「.htaccess」*自身に次のコードを追記していきます。
<files ~ "^.*\.([Hh][Tt][Aa])">
order allow,deny
deny from all
satisfy all
</files>
こちらを追加するだけで、「.htaccess」ファイル自身が外的なアクセスから身を守ることができます。
5. ファイルエディタを使えないようにする
これだけでも十分にハッカーのホームページ内への侵入を防いでいると思われるかもしれませんが、これだけでは足りません。
ハッカーにアクセスされて一番困る場所があります。
それが、WordPressのダッシュボード内にあるファイルエディタです。
ファイルエディタはテーマのファイル名などを一括して変更するときには便利ですが、ハッカーに利用された場合にはかなり危険です。
最悪の場合は、コードを書き換えられ、ホームページ自体が破壊されてしまうこともあるからです。
これを避けるために、WordPressのダッシュボード内にあるファイルエディタを必要な時以外は使えないようにすることです。
WordPressの設定で行うよりは、直接「wp-config.php」を書き換えるほうが確実でオススメです。
「wp-config.php」をテキストエディタで開いたのち、*「That’s all, stop editing! Happy blogging.」*というコメントアウトを見つけてください。
この行の前までが設定部分になるので、次のようなコードを直接追加してください。
define('DISALLOW_FILE_EDIT', true);
一旦このコードを追加すれば、保存してサーバーに再アップロードするだけです。
ホームページはこれによってコード操作を行われるリスクから逃れられます。
6. ファイルをバックアップする
バックアップを取っておけば、万一ハッカーによる被害にあっても復元できる可能性が高まります。
もちろん、100%安全な方法というのはありませんが、被害にあったあとに取れる選択肢を一つでも増やしておくことが重要です。
バックアップに関しては、有料や無料のバックアップ用プラグインがたくさんあります。
覚えておいてほしいのは、バックアップするときには遠隔の場所に定期的にホームページをまるごとバックアップすることが重要だということです。
ローカルやホスティングアカウントにバックアップするだけでは安全とは言えないので、クラウドストレージにバックアップしておくのもよいでしょう。
もっとも簡単で人気のあるプラグインは、VaultPressやBackupBuddyです。
どちらもコーディングや細かい設定など必要なく、基本的にはインストールするだけで利用できます。
7. WAFを設定する
WAFとは*「Web Application Firewall」*の略で、外部からのアクセスを制限するサーバー用のファイアウォールのことです。
WAF自体はサーバーのホスティングサービスが用意してくれている場合もあります(ロリポップやさくらインターネットなど)が、SiteGuardのようなプラグインを導入すれば、WAFチューニングなどを自動で行ってくれるので便利です。
SiteGuardでは、「wp-login.php」のURLを乱数で変更するなど、外部からの侵入をさらに退けるための施策が自動的に設定されます。
- ページ
- 印刷物のカタログやパンフレットは、通常複数のページから成り立っています。インターネットのホームページもまったく同じで、テーマや内容ごとにそれぞれの画面が作られています。この画面のことを、インターネットでも「ページ」と呼んでいます。ホームページは、多くの場合、複数ページから成り立っています。
- WordPress
- WordPressとは、CMS(コンテンツマネジメントシステム)の1種で、ホームページ管理システムのことです。ブログ感覚で記事の修正・追加が行えるうえ、通常のホームページ並みのデザインを作成することができます。
- WordPress
- WordPressとは、CMS(コンテンツマネジメントシステム)の1種で、ホームページ管理システムのことです。ブログ感覚で記事の修正・追加が行えるうえ、通常のホームページ並みのデザインを作成することができます。
- WordPress
- WordPressとは、CMS(コンテンツマネジメントシステム)の1種で、ホームページ管理システムのことです。ブログ感覚で記事の修正・追加が行えるうえ、通常のホームページ並みのデザインを作成することができます。
- WordPress
- WordPressとは、CMS(コンテンツマネジメントシステム)の1種で、ホームページ管理システムのことです。ブログ感覚で記事の修正・追加が行えるうえ、通常のホームページ並みのデザインを作成することができます。
- CMS
- ホームページを作成するための様々な作業を、一元的に管理できるシステムのことをCMS(コンテンツ マネージメント システム)と言います。ホームページを作成するには文章や画像などのコンテンツの作成からHTML、CSSを使った構成・装飾の記述、リンクの設定などが必要ですが、CMSを使用すればこれらの作業を自動的に行なうことができます。
- WordPress
- WordPressとは、CMS(コンテンツマネジメントシステム)の1種で、ホームページ管理システムのことです。ブログ感覚で記事の修正・追加が行えるうえ、通常のホームページ並みのデザインを作成することができます。
- ページ
- 印刷物のカタログやパンフレットは、通常複数のページから成り立っています。インターネットのホームページもまったく同じで、テーマや内容ごとにそれぞれの画面が作られています。この画面のことを、インターネットでも「ページ」と呼んでいます。ホームページは、多くの場合、複数ページから成り立っています。
- WordPress
- WordPressとは、CMS(コンテンツマネジメントシステム)の1種で、ホームページ管理システムのことです。ブログ感覚で記事の修正・追加が行えるうえ、通常のホームページ並みのデザインを作成することができます。
- WordPress
- WordPressとは、CMS(コンテンツマネジメントシステム)の1種で、ホームページ管理システムのことです。ブログ感覚で記事の修正・追加が行えるうえ、通常のホームページ並みのデザインを作成することができます。
- WordPress
- WordPressとは、CMS(コンテンツマネジメントシステム)の1種で、ホームページ管理システムのことです。ブログ感覚で記事の修正・追加が行えるうえ、通常のホームページ並みのデザインを作成することができます。
- WordPress
- WordPressとは、CMS(コンテンツマネジメントシステム)の1種で、ホームページ管理システムのことです。ブログ感覚で記事の修正・追加が行えるうえ、通常のホームページ並みのデザインを作成することができます。
- WordPress
- WordPressとは、CMS(コンテンツマネジメントシステム)の1種で、ホームページ管理システムのことです。ブログ感覚で記事の修正・追加が行えるうえ、通常のホームページ並みのデザインを作成することができます。
- WordPress
- WordPressとは、CMS(コンテンツマネジメントシステム)の1種で、ホームページ管理システムのことです。ブログ感覚で記事の修正・追加が行えるうえ、通常のホームページ並みのデザインを作成することができます。
- ページ
- 印刷物のカタログやパンフレットは、通常複数のページから成り立っています。インターネットのホームページもまったく同じで、テーマや内容ごとにそれぞれの画面が作られています。この画面のことを、インターネットでも「ページ」と呼んでいます。ホームページは、多くの場合、複数ページから成り立っています。
- URL
- URLとは、「Uniform Resource Locator」の略称です。情報がどこにあるのかを示すインターネット上の住所のようなものだと考えるとわかりやすいでしょう。各ページのURLは、インターネットブラウザの上部に文字列として表示されています。日本語では「統一資源位置指定子」という名称がついていますが、実際には日本でもURLという語が使われています。
- WordPress
- WordPressとは、CMS(コンテンツマネジメントシステム)の1種で、ホームページ管理システムのことです。ブログ感覚で記事の修正・追加が行えるうえ、通常のホームページ並みのデザインを作成することができます。
- WordPress
- WordPressとは、CMS(コンテンツマネジメントシステム)の1種で、ホームページ管理システムのことです。ブログ感覚で記事の修正・追加が行えるうえ、通常のホームページ並みのデザインを作成することができます。
- .htaccess
- htaccess(エイチティアクセス)とは、サーバソフトウェアのApacheを制御できるファイルのことで、正確には「.htaccess(ドットエイチティーアクセス)」です。htaccessを利用することによって、ページにアクセス制限を設けたり、ページを転送するリダイレクトなどの設定を行うことができます。
- テキスト
- テキストとは、純粋に文字のみで構成されるデータのことをいいます。 太字や斜線などの修飾情報や、埋め込まれた画像などの文字以外のデータが表現することはできませんが、テキストのみで構成されたテキストファイルであれば、どのような機種のコンピューターでも共通して利用することができます。
- テキスト
- テキストとは、純粋に文字のみで構成されるデータのことをいいます。 太字や斜線などの修飾情報や、埋め込まれた画像などの文字以外のデータが表現することはできませんが、テキストのみで構成されたテキストファイルであれば、どのような機種のコンピューターでも共通して利用することができます。
- WordPress
- WordPressとは、CMS(コンテンツマネジメントシステム)の1種で、ホームページ管理システムのことです。ブログ感覚で記事の修正・追加が行えるうえ、通常のホームページ並みのデザインを作成することができます。
- WordPress
- WordPressとは、CMS(コンテンツマネジメントシステム)の1種で、ホームページ管理システムのことです。ブログ感覚で記事の修正・追加が行えるうえ、通常のホームページ並みのデザインを作成することができます。
- ページ
- 印刷物のカタログやパンフレットは、通常複数のページから成り立っています。インターネットのホームページもまったく同じで、テーマや内容ごとにそれぞれの画面が作られています。この画面のことを、インターネットでも「ページ」と呼んでいます。ホームページは、多くの場合、複数ページから成り立っています。
- データベース
- データベースとは、複数のアプリケーションまたはユーザーによって共有されるデータの集合体のことです。特定のテーマに沿ったデータを集めて管理され、検索や抽出が簡単にできるようになっているものを指します。
- .htaccess
- htaccess(エイチティアクセス)とは、サーバソフトウェアのApacheを制御できるファイルのことで、正確には「.htaccess(ドットエイチティーアクセス)」です。htaccessを利用することによって、ページにアクセス制限を設けたり、ページを転送するリダイレクトなどの設定を行うことができます。
- .htaccess
- htaccess(エイチティアクセス)とは、サーバソフトウェアのApacheを制御できるファイルのことで、正確には「.htaccess(ドットエイチティーアクセス)」です。htaccessを利用することによって、ページにアクセス制限を設けたり、ページを転送するリダイレクトなどの設定を行うことができます。
- ページ
- 印刷物のカタログやパンフレットは、通常複数のページから成り立っています。インターネットのホームページもまったく同じで、テーマや内容ごとにそれぞれの画面が作られています。この画面のことを、インターネットでも「ページ」と呼んでいます。ホームページは、多くの場合、複数ページから成り立っています。
- .htaccess
- htaccess(エイチティアクセス)とは、サーバソフトウェアのApacheを制御できるファイルのことで、正確には「.htaccess(ドットエイチティーアクセス)」です。htaccessを利用することによって、ページにアクセス制限を設けたり、ページを転送するリダイレクトなどの設定を行うことができます。
- .htaccess
- htaccess(エイチティアクセス)とは、サーバソフトウェアのApacheを制御できるファイルのことで、正確には「.htaccess(ドットエイチティーアクセス)」です。htaccessを利用することによって、ページにアクセス制限を設けたり、ページを転送するリダイレクトなどの設定を行うことができます。
- ページ
- 印刷物のカタログやパンフレットは、通常複数のページから成り立っています。インターネットのホームページもまったく同じで、テーマや内容ごとにそれぞれの画面が作られています。この画面のことを、インターネットでも「ページ」と呼んでいます。ホームページは、多くの場合、複数ページから成り立っています。
- .htaccess
- htaccess(エイチティアクセス)とは、サーバソフトウェアのApacheを制御できるファイルのことで、正確には「.htaccess(ドットエイチティーアクセス)」です。htaccessを利用することによって、ページにアクセス制限を設けたり、ページを転送するリダイレクトなどの設定を行うことができます。
- .htaccess
- htaccess(エイチティアクセス)とは、サーバソフトウェアのApacheを制御できるファイルのことで、正確には「.htaccess(ドットエイチティーアクセス)」です。htaccessを利用することによって、ページにアクセス制限を設けたり、ページを転送するリダイレクトなどの設定を行うことができます。
- ページ
- 印刷物のカタログやパンフレットは、通常複数のページから成り立っています。インターネットのホームページもまったく同じで、テーマや内容ごとにそれぞれの画面が作られています。この画面のことを、インターネットでも「ページ」と呼んでいます。ホームページは、多くの場合、複数ページから成り立っています。
- WordPress
- WordPressとは、CMS(コンテンツマネジメントシステム)の1種で、ホームページ管理システムのことです。ブログ感覚で記事の修正・追加が行えるうえ、通常のホームページ並みのデザインを作成することができます。
- ページ
- 印刷物のカタログやパンフレットは、通常複数のページから成り立っています。インターネットのホームページもまったく同じで、テーマや内容ごとにそれぞれの画面が作られています。この画面のことを、インターネットでも「ページ」と呼んでいます。ホームページは、多くの場合、複数ページから成り立っています。
- WordPress
- WordPressとは、CMS(コンテンツマネジメントシステム)の1種で、ホームページ管理システムのことです。ブログ感覚で記事の修正・追加が行えるうえ、通常のホームページ並みのデザインを作成することができます。
- WordPress
- WordPressとは、CMS(コンテンツマネジメントシステム)の1種で、ホームページ管理システムのことです。ブログ感覚で記事の修正・追加が行えるうえ、通常のホームページ並みのデザインを作成することができます。
- テキスト
- テキストとは、純粋に文字のみで構成されるデータのことをいいます。 太字や斜線などの修飾情報や、埋め込まれた画像などの文字以外のデータが表現することはできませんが、テキストのみで構成されたテキストファイルであれば、どのような機種のコンピューターでも共通して利用することができます。
- ページ
- 印刷物のカタログやパンフレットは、通常複数のページから成り立っています。インターネットのホームページもまったく同じで、テーマや内容ごとにそれぞれの画面が作られています。この画面のことを、インターネットでも「ページ」と呼んでいます。ホームページは、多くの場合、複数ページから成り立っています。
- プラグイン
- プラグインは、本来あるソフトウェアに機能を拡張させるために追加するプログラムのことです。
- ページ
- 印刷物のカタログやパンフレットは、通常複数のページから成り立っています。インターネットのホームページもまったく同じで、テーマや内容ごとにそれぞれの画面が作られています。この画面のことを、インターネットでも「ページ」と呼んでいます。ホームページは、多くの場合、複数ページから成り立っています。
- アカウント
- アカウントとは、コンピューターやある会員システムなどサービスを使うときに、その人を認識する最低必要な情報として、パスワードと対をなして使う、任意で決めるつづりです。ユーザー、ID、などとも言います。
- プラグイン
- プラグインは、本来あるソフトウェアに機能を拡張させるために追加するプログラムのことです。
- プラグイン
- プラグインは、本来あるソフトウェアに機能を拡張させるために追加するプログラムのことです。
- URL
- URLとは、「Uniform Resource Locator」の略称です。情報がどこにあるのかを示すインターネット上の住所のようなものだと考えるとわかりやすいでしょう。各ページのURLは、インターネットブラウザの上部に文字列として表示されています。日本語では「統一資源位置指定子」という名称がついていますが、実際には日本でもURLという語が使われています。
この記事を書いたライター
おすすめ記事
関連記事
関連ツール・サービス
おすすめエントリー
同じカテゴリから記事を探す
カテゴリから記事をさがす
●Webマーケティング手法
- SEO(検索エンジン最適化)
- Web広告・広告効果測定
- SNSマーケティング
- 動画マーケティング
- メールマーケティング
- コンテンツマーケティング
- BtoBマーケティング
- リサーチ・市場調査
- 広報・PR
- アフィリエイト広告・ASP
●ステップ
●ツール・素材
- CMS・サイト制作
- フォーム作成
- LP制作・LPO
- ABテスト・EFO・CRO
- Web接客・チャットボット
- 動画・映像制作
- アクセス解析
- マーケティングオートメーション(MA)
- メールマーケティング
- データ分析・BI
- CRM(顧客管理)
- SFA(商談管理)
- Web会議
- 営業支援
- EC・通販・ネットショップ
- 口コミ分析・ソーシャルリスニング
- フォント
- 素材サイト
●目的・施策
- Google広告
- Facebook広告
- Twitter広告
- Instagram広告
- LINE運用
- LINE広告
- YouTube運用
- YouTube広告
- TikTok広告
- テレビCM
- サイト制作・サイトリニューアル
- LP制作・LPO
- UI
- UX
- オウンドメディア運営
- 記事制作・ライティング
- コピーライティング
- ホワイトペーパー制作
- デザイン
- セミナー・展示会
- 動画・映像制作
- データ分析・BI
- EC・通販・ネットショップ
- 口コミ分析・ソーシャルリスニング
●課題
●その他
