WordPressでブログを運営するなら、セキュリティ対策は必須です。
「個人ブログだし、狙われることなんてないでしょ」——そう思っていると、ある日突然サイトが改ざんされたり、マルウェアを仕込まれたりする。
実際、WordPressは世界で最も使われているCMSだからこそ、攻撃者のターゲットにもなりやすい。
この記事では、WordPress初心者が最低限やっておくべきセキュリティ設定を解説します。
1. ログインURLを変更する
WordPressのデフォルトのログインURLは、「サイトURL/wp-admin/」です。
これは全世界のWordPressサイトで共通なので、攻撃者は最初にこのURLを狙ってきます。 ブルートフォース攻撃(パスワードを総当たりで試す攻撃)の標的になりやすい。
対策は、ログインURLを変更すること。SiteGuardなどのセキュリティプラグインを使えば、ログインURLを独自のものに変更できます。
ただし、注意点が一つ。ログインURLを変更すると、WordPressのREST APIにも影響が出る場合があります。外部ツールからWordPressに投稿する仕組みを使っている場合は、REST APIへのアクセス制限の設定も確認しましょう。
2. 強力なパスワードを設定する
当たり前のことですが、パスワードが弱いとすべてのセキュリティ対策が無意味になります。
WordPress管理画面のパスワードは、最低でも12文字以上、英大文字・小文字・数字・記号を組み合わせたものにしましょう。
さらに安全なのは、アプリケーションパスワードを使うこと。WordPressには、通常のログインパスワードとは別に、API用のパスワードを発行する機能があります。外部ツールとの連携にはこちらを使うことで、メインのパスワードが漏洩するリスクを減らせます。
3. プラグインとテーマを常に最新に保つ
WordPressのセキュリティ問題の多くは、古いプラグインやテーマの脆弱性が原因です。
開発者はセキュリティの問題が見つかるとアップデートを公開しますが、それを適用しなければ意味がない。
月に1回は管理画面を開いて、プラグインとテーマのアップデートがないか確認する習慣をつけましょう。
使っていないプラグインやテーマは、無効化するだけでなく削除することも大事です。無効化しただけでは、ファイルは残っているので脆弱性が悪用される可能性がある。
4. バックアップを定期的に取る
セキュリティ対策をしていても、100%安全ということはありません。
万が一の時に復旧できるよう、定期的なバックアップは必須です。
WordPressのバックアッププラグインを使えば、自動で定期的にバックアップを取ることができます。バックアップの保存先は、サーバー内だけでなく、外部ストレージ(Google DriveやDropboxなど)にも保存しておくと安心。
特に記事数が多くなってくると、すべてを失った時のダメージは計り知れない。97記事分のコンテンツが消えたら……考えただけでゾッとします。
5. SSL(HTTPS)を導入する
サイトのURLが「http://」ではなく「https://」になっているか確認してください。
SSLは、サイトとユーザーの間の通信を暗号化する仕組みです。GoogleはSSL対応サイトを優遇すると公式に発表しているので、SEOの観点からも必須。
多くのレンタルサーバーでは、無料でSSLを導入できます。Xserverなどでは管理画面からワンクリックで設定可能です。
まだhttp://のままなら、今すぐhttps://に切り替えましょう。
まとめ|セキュリティは「保険」
セキュリティ対策は、何も起きていない時には「面倒な作業」に感じます。
でも、何か起きた後では遅い。
ログインURL変更、強力なパスワード、プラグインの更新、バックアップ、SSL。 この5つは、WordPress初心者でもすぐにできる基本的な対策です。
AIでブログを量産して、記事が増えれば増えるほど、守るべきコンテンツも増えていく。自分の資産を守るためにも、セキュリティ対策はしっかりやっておきましょう。
こちらの記事もあわせてどうぞ: