テレワーク導入前に知っておきたいWordPressのセキュリティ対策９選

新型コロナウイルスの影響により在宅ワーク（テレワーク）の需要が高まっています。

今回は、テレワークを導入する前に、知っておきたいWordPressのセキュリティ対策について、9つのポイントに分けて解説します。

WordPressの不正ログイン対策3つ

WordPressの不正ログイン対策は、セキュリティ対策の基本ですが、テレワーク時には特に重要です。
今回は、3つのポイントに絞ってご紹介します。

ユーザー情報の確認・再設定

WordPressにログインする際にはログインIDとパスワードの組み合わせである「ユーザー情報」を利用します。
不正ログインを試みるハッカーは、このユーザー情報を起点にする場合が多いのでしっかりと対策する必要があります。

ユーザーIDがadminになっていないか

WordPressのデフォルトの管理者ユーザーとして、「admin」という名前のユーザーIDが存在します。
adminユーザーは、WordPressに触れたことがある人ならば誰もが知っているユーザーIDです。

そのため、adminユーザーを使い続けていると、通常ならばユーザーIDとパスワードの2つの突破が必要なところ、パスワードのみを突破するだけで不正ログインを行うことができてしまいます。
（しかも、管理者権限を持つユーザーとして）

WordPressを利用する際には、adminユーザーを利用せず、オリジナルのユーザーを別途作成して利用するようにしましょう。

パスワードが単純になっていないか

ハッカーはパスワードを突破する際に、あらゆる文字を総当たりで攻撃したり（ブルートフォース攻撃）、パスワードとして設定されやすいキーワードのリストを入力する（キーワードリスト攻撃）という方法をとります。

したがって、「1234」のような総当たりで簡単にヒットしたり、「password」のような予想されやすいパスワードでは、簡単に認証を突破されてしまいます。

パスワードを設定する際には、以下を参考にしてみてください。

• ８文字以上
• ローマ字の大文字・小文字、数字、記号を組み合わせる
• 意味のない文字列にする

例えば、「3eiK!ab45P」のような複雑なパスワードを設定することをおすすめします。
（これは例ですので、コピペしないようにしてください！）

自分でパスワードを作るのが難しいという方は、以下のような条件に合わせたパスワード生成を行ってくれるツールもありますので、参考にしてみてください。

パスワード生成ツール

VPN環境の構築

VPN（Virtual Private Network）は、インターネットを通じて仮想的に専用線を用意する仕組みです。

インターネット上を流れる通信は、知識のある人ならば簡単に傍受することが可能であることをご存知でしょうか。

VPN環境を構築することで、仮想的に専用線を用意することができ、第三者から通信内容を傍受されるリスクを低減できます。

また、VPN以外からのアクセスにはIP制限をかけることで、不正アクセスのリスクをさらに下げることができます。

xmlrpc.phpの設定を確認する

「xmlrpc.php」とは、他のプログラムやメールなどからWordPressを操作するための設定ファイルのこと。

xmlrpc.phpを利用することで、管理画面外から投稿を作成したり削除したりすることができます。

そのため、しっかりと設定しておかないとサイトの改ざんや管理者権限の盗取などの攻撃を受ける可能性があるのです。

xmlrpc.phpの機能を停止するためには、All In One WP Security & Firewallなどのプラグインを利用することで対応できます。

プラグインを導入したくない場合は、「.htaccess」ファイルにxmlrpc.phpへのアクセスを制限する記述をして、対応することも可能です。

WordPress全般のセキュリティ対策3つ

WordPressの不正ログイン対策とは別に、全般的なセキュリティ対策方法を3つ紹介します。

インターネット上で公開するものであるため、次に紹介するセキュリティ対策もしっかりと行いましょう。

WordPress・プラグインを最新バージョンにする

WordPress本体やプラグインは、常に最新バージョンにしておくようにしましょう。

古いバージョンを利用していると、セキュリティ的に弱い部分である「脆弱性」を抱えている状態となってしまいます。

ハッカーは特定の企業を狙うこともありますが、脆弱性のあるWordPressやプラグインを使っているサイトをツール等で自動で検出し、脆弱性を狙って攻撃を行う場合もあります。

そのため、WordPressとプラグインは常に最新バージョンにしておくことが重要です。

プラグインの最終更新日を確認する

先ほどもお話ししたとおり、脆弱性対策のためにバージョンアップは重要です。

しかし、プラグインのなかには公開してからバージョンアップが行われないものも存在します。

WordPressのプラグインメニューの「新規追加」からプラグインを検索すると、プラグインの最終更新日が確認できます。

もし、最終更新日が1年以上前であれば、別のプラグインを導入することを考えましょう。

最終更新日が1年以上前のものは、脆弱性対策が行われていない可能性があります。

定期的にバックアップをとる

仮にあなたのサイトが攻撃されてしまった場合、バックアップを取得していないと対応することができません。

たとえば、攻撃を受けてサイトの内容を改ざんされてしまったら、対応に膨大な時間を割かれることになってしまうかもしれません。

しかし、定期的にバックアップを取得していれば、バックアップから状態を復元することができ、時間をかけずに復旧させることができます。

そのほかにも、自身の操作ミスなどによる不具合発生時などにも活用できるため、WordPressを運用する際には定期的にバックアップを取得しましょう。

基本的なセキュリティ対策3つ

ここからはWordPress本体のセキュリティ対策ではなく、一般的なセキュリティ対策方法を3つ紹介します。

WordPress本体のセキュリティ対策と合わせて実施することで、より強固なセキュリティ対策ができますので、一つずつ見ていきましょう。

無料Wi-Fiを使用しない

テレワーク時に特に気を付けていただきたいのが、カフェなどで提供されている無料Wi-Fiを使用しないということ。

無料Wi-Fiの中にはセキュリティ対策が行われていない（弱い）ものがあり、通信内容を簡単に第三者が傍受することができます。

こうした無料Wi-Fiを利用してWordPressにログインすると、ログインIDやパスワードが盗まれてしまう可能性があるのです。

原則として無料Wi-Fiは利用しないようにし、どうしても利用する必要がある場合はセキュリティ対策が行われているかしっかりと確認しましょう。

サイトのSSL化を行う

通常WordPressを運用する場合は「HTTP」と呼ばれるプロトコルを利用して通信を行います。

しかし、HTTPは暗号化されておらず、ログインIDやパスワードが読み取れてしまいます。

WordPressで作成するサイトをSSL化することで、「HTTPS」と呼ばれるプロトコルを用いた通信に変わります。

HTTPSでは通信内容が暗号化されているため、ログインIDやパスワードを読み取られるリスクを低減できます。

GoogleがSEOの指標とすることを発表してから、かなり普及が進んでいますが、もし未対策の場合はこれを機に導入を検討してみてはいかがでしょうか。

WAFの導入

WAF（Web Application Firewall）は、Webアプリケーションの脆弱性を狙う攻撃を検知・遮断することができる製品の総称です。

昔は専用のハードを導入する必要があって非常に高価だったWAFですが、現在はクラウド型のWAFが比較的安価で導入できます。

ユーザーの多いサービスサイトやECサイトなどの個人情報を扱うサイト、企業規模の大きなサイトなど、特にセキュリティが重要なサイトの場合には導入することをお勧めします。

まとめ

WordPressを利用する際にはセキュリティ対策が欠かせません。
しっかりと対策しておかなければ、サイトの改ざんや不正ログインなどの攻撃を受ける可能性があるからです。

今回ご紹介した9つの対策方法を網羅的に行うことで、サイバー攻撃を受ける可能性を減らせます。
すべてを一度に対策することは大変かもしれませんが、できるところから一つずつ対応しましょう。

そのほかのセキュリティ対策として、不審なメールは開かない、基本的なセキュリティ運用ルールを作成する、ということも有効です。

セキュリティ対策はいずれか一つを行えば良い、ということはありません。
サイバー攻撃を受けないためにも、包括的なセキュリティ対策を行いましょう。

もし、自社内でWordPressの保守やセキュリティ対策が難しい場合は、以下のリンクからWordPress保守のプロにご相談ください！

WordPressサイトの保守・運用・管理のご相談はこちら