WordPressサイトがハッキングされないために行うべき対処法・おすすめプラグインの紹介
こんにちはNNCの中里です。
WordPressは世界中で多くの方に利用されているCMSですが、その人気ゆえにハッカーの標的になりやすいという側面もあります。
弊社でもクライアントさんから「WordPressはセキュリティ上危険と聞いたことがあるから利用を避けたい」というお声をいただいたことがあります。
WordPressサイトをハッキングから守るためには、基本的なセキュリティ対策を講じることが不可欠です。
セキュリティ対策をしっかり行えば安全に運用することができるのでご安心ください!
この記事では、WordPressがハッキングされないために行うべき重要な対策と、導入したいプラグインについて解説します。
目次
WordPress本体・テーマ・プラグインを常に最新の状態に保つ
WordPress本体やテーマ、プラグインの更新には、セキュリティの脆弱性を修正するためのパッチが含まれていることが多いです。したがって、これらを定期的に、もしくは自動更新を有効にして最新の状態に保つことは、ハッキング防止のための最も基本的な対策です。
対策方法:
- ・WordPress管理画面の「更新」セクションから更新をチェック。
- ・可能であれば自動更新機能を活用。
ただしプラグインとテーマの互換性がないと、どちらかをアップデートした際に必要な機能が動作しなくなってしまうこともあります。
互換性があることを確認してからバージョンアップを行ってください。
信頼できるプラグインとテーマのみを使用
不正なコードが含まれているプラグインやテーマを使用すると、ハッカーに対して脆弱性を提供してしまう可能性があります。
信頼性が低いプラグインやテーマは避け、WordPress公式のディレクトリや信頼できる開発者から提供されるものだけを使うようにしましょう。
対策方法:
- ・WordPress公式サイトや実績のある開発者からのプラグイン・テーマのみをインストール。
- ・定期的に不要なプラグインやテーマは削除。
- ・なるべく最終の更新日が半年以内のプラグインを利用。(1年以上前のものは極力避ける)
強力なパスワードを使用し、2段階認証を導入
弱いパスワードは、ハッカーにとって格好の標的です。
特に管理者アカウントのパスワードが強力であることが重要です。
また、2段階認証(二要素認証)を導入することで、たとえパスワードが漏洩しても、不正アクセスを防ぐことが可能です。
対策方法:
- ・大文字、小文字、数字、記号を組み合わせた長いパスワードを使用。
- ・2段階認証プラグインを導入。
- ・定期的なパスワード変更。
セキュリティプラグインを導入
WordPressには、セキュリティ対策を強化するための優れたプラグインが数多く存在します。
これらのプラグインを活用することで、不正アクセスの試みを検知し、ブロックすることができます。
おすすめのセキュリティプラグイン:
- ・Wordfence Security: ファイアウォールとマルウェアスキャンを提供。
- ・Sucuri Security: サイト監視、ファイアウォール、マルウェアスキャンが可能。
定期的にバックアップを取る
万が一、ハッキングされてしまった場合でも、定期的にバックアップを取っていれば、被害を最小限に抑えることができます。
復旧の手間を軽減するために、バックアップを自動で行うプラグインを使用すると便利です。
おすすめのバックアッププラグイン:
- ・UpdraftPlus: 自動バックアップとクラウド保存機能があり、復旧も簡単。
- ・BackWPup: 外部ストレージサービスにバックアップ可能。
- ・All-in-One WP Migration: サイトデータのエクスポート(バックアップ)やインポート機能があり、簡単にサイト移行(復旧)が可能。
管理画面(wp-admin)へのアクセス制限
管理画面(wp-admin)へのアクセスを制限することで、外部からの不正ログインの試みを防ぐことができます。
特定のIPアドレスからのみアクセスできるように制限することで、セキュリティを大幅に強化できます。
対策方法:
- .htaccessファイルでIP制限を設定。
- All In One WP Security & Firewallなどのプラグインでアクセス制限を導入。
デフォルトの「admin」ユーザー名を変更
多くのハッカーは、WordPressのデフォルトユーザー名「admin」を狙ってを試みます。
ユーザー名をより複雑なものに変更することで、これを防ぐことができます。
対策方法:
- WordPressインストール時に「admin」以外のユーザー名を設定。
- 既にインストールしている場合は、新しい管理者アカウントを作成し、古い「admin」アカウントを削除。
ファイルやディレクトリのパーミッションを適切に設定
WordPressのファイルやディレクトリには、適切なパーミッション(アクセス権限)を設定する必要があります。
不適切な設定をしていると、ハッカーがファイルにアクセスして改ざんするリスクが高まります。
推奨パーミッション:
- ディレクトリ: 755
- ファイル: 644
- wp-config.php: 600
セキュリティ監査とログモニタリングを行う
定期的にセキュリティ監査を行い、不正なアクセスや変更がないかをチェックすることも重要です。
ログをモニタリングすることで、異常な動きを早期に発見することができます。
対策方法:
- WP Security Audit Logプラグインでログを管理。
- サーバーのアクセスログを定期的に確認。
まとめ
WordPressサイトをハッキングから守るためには、基本的なセキュリティ対策を複合的に行うことが重要です。
本体やプラグインを最新に保つことから、強力なパスワードや2段階認証の導入、セキュリティプラグインの活用など、多くの方法があります。
また万が一ハッキングされてしまった際にすぐに復旧ができるよう、定期的にバックアップをとることも重要です。
大切なサイトをハッキングの脅威から守り、安全に運用することを心がけましょう!
STUDIO NNC合同会社では制作だけではなく、セキュリティ対策・定期的なデータバックアップ・システムバージョンアップなどを含んだ、Webサイトの保守運用も行っております。
Webサイトを制作してから安全に運用をしたいと考えられている個人様・法人様がいましたら、ぜひお問い合わせフォームよりお気軽にご連絡ください!