WordPressはオープンソースであるため、無料で使用でき、プラグインも豊富なので、世界中で最も利用されているCMSの1つです。ただ、その反面、オープンソースで有るが故に、脆弱性が発見されやすくハッカーの標的になりやすい、といった特徴もあります。WordPressではセキュリティを非常に重要なものとして捉えているそうですが、それでも完璧ではありません。

そこで今回は、簡単にできるセキュリティ対策の中から、プラグインを導入せずにできるものをご紹介します。プラグインを導入すれば簡単なのですが、以下のようなデメリットもあるためです。
●プラグインを利用することでメモリ領域を使用するため、サイトの動作が遅くなる可能性がある。
●プラグインが原因で、予期せぬ動作を引き起こす場合がある。
●プラグイン自体に脆弱性が存在する可能性がある。

では、順番に解説していきます。

1. WordPressやプラグインのバージョンを最新にしておく

先に述べたように、WordPressは世界で最も有名なCMSのためハッカーのターゲットになりやすく、脆弱性も発見されやすいのです。

脆弱性が発見された場合、Wordpressはその都度バージョンアップをして対策をしています。最新バージョンは(既知の)脆弱性がなく、逆にバージョンが古いほど、脆弱性は多くなります。基本的な事ですが、非常に重要なので、できるだけ常に最新版にしておくことをおすすめします。プラグインも同様です。

2. 使用していないプラグインは削除する

インストールしているだけで使っていないプラグインや、一度は使用したが、現在は使わなくなっているプラグインは、「停止」にするだけではなく、「削除」するようにしましょう。なぜなら、「削除」しておかないと、プラグインに脆弱性が存在した場合、その脆弱性が狙われる可能性があるからです。使わないプラグインは ”完全に削除” することが大切です。

3. ユーザー名とパスワードはセキュアなものにしておく

いまだWordPressのログイン用ユーザー名を「admin」のままにしている方を見かけますが、これは非常に危険なのですぐにでも変更しておいたほうが良いでしょう(※変更方法)。また、パスワードは最低でも、ランダムに10文字以上の英数字を織り交ぜた文字列を設定すべきです。パスワードは8文字以内だとハッキングされやすいというデータもあります。

4. wp-config.phpにアクセスさせないようにする

データベースのアカウント情報が記載されている「wp-config.php」のファイルは、Wordpressを利用する上で、最も重要で、最もセキュリティレベルを高く設定しなければいけないファイルです。
このファイルが、ハッカーの手に渡ってしまったら、データベースが直に操作されてしまう危険性があります。そのため、外部からのアクセスを不可に設定し、パーミッションも厳しく設定する必要があります。

手順

「wp-config.php」と同じ階層の「.htaccess」ファイルに、下記を入力してください。
※「.htaccess」ファイルが無い場合はファイルを作成してください。

<files wp-config.php>
order allow,deny
deny from all
</files>

これで、外部からのアクセスは不可能になります。

次に、パーミッションですが、「wp-config.php」のパーミッションは「400」にしておく事を推奨します。これで、管理者のみ「読み取り」権限を付与するように設定します。

5. データベーステーブルのプレフィックスを、デフォルト値から変更する

WordPressをインストール後、デフォルトのままだと、全てのテーブルには「wp_」というプレフィックスが設定されています。
ですが、このままだと「テーブル名」が特定されてしまうので、データベースに対してのハッキングが容易になってしまいます。そのため、「テーブル名」を特定されにくくするために、プレフィックスをオリジナルに設定する必要があります。

詳しくはこちらの記事を参考ください。
プレフィックスの変更方法

まとめ

なるべく1から5すべての対策を行っておきたいところですが、手軽という点でも最低限行っておきたいのは1から3の対策です。1から3は実行しても10分程度の作業ですが、格段にセキュリティが向上します。

Webサイトを公開している場合、ハッキングを100%防ぐことは不可能です。ウィルスや不正プログラムは日々進化していますし、そもそもシステムというのは(既知・未知含め)何かしらの脆弱性を含んでいるものです。そのため、セキュリティ対策と同時に、万一ハッキング被害に遭った時のために、バックアップをとっておく事も必須となります。

バックアップすべきなのは、下記3つになります。

  • WordPressのフォルダ・ファイル一式
  • WordPressで利用しているデータベース
  • WordPress管理画面からエクスポートできる「各記事・固定ページ・カテゴリ・タグ等の情報(XML形式)」
  • セキュリティ対策とバックアップをしておくことで、リスクを最小限に抑えたサイト運営をしていきましょう。