サイト職人スタッフブログ

WordPressは、最も有名で利用者も多いオープンソースのCMS（コンテンツマネジメントシステム）です。
ホームページやブログが簡単に、しかも無料で作れる上に、スマホなどのモバイル端末にまで対応するデザインができる非常に優秀なツールです。

しかし1つ大きな欠点があります。オープンソースであるが故、悪意ある第三者から狙われやすいというセキュリティ上のリスクを慢性的に抱えています。加えて脆弱性が発見されやすく、ハッカーの標的になりやすいといったデメリットがあるのです。

WordPressはとても利用しやすい反面、大きなリスクも内在するCMSなので、利用にはセキュリティ対策が必須になります。

そこで今回は、WordPressを使う際に最低限行うべきセキュリティ対策についてご紹介します。

対策1．Wordpress本体／プラグインのバージョンは常に更新、最新版に

WordPressは脆弱性が発見された場合、その都度バージョンアップをして対策をしています。
そのため最新のバージョンに更新しておけば、（既知の）脆弱性は回避できます。
逆にバージョンが古ければ古いほど脆弱性は多くなり、セキュリティ上のリスクが高まっていきます。本体、テーマ、プラグインは、常に最新版にしておきましょう。

対策2．テーマやプラグインは、Wordpress公式のものを利用

テーマやプラグインは様々なものがリリースされていますが、一般的にWordpress公式のもののほうが、脆弱性やバグが少ないという特徴があります。
そういった理由から、利用するテーマやプラグインはなるべくWordpress公式のものをベースとして使い、必要に応じてカスタマイズを行いましょう。
また、使用していないプラグインは停止、もしくは削除するとリスクを軽減できます。こちらも忘れずに行ってください。

対策3．ユーザー名／パスワードを強固なものに

WordPressのログイン用ユーザー名はデフォルトで「admin」になりますが、もしかしてそのままにしていませんか？または、test、yamada（社名や氏名）などのユーザー名、password、test1234、yamada1234などの安易なパスワードを設定していませんか？
普段何気なく付けているユーザー名とパスワードは、実はとても危険です。よくあるユーザー名やパスワードのパターンを片っ端から試してログインしようとするブルートフォースアタック（総当たり攻撃）で、システムが乗っ取られてしまう事例が非常に増えています。
複雑なユーザー名とパスワードを設定すること、更に可能であれば、定期的にパスワードの変更を行いましょう。

対策4．コンフィグファイルをアクセス不可にする

WordPressを構成する「wp-config.php」というファイルは、データベースのアカウント情報が記載されており、Wordpress上で最も重要なファイルです。
「wp-config.php」は外部からのアクセスをできないように設定し、パーミッションも管理者のみ「読み取り」権限のある【400】に設定しておきましょう。

※アクセスを不可にする設定手順
「wp-config.php」と同じ階層に「.htaccess」ファイルを作成し、下記を入力してください。

order allow,deny
deny from all

対策5．ログインページにアクセス（IP）制限をかける

WordPressを利用する際はログインページにアクセスしなければなりません。これはブルートフォースアタックによる不正ログインを行う場合も同様です。
そのため、ログインページにアクセスできる端末を限定すれば、それだけで不正ログインを防ぐことができます。
自社のパソコンからしかアクセスできないようにするなどの対策を講じましょう。

WordPressでは「wp-login.php」というファイルがログインページに該当します。
このファイルにアクセス（IP）制限を設定しておけばOKです。

※アクセス制限をかける設定手順
「wp-login.php」と同じ階層に「.htaccess」ファイルを作成し、下記を入力してください。

order deny,allow
deny from all
allow from 11.11.11.11（自社のIPアドレス）
allow from 22.22.22.22（自社のIPアドレス）

まとめ

今回ご紹介したのは、Wordpressでのホームページ運用における最低限行っておきたい、本当に基本的なセキュリティ対策となります。
その他にも行える専門的な対策はいくつもありますが、全てのセキュリティ対策を行うのはなかなか難しいと思います。
まずは今回ご紹介した対策を行ってみてください。