WordPressのセキュリティを強化する6つの方法

WordPressには多くのテーマやプラグインがあり、簡単にいろんなサイトが簡単に作れます。しかも無料のCMSということで、世界中で最も人気のCMSです。現在利用されているCMSの中でWordPressのシェアは65%を超えています。日本国内でのシェアは80%を超えています。
ただ高いシェアを持つために、サイトへの攻撃や不正アクセスの標的にされやすく、甚大な被害を受けていることも認識しておかなければなりません。それゆえ、WordPressのセキュリティを強化することがとても重要です。

今回はWordPressのセキュリティを強化する6つの方法について、ご紹介していきます。専門的な知識は必要ありませんが、紹介した6つのことを定期的に継続して行ってください。

目次

• 1.WordPressとプラグインの定期アップデート
• 2.定期バックアップ
• 3.プラグインの数を減らす
• 4.WAFを有効にする
• 5.サーバーのセキュリティ強化機能を利用
• 6.パソコンのセキュリティ対策
• 最後に

1.WordPressとプラグインの定期アップデート

WordPressとプラグインは定期的にアップデートされます。アップデートすることで新しい機能を追加したり、機能を改善したりするのと同時に脆弱性を改善することもあります。アップデートしないでいると、脆弱性は改善されないままになり、その脆弱性を狙ってハッカー達が攻撃を仕掛けてくることが多いです。
そのためWordPressとプラグインは定期的にアップデートを行い、なるべく最新の状態にしましょう。サイトの更新頻度や規模にもよりますが、月1回のアップデートを行いましょう。

なお、WordPressとプラグインのアップデートについての詳しい方法はWordPressとプラグインの更新を安全に行う方法をご覧ください。

2.定期バックアップ

CMSの中で最も狙われやすいWordPressを運営するなら、定期バックアップは必要不可欠です。
定期バックアップを行っていると、下記ような不測の事態が起きても迅速にサイトを復元することが可能となります。

• プラグインのアップデート後にサイトがおかしくなった
• 間違ってサーバー上のファイルを消去してしまった
• ウイルスに感染してしまった

サイトの更新頻度やサイトの規模によりますが、週1回もしくは月1回はデータのバックアップを行いましょう。
定期バックアップを行うには、BackWPupなどのプラグインがオススメです。

※BackWPupの使い方は BackWPupでWordPressの定期バックアップを行う方法をご覧ください。

なおバックアップデータをサーバー上に保存する場合は、サーバーの容量を圧迫することがあります。その場合は、データの保存回数を少なくしてください。

3.プラグインの数を減らす

WordPressで最も注意が必要なのはプラグインです。プラグインの脆弱性が狙われ、多くのサイトが被害を受けているからです。
プラグインの数が多ければ多いほど狙われる確率が高くなります。出来るだけ利用するプラグインは極力少なくし、多くても20個程度にしてください。使用してないプラグインも狙われるので、必ず削除するようにしましょう。

また利用しているプラグインがきちんと更新されているかどうかも大事です。下記の方法でチェックしてみてください。

プラグインがいつ更新されたのかを確認する方法

プラグイン一覧より、該当のプラグインの「詳細を表示」をクリックしてください。

最終更新が1年以上前で、「注意：このプラグインは現在使用中のWordPressバージョンではテストされていません」と表示されていたら、セキュリティ上安全ではないので、プラグインの削除を検討してください。

4.WAFを有効にする

WAFとは、「Web Application Firewall」の略です。Webアプリケーションの脆弱性を悪用した攻撃から、Webサイトを保護するセキュリティ対策です。現在多くのサーバーに導入されているので、WordPressを使う場合は、WAFを有効にしましょう。

なおWAFだけを有効にしても安全ではありません。必ずWordPressとプラグインの定期アップデートを行った上でWAFを有効にしないと効果がないので、ご注意ください。

5.サーバーのセキュリティ強化機能を利用

ご利用のレンタルサーバーには、WordPressのセキュリティを強化する独自の機能が付いているので、その機能も活用しましょう。

例えば、下記のレンタルサーバーにはいくつかセキュリティを強化する機能があります。これらの機能を強化するだけでも、大幅なセキュリティ強化につながります。

エックスサーバー

• 国外IPアクセス制限設定
• ログイン試行回数制限設定
• コメント・トラックバック制限設定

さくらのレンタルサーバー

• Web改ざん検知サービス(有料)
• 国外IPアドレスフィルタ
• サーバログイン履歴

6.パソコンのセキュリティ対策

WordPress自体のセキュリティも大事ですが、利用しているパソコンなどの端末のセキュリティ対策もしっかり行いましょう。
ウィルスはメールやサイト経由で感染しますが、パソコンのFTPソフトの情報を取得し、サーバーを攻撃することもあるのでご注意ください。

パソコンのセキュリティ対策には以下のことを行ってください。

• OSやソフトのアップデート
• メールには最新の注意を払う（添付ファイル、リンク先のクリック）
• セキュリティソフトを入れ、定期的にセキュリティのチェックを行う

最後に

少し厳しい言い方になりますが、今回ご紹介した6つの点を実行できない、継続して出来ない場合は、WordPressの保守サービスを利用するか、別のCMSに乗り換えることをおススメします。それぐらいWordPressのセキュリティ対策は重要で、必要不可欠なものだからです。