WordPressのセキュリティが心配？基本的な3つのポイントと定番プラグインで、とりあえずOK

「ワードプレスはハッカーによく狙われる!?　心配だな～」
という意見をチラホラ聞きます。

僕も、そう思っていました。

先日、WordPressの勉強会に参加して、セキュリティ対策の講義を受けて「とりあえず、これで安心かな」と落ち着いたので、その内容を記事にしておきます。

（前提として）WordPressはメジャーなCMSなので狙われやすい

何故、WordPressのセキュリティ対策が重要なのかと言うと、広く使われているからこそ、狙われやすいんですよね。

昔「Macは安全（Windowsに比べると）」と言われていた時代がありましたが、少し似た話しだと思います（WordPressはWindowsのようにメジャーだという事）。

狙う側からすればより効率よく作業したいですからね。

WordPressブログ運営で感じる、日々の脅威

ブログを運営していると、攻撃の脅威みたいなものは日々感じます。

不正アクセスしようとした形跡があったり、スパムリンクを貼られてそのサイトを確認してみると改ざんされていたり。

僕はまだ被害にあっていないものの、何か悪い事をしようとしている人はたくさんいるのだなぁと感じます。

自分のブログが書き替えられたりするのも嫌だし、踏み台にされて他の人に迷惑をかけるのも避けたいですよね。

WordPressのセキュリティ対策として大事な3つのポイント

さて。セキュリティ対策の講義では、たくさんの学びがあったのですが、大事なポイントとしては、大きくは3つです。

（1）アップデート

WordPress自体とプラグイン、そしてテーマをきちんと更新して、最新のものにしておく。

（2）プラグイン、テーマの選定

長期間更新されていないプラグインやテーマは使わない方が良い。
公式のものが望ましいようですが、テーマだと「Theme-Check」というチェックできるプラグインもあります。

（3）強力なパスワードにしておく

信じられない気もしますが、パスワードを「password」としている人がとても多いようです。
WordPressだけではないですが、推測されにくいパスワードにしておくのは基本ですよね。

これら3つの他にも、大事なポイントはあります。

気を付けると更に良い事

・FreeWiFiを使って作業しない
・HTPPSにした方が良い

などです。

※「HTPPSって何？」という人には『ブログのHTTPS化【WordPressで失敗しない為の初期設定】』という記事を作っています。

WordPressのセキュリティ対策としての定番プラグイン

前述のポイントを押さえた上で、セキュリティ対策プラグインを使いたいです。

定番のプラグインとしては「SiteGuard WP Plugin」。

上の画像はインストール後の画面ですが、このように「ログインページ変更」「画像認証」など、重要な対策が設定できます。

他、2段階認証ができるようになるプラグイン「Two-Factor」などもあります。

「他のどんな対策よりも、まずは2段階認証」という意見も多いそうです。

※2段階認証についての記事も作っています→『WordPressのセキュリティ対策「2段階認証」（プラグインで簡単に）』

セキュリティ対策を極める（!?）には“徳丸本”

あと、これは上級者向けの話しですが、セキュリティに関しては徳丸浩さんが権威で『安全なWebアプリケーションの作り方』が“徳丸本”と呼ばれているそうです。

体系的に学ぶ 安全なWebアプリケーションの作り方 第2版［固定版］　脆弱性が生まれる原理と対策の実践

しっかり勉強しようとするとかなり奥が深い世界のようです。

まとめ

僕が受けた（WordPressの）セキュリティ対策の講義は、このような内容でした。

まとめると、大きくは下記3点。
（1）アップデート
（2）プラグイン、テーマの選定
（3）強力なパスワードにしておく

さらに気を付けたい事として、下記2点。
・FreeWiFiを使って作業しない
・HTPPSにした方が良い

そして、
セキュリティ対策プラグインを使う、
という感じです。

また、一般家庭と銀行ではセキュリティ対策が違うように、WordPressのブログ（サイト）でも、どこまで対策をするか、それぞれで判断が必要、と講師の方は仰っていました。

まずは基本的な上記ポイントをおさえておいて、必要に応じてレベルアップしていきたいですね。