【WordPress】最低限やっておくべきWordPressのセキュリティ対策2点

2021/06/29  2021/06/29

【WordPress】最低限やっておくべきWordPressのセキュリティ対策|スタジオ・ボウズ

専門知識がなくてもできる対策を

CMSで世界的に圧倒的なシェアを誇るWordPress。そのシェアの高さゆえに、サイバー攻撃の標的になりやすくなっています。

WordPressやプラグインは最新版に適宜アップデートするという対応のほかに、被害を防止するために、専門知識がなくとも最低限これだけはやっておくべきセキュリティ対策をご紹介します。

目次

  1. ログインURLの保護
    BASIC認証をかける
    プラグインでURLを変更する
  2. 定期的なバックアップ
  3. まとめ

ログインURLを保護

WordPressの管理画面へのログインURLは、見つけるのが非常に簡単。サイトURLの末尾に「/admin/」または「/login/」を入力すると、ログインページ「/wp-login.php」にアクセスできてしまいます。

サイトへの不正ログインを防ぐためには、このURLを変更し、そもそもログイン画面にアクセスされないようにすることが必要です。

ログインURLにBASIC認証をかける

IDとパスワードを設定し、認証を通らなければwp-login.phpへのアクセスできないようにする方法です。

【1】wp-login.phpと同階層に「.htpasswd」を設置

ログイン名とパスワードを記載した「.htpasswd」を作成し、wp-login.phpと同階層に設置します。

.htpasswdファイル作成には「LUFTTOOLS」などのサービスを利用すると、簡単に作成できます。

【2】「.htaccess」に追記

同様に、wp-login.phpと同階層に「.htaccess」を設置、下記を追記します。

<Files wp-login.php>
AuthType Basic
AuthUserFile /*サーバのパス*/.htpasswd
AuthGroupFile /dev/null
AuthName "Please enter your ID and password"
require valid-user
</Files>

これでログイン画面にBASIC認証をかけることができます。

【WordPress】最低限やっておくべきWordPressのセキュリティ対策|スタジオ・ボウズ

プラグインでURLを変更する

他には、プラグインでログイン画面のURLを変更する方法があります。

プラグインはいくつかありますが、簡単かつシンプルなものとして「WPS Hide Login」があります。

【WordPress】最低限やっておくべきWordPressのセキュリティ対策|スタジオ・ボウズ

ダウンロード・インストール・有効化した後、

  1. 右サイドバーの「設定」から「WPS Hide Login」の設定画面へ。
  2. 「Login URL」の項目に、任意のログインURLを入力します。
  3. 「Redirection URL」の項目に、リダイレクトのURLを入力します。ログインしていないユーザーがwp-login.phpにアクセスした際、このURLにリダイレクトされます。
  4. 「Save Changes」を押して、設定を保存します。




定期的なバックアップ

プラグインで、サイトデータを定期的にバックアップします。これによりサイトの表示改ざん被害を受けた場合などに、バックアップデータからいち早くサイトを復旧させることができます。

これもまたプラグインがいくつかありますが、メジャーかつシンプルなものとして「BackWPUp」があります。

【WordPress】最低限やっておくべきWordPressのセキュリティ対策|スタジオ・ボウズ

BackWPUpの設定

BackWPUpの各種設定です。ダウンロード・インストール・有効化した後、右サイドバーの「BackWPUp」からアクセスします。

【1】ジョブを設定・作成

ジョブを作成し、バックアップの一連の挙動を設定します。設定しておくべき項目は下記です。

  • 「一般」タブ
    1. ジョブの名称
    2. バックアップファイルの保存方法
      圧縮されたバックアップファイルを保存先を設定します。データサイズなどを考えると、FTPでサーバ上に、もしくは任意のDropbox内フォルダに保存するのが一般的です。
  • 「スケジュール」タブ
    1. ジョブの開始方法
      手動でバックアップを実行するには「手動」、スケジュールを設定し定期・自動でバックアップを実行するには「WordPressのcron」を選択します。
    2. バックアップ開始の日時
      「WordPressのcron」を選択すると、開始のスケジュールの設定項目が現れるので、設定します。「毎月」「毎日」「毎時」、その時間など細かく設定できます。
  • 「宛先」タブ
    「一般」タブで設定した保存方法に基づき、保存先のフォルダ、必要に応じて認証情報などを入力し設定します。

【2】実行されたバックアップは「ログ」から確認

右サイドバーの「ログ」から、実行されたバックアップのログを確認できます。各ログからバックアップのzipファイルをダウンロードすることもできます。

まとめ

以上、最低限やっておくべきセキュリティ対策です。

ログインURLの保護は、ログイン画面にアクセスさせないための施策ですが、侵入を100%防ぐことはできません。被害が生じた場合も考え、バックアップを取っておくという二段構えが重要です。

WordPressが事実上の世界標準となっている以上、被害はいずれのサイトでも起こり得ます。「まあ大丈夫でしょ」と油断せず、継続的な対策をしっかり取っていきましょう。

 

コメントする

メールアドレスが公開されることはありません。