こんにちは。switchです。
化粧品会社でWeb担当者をしています。
今回は WordPressのセキュリティ対策を解説します。
WordPressは独自ドメインで垢BANされることなく自由にコンテンツを作成してける反面、セキュリティ対策も自分でしなくてはいけません。 WordPress初心者の方はのセキュリティが甘いのでハッキングの被害もあったりします。Twitter上でも「 WordPressが乗っ取られた!」なんてツイートをたまに見かけます。なのでセキュリティ対策はしっかり行いましょう。
目次
パスワードを複雑にする
まずは WordPressのログイン時使うログインパスワードを英数字で複雑なものにします。
50字〜100字くらいするといいと思います。
「パスワードジェネレーター」を使用すると自動で複雑なパスワードを生成してくれるので、とても便利です。
詳しくはこちらの記事をご覧ください。
WordPressでパスワードを作るならパスワードジェネレーターがおすすめ(セキュリティ対策に必須)
パスワードを変更する方法はこちらの記事をご覧ください。
WordPressでパスワードを変更する方法(安全なパスワードの作り方も解説)
ユーザー名を隠す
セキュリティ対策2つ目は「ユーザー名を隠す」です。
WordPressの初期状態はセキュリティレベルが脆弱です。
そのなかでユーザー名とログインIDが同じにしている人が多くいます。問題はユーザー名はサイト上から誰でも分かってしまうことです。
どんな風にユーザー名が分かるかというとURLの最後に「?author=1」と入れるとユーザー名が表示されます。
ユーザー名が表示されてしまいます。これは管理者だけじゃなく、誰でもできてしまいます。
もしユーザー名とログインIDが同じだと、後はパスワードを突破されたら見事ハッキングが完了されてしまいます。これは危険ですね。
なのでしっかり対策しましょう。
対策はプラグイン「Edit Author Slug」を使います。
「Edit Author Slug」を使うと
ユーザー名を隠すことができます。
詳しいやり方は 「WordPressでユーザー名を隠す方法(プラグインで簡単に隠す)」を参照ください。
WordPressでユーザー名を隠す方法(プラグインで簡単に隠す)
ユーザー名とログインIDを同じにした場合はログインIDを変更しましょう。
ログインIDを変更する方法はこちらご覧ください。
WordPressでログインIDを変更する方法(セキュリティ対策もセットで解説)
プラグイン「SiteGuard WP Plugin」を導入
セキュリティ対策3つ目はプラグイン「SiteGuard WP Plugin」の導入です。
「SiteGuard WP Plugin」は WordPressにインストールするだけで、セキュリティが向上する便利なプラグインです。
主にどんなセキュリティが向上するかというと
・何回かログインに失敗すると一定時間はロックされる
・ログイン時に画像認証が求められる
・ログインすると管理者にメールが届く
のようなセキュリティ効果があります。インストールするだけなので導入しましょう。
ダッシュボードから「プラグイン」>「新規追加」
検索窓に「SiteGuard WP Plugin」と入力。
「今すぐインストール」をクリック。
「有効化」をクリック。これで完了。
ダッシュボードに「SiteGuard」の項目が追加されます。
設定項目をここでカスタマイズできますが、最初はデフォルトのままで大丈夫だと思います。あまり複雑にすると自分がログインできなくなってしまいます。まずはこの状態で慣れていきましょう。
1点注意。このままだとログインIDのURLが変更されます。このログインIDのURLはお気に入りに登録します。
コメントスパム対策
セキュリティ対策4つ目は「コメントスパム対策」です。
コメントスパムとは、サイトのコメント欄にサイトの内容とは関係のないメッセージや広告などを書き込まれたものです。Wordpressの標準機能として記事に対してユーザーがコメントを書き込む機能があります。悪意のある人がプログラムを使って無差別に大量に広告目的のメッセージを送り込んできます。広告や勧誘などのスパムメールと同じですね。
WordPressを立ち上げるとコメントスパムに辟易する方も多いと思います。なので対策をしましょう。
対策は2つ。
・プラグイン「Akismet Spam Protection」を導入する
・コメント欄を閉じる
の2つです。
プラグイン「Akismet Spam Protection」を導入する
プラグインなのでインストールするだけです。 WordPressのデフォルト状態で既に入っている場合も多いと思いますが、一応解説します。
ダッシュボードから「プラグイン」>「新規追加」
検索窓に「Akismet Spam Protection」と入力。
「今すぐインストール」をクリック。
「有効化」をクリック。
「Akismet Spam Protection」はインストール・有効化するだけでは使えません。アカウントを設定します。
プラグイン済み一覧から Akismet の設定をクリック。
「Akismet アカウントを設定」をクリック。
4つのプランがありますが「Personal」で大丈夫です。「Get Personal」をクリック。
有料に設定しているので、金額の部分をポイントして
左にスライドして無料にします。
入力欄に「メールアドレス・名前・サイトのURL」を入力し、各チェック項目に全てチェックを入れます。
「CONTINUE WITH PERSONAL SUBSCRIPTION」をクリック。
クリックすると、Akismet からメールが届くので送られてきた認証コードを入力して「Continue」をクリックします。
次ににAPIキーを設定します。
もう一度、プラグイン済み一覧から Akismet の設定をクリックします。
「手動で API キーを入力」をクリックします。
先程の認証コードと同じように Akismet から API キーを赤枠の欄に入力し,「API キーを使って接続する」をクリックします。
「Akismet は現在サイトをスパムから保護しています。」と出ます。これでコメントスパム対策は設定完了です。
「コメント欄を非表示にする
そもそもコメント欄はいらないという方はコメント欄を非表示にすることができます。
WordPressのコメント欄はサイト全体・ページ毎に非表示設定することができます。コメント欄を非表示にしたい場合はこちらのをご覧ください。
WordPressでコメント欄を非表示にする方法(全体・ページ毎に設定)
バックアップをとる
時間をかけて作ったサイトが何かのトラブルで消えてしまったって考えるだけで恐ろしいですよね。
そんな時は万が一に備えてバックアップを取ることをおすすめします。バックアップさえあれば元に戻せることができます。反対にバックアップがなければどうしようもないのでバックアップは取りましょう。 WordPressでのバックアップの取り方はプラグインでできますので、この機会に導入しておきましょう。
バックアップはプラグイン「BackWPup」を使います。「BackWPup」の導入・設定方法・バックアップのとり方はこちらの記事をご覧ください。
WordPressでバックアップをとる方法(プラグイン BackWPup を使用)
まとめ
今回のまとめ。
・パスワードを複雑にする
・複雑なパスワードをつくるには「パスワードジェネレーター」を使用する
・ユーザー名を隠す
・ユーザー名を隠すにはプラグイン「Edit Author Slug」を使用する
・セキュリティを向上させるプラグイン「SiteGaurd WP Plugin」を導入する
・コメントスパム対策はプラグイン「Akismet Spam Protection」を導入・設定する
・コメントが不要な場合は非表示にしてコメントスパム対策をする
・プラグイン「BackWPup」でバックアップをとる
です。
WordPressのデフォルト状態はセキュリティが脆弱です。Wordpressが乗っ取られたりすることもあります。セキュリティ対策は今すぐに行いましょう。
それではまた。