本サイトではアフィリエイト広告を利用しています

これだけでOK!WordPressブログのセキュリティ対策7選

カワタツ
カワタツ

こんにちは、カワタツです。
このようなお悩みを解決する記事を書きました!

今回は実際にぼくがしている、WordPressブログのセキュリティ対策を7つご紹介します。

記事の前半では『セキュリティ対策が必要な理由』と『起こり得る被害』について解説しつつ、記事の後半では具体的な『セキュリティ対策7つ』と『おすすめプラグイン』をご紹介しますね。

初心者でも簡単にできて、これだけしておけば大丈夫という内容なので、ぜひ最後までご覧いただき、しっかり対策しておきましょう。

すぐにセキュリティ対策を読みたい方は
▼セキュリティ対策を読む
からどうぞ。

WordPressブログの開設がまだの人は、下記の記事で説明しているのでどうぞ。

プロフィール

WordPressブログにセキュリティ対策が必要な理由2つ

まずは「そもそもセキュリティ対策って必要なの?」という疑問にお答えします。

WordPressにセキュリティ対策が必要な理由は下記2つです。

それぞれ解説します。

1.攻撃の対象となりやすい

WordPressはサイバー攻撃の対象とされやすいんです。

なぜならWordPressは世界で最も使用されているCMSだから。

どうせ攻撃するなら、利用者が少ないサービスより多いサービスを狙ったほうが効率がいいですよね。

攻撃者にとったら多くのサイトに影響を与えることができるので、WordPressが狙われやすいわけです。

2.オープンソースの脆弱性

WordPressがオープンソースであることも狙われる理由になります。

オープンソースは誰でも、ソースコードを確認・編集できるというメリットがある反面、脆弱性が発見されやすいというデメリットもあるんです。

また、WordPressの機能拡張のためのプラグインやテーマにも脆弱性が存在する可能性があります。

このようにWordPressは狙われやすい状態にあるので、セキュリティ対策が重要なんです。

WordPressブログのセキュリティ対策をしないことで起こり得る被害3つ

ではセキュリティ対策をしていないことで、どのような被害が起こり得るのでしょうか。

ここでは3つご紹介します。

それぞれ見ていきましょう。

1.ブログの改ざん・データ漏えい

まず第一にWordPressに不正ログインされる被害がありえます。

その結果、ブログ記事を改ざんされたり、個人情報を盗まれる可能性があるんです。

改ざんされた記事を確認しつつ、修正するのは相当な負担ですよね。

また、個人情報が盗まれるとさらに被害が広がる可能性があります。

2.マルウェアの感染

マルウェアとは『悪意のあるソフトウェア』のことで、ユーザーの知識や同意なしにコンピューターシステムに損害を与える目的で設計されています。

自分の知らない間にサイトにマルウェアを仕込まれ、読者のコンピュータに感染するという被害もあるんです。

そうなると自分だけでなく、読者の個人情報が盗まれたりと被害が拡大してしまいます。

自分だけではなく、読者を守るためにもセキュリティ対策は重要になるんです。

3.SEOの評価低下

3つ目はSEOの評価低下という被害です。

サイトが攻撃を受けると、検索エンジンから悪質なサイトと認識されることがあります。

その結果、検索ランキングが下がり、アクセス数が減少してしまう可能性があるんです。

検索結果から除外されることもあるので、しっかりセキュリティ対策はしておきましょう。

WordPressブログのセキュリティ対策7つ

ここからはWordPressのセキュリティ対策を7つご紹介します。

それほど難しいことではないので、ひとつずつ対策をしていきましょう。

1.最新の状態に保つ

最新の状態に保つことは、セキュリティ対策の基本です。

開発者はセキュリティの脆弱性を修正するアップデートを定期的にリリースしているんです。

具体的には下記4つを最新の状態に保つようにしましょう。

  • WordPress
  • WordPressテーマ
  • WordPressプラグイン
  • PHP

それぞれ画像で説明します。

WordPress・テーマ・プラグイン

まずはWordPress・テーマ・プラグインを最新の状態に更新する手順のご紹介です。

WordPress管理画面から「ダッシュボード』→『更新』を選択します。

更新
『更新』を選択

すると更新が必要なものが表示されるので、更新をしましょう。

カワタツ
カワタツ

今回は何も表示されていませんが、更新が必要なものがあれば赤い数字が表示されます。

PHP

PHPとはサーバー上で動作するプログラミング言語のひとつで、主にレンタルサーバーの管理画面でバージョンを変えることができます。

ここではエックスサーバー を例に解説します。

まずはエックスサーバー のサーバーパネルにログインしてください。

サーバーパネルにログイン
サーバーパネルにログイン
ログインする
ログインする

ログインしたら『PHP Ver.切替』を選択しましょう。

PHP Ver.切替を選択
PHP Ver.切替を選択

つぎに該当するドメインを選びます。

ドメインを選ぶ
ドメインを選ぶ

推奨となっている中で最新のバージョンを選択し、『変更』をクリックしましょう。

最新バージョンに変更する
数字が大きいほど最新です

以上で完了です。

PHPを更新することで、処理スピードが早くなる可能性もありますよ。

カワタツ
カワタツ

推奨バージョン以外は不具合がある場合があるので、推奨バージョンを選択するようにしましょう。

2.不要なプラグイン・テーマの削除

使っていないプラグインやテーマは削除しましょう。

使っていないプラグインやテーマは、セキュリティの更新が行われないまま放置されることが多く、潜在的な脆弱性となり得ます。

無効化していても、攻撃されることがあるので削除しておいたほうがいいですよ。

プラグインの削除方法

まずはプラグインの削除方法から説明します。

WordPressの管理画面より『プラグイン』→『インストール済みプラグイン』を選択しましょう。

プラグインの削除方法
インストール済みプラグインを選択する

もし削除したいプラグインが有効化されていれば、『無効化』してください。

無効化する
無効化する

無効化したら『削除』をクリックします。

プラグインを削除する
プラグインを削除する

下記のように確認されるので、『OK』をクリックしましょう。

プラグインを削除
『OK』をクリック

以上で削除完了です。

テーマの削除方法

つづいてWordPressテーマの削除方法を説明します。

WordPress管理画面から『外観』→『テーマ』を選択しましょう。

テーマの削除方法
『テーマ』を選択

つづいて削除したいテーマにカーソルを合わせ『テーマの詳細』をクリックします。

テーマの詳細
『テーマの詳細』をクリック

つぎに『削除』をクリックしましょう。

テーマを削除
『削除』をクリック

以下が表示されたら『OK』をクリックします。

テーマを削除
『OK』をクリック

以上で削除完了です。

3.強力なパスワードの使用

パスワードは推測困難な複雑なものにしましょう。

パスワードが簡単だと、容易に破られ不正ログインの原因になります。

具体的には下記を意識しましょう。

  • 英数字、記号を組み合わせた8文字以上にする
  • パスワードの使いまわしをしない
  • 定期的に変更する
  • 誕生日など推測されやすいものにしない

パスワードの変更は、まずWordPress管理画面から『ユーザー』→『プロフィール』を選択します。

パスワードの変更
『プロフィール』を選択

そして下の方へスクロールし『新しいパスワードを設定』をクリックしましょう。

パスワード変更
『新しいパスワードを設定』をクリック

新しいパスワードを入力したら、『プロフィールを更新』をクリックします。

パスワード変更
『プロフィールを更新』をクリック

以上でパスワード変更の完了です。

カワタツ
カワタツ

パスワードはできるだけ『強力』となるようにしましょう。

4.アクセス制限

レンタルサーバーによっては、ログイン画面にアクセス制限をかけることができます。

これによりWordPressの管理画面にアクセスするときに、IDとパスワードが必要になりセキュリティが強くなるんです。

エックスサーバー での設定方法をご紹介します。

まずエックスサーバー のサーバーパネルにログインしましょう。

サーバーパネルにログイン
サーバーパネルにログイン
ログインする
ログインする

ログインしたら『アクセス制限』をクリックします。

アクセス制限
『アクセス制限』をクリック

つぎに該当のドメインを選択しましょう。

ドメインを選ぶ
ドメインを選ぶ

つづいて『wp-admin』のアクセス制限を『ON』にして『設定する』をクリックします。

アクセス制限
アクセス制限をONにする

つぎに『戻る』をクリックしてください。

アクセス制限
『戻る』をクリック

つづいて『wp-admin』の『ユーザー設定』をクリックしましょう。

ユーザー設定
『ユーザー設定』をクリック

任意の『ユーザーID』と『パスワード』を設定し『確認画面へ進む』をクリックします。

IDとパスワードを設定する
IDとパスワードを設定する
カワタツ
カワタツ

IDとパスワードは忘れずにメモしておきましょう。

『追加する』をクリックしましょう。

アクセス制限
『追加する』をクリック

以上で設定完了です。

WordPressの管理画面にログインする際に、下記が表示されるようになります。

アクセス制限
ユーザー名とパスワードを求められる

先ほど設定した『ユーザーID』と『パスワード』を入力しないと、ログインできないようになりました。

5.ユーザー名の偽装

実は、WordPressへログインするためのユーザー名は、誰でもかんたんに調べることができるんです。

ユーザーID
ユーザー名の入力箇所

ユーザー名が分かってしまえば、あとはパスワードを推測するだけでいいので、攻撃しやすくなりますよね。

そこでユーザー名を分からなくしようというわけです。

ユーザー名が表示されているのは下記2箇所。

記事の著者情報を偽装する

ひとつめは記事の著者情報です。

執筆者情報
執筆者情報

お使いのテーマによりますが、上記のように記事の最初か最後に執筆者の名前が表示されることがあります。

この表示名がデフォルトでは『ユーザー名』になっているんです。

表示する名前を変更しておきましょう。

WordPress管理画面から『ユーザー』→『プロフィール』を選択します。

パスワードの変更
『プロフィール』を選択

つづいて『ニックネーム』の欄に任意の名称を入力し、下にスクロールして『プロフィールを更新』をクリックしましょう。

ニックネームを変更
ニックネームを変更する
プロフィールを更新
プロフィールを更新する

すると『ブログ上の表示名』で先ほど入力したニックネームを選べるようになるので、そちらを選び再度『プロフィールを更新』をクリックしてください。

表示名を変更する
表示名を変更する

以上で変更完了です。

投稿者アーカイブのURLを偽装する

もうひとつは『投稿者アーカイブのURL』です。

投稿者アーカイブは下記のURLでアクセスすることで、誰でも閲覧することができます。

https://サイトのURL/?author=1

実はこの投稿者アーカイブページのURLに、ユーザー名が表示されているんです。

下記は当サイトの投稿者アーカイブページです。赤枠の部分が『ユーザー名』になります。

投稿者アーカイブ
赤枠部分がユーザー名

このURLを変更することで、ユーザー名を分からなくするというわけです。

方法はプラグインの『Edit Author Slug』を使用します。

まずプラグインをインストールし、有効化しましょう。

WordPressの管理画面から『プラグイン』→『新規プラグインを追加』を選択します。

新規プラグインを追加
『新規プラグインを追加』を選択する

右上の検索窓の『Edit Author Slug』と入力し『今すぐインストール』をクリックしましょう。

今すぐインストール
『今すぐインストール』をクリック

インストールしたら、『有効化』をクリックしてください。

有効化
有効化する

プラグインを有効化したら、WordPress管理画面から『ユーザー』→『プロフィール』を選択します。

パスワードの変更
『プロフィール』を選択

下までスクロールすると『投稿者スラッグ編集』という欄ができているので、『カスタム設定』を選択し、任意の名称を入力したら『プロフィールを更新』をクリックしましょう。

スラッグ編集
スラッグを変更する

以上で完了です。投稿者アーカイブURLのユーザー名の部分が、設定した名称に変更されているので確認してみてください。

6.ログイン試行回数の制限

短時間に連続してログイン失敗したときに、アクセス制限をかけることでパスワード総当たりによる不正アクセスを防ぐことができます。

レンタルサーバーによっては、ログイン試行回数を制限できる機能がある場合があるので、そちらを使うのがオススメです。

レンタルサーバーに機能がない場合は、プラグインの『Limit Login Attempts Reloaded』を使いましょう。

ちなみにエックスサーバー はログイン試行回数制限の機能が初期状態でONになっています。

エックスサーバー のセキュリティ対策機能については、下記をご覧ください。

→WordPressセキュリティ設定

7.定期的なバックアップ

定期的なバックアップを取っておくことも大切です。

万が一被害を受けたときに、復旧することができます。

レンタルサーバーによっては、バックアップ機能を備えているものもあるので、手間がかからずオススメです。

ちなみにエックスサーバー でも無料で自動バックアップ機能を提供していますよ。

レンタルサーバーにバックアップ機能がなければ、プラグインの『UpdraftPlus』がオススメです。

WordPressブログのセキュリティ対策におすすめなプラグイン3つ

最後にWordPressのセキュリティ対策におすすめなプラグインを3つご紹介します。

ちなみにプラグインのインストール方法などは、下記の記事をご覧ください。

1.Edit Author Slug

『Edit Author Slug』はユーザー名がURLに表示されないようにし、不正なアクセスを防ぐことができるプラグインです。

設定方法は『投稿者アーカイブのURLを偽装する』をご覧ください。

2.Limit Login Attempts Reloaded

『Limit Login Attempts Reloaded』はログイン試行回数を制限することができるプラグインです。

設定方法を解説します。

プラグインをインストールし有効化したら、WordPress管理画面の『Lomit Login Attempts』→『設定』を選択しましょう。

設定
『設定』をクリック

通知を受けるメールアドレスを入力し、下へスクロースします。

メールアドレスを入力
メールアドレスを入力

そしてロックの条件を入力したら、『設定を保存』をクリックしましょう。

条件を入力
条件を入力し保存

以上で設定完了です。

3.UpdraftPlus

WordPress ブログ プラグイン おすすめ
出典:UpdraftPlus

『UpdraftPlus』はデータのバックアップと復元ができるプラグインです。

設定方法を見てみましょう。

プラグインをインストールし有効化したら、WordPress管理画面から『設定』→『UpdraftPlus バックアップ』を選択します。

設定を開く
UpdraftPlusの設定を開く

『設定』タブを開き、バックアップする頻度と保存しておくファイルの数を設定し『変更を保存』をクリックしましょう。

バックアップのスケジュール
バックアップのスケジュール

設定した頻度で自動バックアップしてくれるようになります。

『バックアップ / 復元』タブの『今すぐバックアップ』をクリックすることで、手動でバックアップを取ることも可能です。

手動でバックアップ
手動でバックアップ

データを復元したい場合は、同じく『バックアップ / 復元』タブの『復元』からできます。

データを復元する
データを復元する

まとめ:WordPressブログのセキュリティ対策

今回はWordPressのセキュリティ対策について解説しました。

おさらいです。

WordPressのセキュリティ対策を怠ると、ブログ改ざんやデータ漏えいなど、深刻な被害につながる可能性があります。

ぜひ上記7つの対策をし、安全なブログ運営を行いましょう。

フリーWi-Fiを使うときの、セキュリティ対策を下記でご紹介しているので、合わせてどうぞ。

今回は以上です。最後までお読みいただき、ありがとうございました。参考になれば幸いです。

無料メルマガで発信中

ブログ運営に役立つ情報を無料メルマガで発信しています。

今メルマガにご登録いただくと、記事構成テンプレートをプレゼント。

\不満足なら1秒で解約できます/

メルマガに無料登録する

記事構成の作成方法は、こちらの記事を参考にどうぞ。

  • この記事を書いた人
カワタツ

カワタツ

ブロガー。ブラック労働→副業ブログ→フリーランス。以前は会社に縛られた生活をしていましたが、今ではブログのおかげで自由に生きてます。

-ノウハウ
-,