第06回「WordPressで最低限のセキュリティ対策4選」(穂苅智哉のKUSANAGI高速セキュリティコラム)

1.はじめに
みなさん、こんにちは。WordPress使ってますか? KUSANAGI、使ってますか?
WordPressの高速実行環境KUSANAGIを紹介するコラムを書いている、プライム・ストラテジー株式会社のセールスエンジニア、穂苅 智哉(ほかり ともや)です。
前回は、タイムリーな話題として、WordPressの脆弱性とその対応(保守)についてお話してきました。

前回の記事はコチラ

https://goo.gl/omG0ua

WordPressに限らず、脆弱性(ぜいじゃくせい)というワードは今後ますます見聞きすることが多くなってくるでしょう。
こういった外部要因に対応するために私たちのような企業があるのですが、
WordPressでWebサイトを持っている方たちに絶対やっておいてほしいセキュリティ対策というものがあります。

これは、やり方を知っていれば誰でもできます。まだ行っていない対策がありましたらすぐにやってください!!

2.最低限のセキュリティ対策4選
その1:使用していないプラグインはすぐに削除する
プラグインは色々試してみたくなるのが人の常ではないでしょうか。
WordPressの管理画面からプラグインを検索してインストールするだけで、SNS機能が使えたり、お問い合わせフォームが出来たり、Webサイトに来た数などデータが取れたりできるのですから。
インストールしているだけで使っていないプラグイン、試し、現在は使わなくなっているプラグインってどのWebサイトにも結構あるものです。(おそらく今このコラムを見ていただいている方も・・・)
ただ、こういったものは案外危険であることを知っておいてほしいです。
「停止」にするだけではなく、「削除」しましょう。
もしプラグインに脆弱性が存在した場合、その脆弱性が狙われる可能性があるからです。
「使わないプラグインは完全削除」です!

その2:ユーザー名とパスワードは推測されにくいものにする
ユーザー名、ID、パスワード、お客様番号、会員番号、ご契約者番号・・・
辛いことに現在の私たちは非常に多くのIDやパスワードを駆使しなければならなくなっています。
セキュリティ上これらが必要であることはわかっているのですが、ここまで膨大なものを覚えることは現実的に不可能ですよね。
すると覚えやすい、自分の身近に関連したものをIDやパスワードとして使用するようになります。
例えば、自分の名前、誕生日、住所、好きな有名人、親兄弟親戚に関連する数字、言葉などなど。会社であれば会社名や所在地、製品に関連したものが推測できます。
これらは、攻撃者(個人情報を盗んだり改ざんしたりしようとする人たち)にとっても容易に推測できるので非常に危険です。
すぐに変更しましょう!
WordPressの管理画面に入って、ユーザーというところから変更できます。

その3:/wp-adminで管理画面のログインページに行けないようにベーシック認証をかける
WordPressのサイトは、デフォルトの状態でURLの後に/wp-adminと付け足すと、WordPressの管理画面ログインページに遷移することが出来ます。

下の画面が、WordPressの管理画面ログインページです。
ここでユーザー名とパスワードを入れると、管理画面へ入れます。

例えば、https://www.sample.comというサイトがWordPressだった場合、https://www.sample.com/wp-adminとしてEnterキーを押すと管理画面のログインページに遷移します。
これ、危険ですよね。
ここまでたどり着いて、ユーザー名とパスワードが簡単なものだったらすぐに管理画面に入られてしまいます。
ということは、/wp-adminと入力してもログインページに遷移しなければ良いわけですよね。
対策の一つが、ベーシック認証です。要は、/wp-adminと打つと、ベーシック認証のIDとパスワードを要求されるようにするのです。
2段階の認証です。
基本的にはサーバ側の設定になるのですが、調べてみるとサーバ会社様でブラウザの画面からクリックしていけば認証がかけられるものもあるようです。
詳しくは、お使いのサーバ会社様+ベーシック認証で検索してみてください。

その4:wp-config.phpをDocumentRootと同階層にする
また技術っぽい感じになっていますが、つまりはWordPressのセキュリティ上重要なファイルであるwp-congig.phpというファイルの場所を移動させるということです。
何故か?
それは、MySQLデータベースへの接続情報などサイトの基礎となる詳細な構成情報が含まれているからです。
KUSANAGIのサイトに詳しく記載しております。
https://kusanagi.tokyo/document/security/

3.WordPressとセキュリティとKUSANAGIとプライム・ストラテジー
「WordPressはセキュリティがちょっと問題になっているって聞いたことがあるから使わないんだよね」
よく聞きますが、「WordPressだから」ではなく、「世界で一番使われているオープンソースのCMSだから」こういった話題がニュースとして広がるのです。
よく使われる理由は、使いやすさや豊富なテーマ、豊富なプラグインだと思います。
特に企業や団体のWebサイトを管理、運営されている方は、上記の対策は少なくともしておくことをおすすめします。
もしこういった運営サイトのセキュリティにご不安を感じておられるようであれば、プライム・ストラテジーにご一報下さい。
一緒に、お客様の不安を解消できるようにサポートさせていただきます。

4.おわりに
今回は、「WordPressを扱う者なら絶対やっておきたい、最低限のセキュリティ対策4選」を紹介いたしました。
一口に「セキュリティ」といっても多様な角度、切り口があるので今回の内容も一つの切り口としてご参考になれましたらうれしいです。
それではまた、次回をお楽しみに!!

※プライム・ストラテジーのWordPress公式サポートについては以下をご覧ください。
https://www.si-jirei.jp/kusanagi/

関連記事

更新情報

最新コラム

  1. はじめに「業務改善へのミチノリ」コラムを書かせていただいています、橋川 吾教(みちのり)です。…
  2. こんにちは。吉政創成の吉政でございます。第四回は「Cisco Merakiで地方観光を活性化しません…
  3. 1.はじめにみなさん、こんにちは。WordPress使ってますか? KUSANAGI、使ってます…

ログインステータス

ログインしていません。

最新事例

  1. 某ホテル Wi-Fiを活用した顧客サービスの強化事例を公開しました。興味がある方はログインの上、ダウ…
  2. 今回は日本のネットワーク市場、とりわけ流通小売企業を中心とした多店舗展開をされている企業から注目をう…
  3. NEC PBXとCiscoコミュニケーションツールの連携事例【某製造業事例】を公開しました。…
ページ上部へ戻る