WordPress を使い始めたら、設定しないといけないことが沢山あるように感じているかと思います。
ここでは、基本的なセキュリティ対策を5つ、そしてプラグインを使ったセキュリティ対策を3つご紹介します。
WordPress歴10年以上です。ブロックエディタ好き。テーマはJINとLightning、Cocoonを使ってます。テーマやプラグインなどを試して使ってみるのが好きです。
初心者でもできる簡単で基本的なWordPressのセキュリティ対策5つ
基本的なセキュリティ対策5つは次のとおりです。
- コンピュータのセキュリティを保つ
- WordPressを最新に保つ
- パスワードをわかりにくくして使い回さない。
- 利用者ごとにユーザーを用意する
- サイトの通信を保護するSSL
これらの対策をしておけば、まず大きな問題はありません。
1.コンピュータのセキュリティを保つ
WordPress なのに自分のコンピュータのお話かよ、と思われるかも知れません。
ですが、自分のコンピュータを守っておかなければ、どれだけ WordPress を守ろうとしても守ることができません。
コンピュータのセキュリティを保つとは、
- OSを最新状態に保つ
- 使っているアプリをアップデートする
- セキュリティソフトを導入する
の3点です。
■1.OSを最新状態に保つ
これは、WindowsでもMacでも更新プログラムが通知されてくるので、それをちゃんと受け入れて更新作業をしておく、ということです。
■2.使っているアプリをアップデートする
OSのアップデート以外に、利用しているブラウザなどのアプリ、特にインターネットに関係しているものはアップデートをしておきましょう。また、使わないと分かっているアプリは削除しておくほうが良いです。
■3.セキュリティソフトを導入する
セキュリティソフトは、パソコンを買ったときに1年の無料期間が付いていたり、回線契約をしたときに2年間無料契約がついていたりします。
これらのサービスを上手に利用して、セキュリティソフトを積極的に導入しましょう。
例えば次のようなプロバイダなどがあります。
- ドコモ光×ひかりTVショッピング :最大2年間マカフィー(*)が利用できる
- 【ソフトバンク光】 :独自アプリBBセキュリティ(月額570円3台まで)
- 【J:COM(ジェイコム)】 :なし
- auひかり :なし
- 【@nifty with ドコモ光】 :常時安全セキュリティ24
(*)時期によりその他のセキュリティソフトの場合もあります。
お気に入りのプロバイダにサービスがない場合は、アプリを購入するなどして必ず対策をしましょう。
セキュリティソフトは、あなたの使用経験に基づいて選択して大丈夫です。使ったことのあるアプリを利用しましょう。
2.WordPressを最新に保つ
WordPressを最新に保つことでセキュリティ対策になります。以下の2点と、まだインストールされていないのであれば3点目もご参考ください。
- WordPress
- プラグイン
- インストール時にフォルダを指定する
■WordPress
WordPressのバージョンアップは、管理画面に通知が表示されます。
ただし、以下の点に注意しましょう。
・必ずバックアップをとること
・バージョンアップの種類によっては様子をみること
バックアップについては、本ページの最後にプラグインを用いたバックアップのご紹介をします。
ここでは、バージョンアップの種類について簡単にご説明します。
■バージョンアップの種類
バージョンアップは、アプリケーションの不具合に対応したマイナーバージョンアップと、仕組みに大幅な変更を加えたメジャーバージョンアップの2種類があります。
○メジャーバージョンアップ
WordPress 5.1 → WordPress 5.2 または WordPress 6
○マイナーバージョンアップ
WordPress 5.01 → 5.02
注意しないといけないのは、メジャーバージョンアップの方です。
仕組みが大きく変わることで、不具合が発生したりプラグインが動かなくなったりすることがあります。
そのため、慌ててアップデートすることは必要ありません。
一ヶ月以上様子を見てからアップデートをするくらいで構いません。
マイナーバージョンアップは、だいたいが軽微な不具合を修正、あるいは機能追加するためのものです。すぐに反映しても問題はないことがほとんどです。
しかし、どちらの場合も事前にバックアップをとっておきましょう。
■プラグイン
プラグインのバージョンアップは頻繁に行われています。
さらに、ダッシュボードで案内される場合のほとんどが、現行バージョンで問題ないことが確認されているので、アップデートしても問題ありません。
ただし、こちらのバージョンアップも事前にバックアップを取っておくようにしましょう。
めったに問題がおきることはないのですが、
特にバージョンアップを遅らせれば遅らせるほど問題が起きやすい
ので、注意をするようにしてください。
■インストール時にフォルダを指定する
これはこれからWordPressをインストールする人向けの情報です。
通常インストールは、ドメイン直下のディレクトリにインストールするのですが、自分でフォルダを作ってその中にインストールすることができます。
こうすることで、
ログイン画面をわからないようにする
ことができます。
もちろん、本気で探そうと思えば探し出せるのでしょうが、ドメイン直下にログイン画面を用意するよりは遥かに安全です。
ただし、後から手を加えようとするときにディレクトリの概念が無ければ、変なことになりかねませんので、自信がないときは通常インストールを行いましょう。
このログイン画面をハッキングする対策として、有益なプラグインがあります。それを使うほうがかなり楽ですよ♪
3.パスワードをわかりにくくして使い回さない。
ログインパスワードは、Chromeなどのブラウザを利用していると、自動的に強固なものを作成してくれます。
Googleアカウントを利用していれば、アカウントにパスワードが紐づけされます。
アカウントのログイン情報さえ忘れなければ、異なるコンピュータからもパスワードを利用してログインすることができます。
こういう機能は大変便利です。
他にも、1Password のようなパスワード管理アプリを利用する方法もあります。
どのような方法をとるにしても、パスワードを安易に簡単なもので済ませないようにしましょう。
また、同じパスワードを使い回すのも極力避けましょう。
4.利用者ごとにユーザーを用意する
複数人でサイトを管理する場合、管理者権限以外のユーザーを作成して、普段はそちらを利用するようにしましょう。
管理者権限では、サイト内の設定も簡単に変更されてしまいます。この権限は、WordPress の知識がある人が使用するべきです。
個人で利用する場合は、管理者権限のままで利用していても問題ありません。
5.サイトの通信を保護するSSL
インターネット上でやり取りされる情報を保護する仕組みがSSLというものです。
ご自身のサイトを通じてお客様がお問い合わせやご注文をされる場合、その通信内容を暗号化して保護します。データが安全にやりとりされますし、なによりも訪問されたお客様が安心してあなたのサイトを利用することができます。
契約しているサーバーですぐに設定できる場合と、WordPress のプラグインで設定する方法の2通りがあります。
XserverでSSLの設定をする場合は、こちらをご覧ください。
WordPressのプラグインで設定する場合は、こちらをご覧ください。
プラグインでセキュリティ設定方法3つ
次にプラグインで簡単にできるセキュリティ設定を3つご紹介します。
- ログイン画面保護 SiteGuard WP Plugin
- 迷惑メール対策
reCaptcha> akismet - バックアップ UpdraftPlus
なお、それぞれのプラグインの設定は、画像も多くて説明も長くなりますので、個別の紹介ページにて説明してあります。
ログイン画面保護 SiteGuard WP Plugin
Siteguard WP Pluginは、ログイン画面URLを自由に変更できるプラグインです。
WordPress は、世界中で利用されているCMSサービスの一つです。
ログイン画面は、変更をしないかぎり同じ名前のURLで入ることができます。
それを保護する方法の一つとして、ドメイン直下に WordPress をインストールしないこと。
インストールするときに、フォルダを作成してそこへインストールすれば、少しはマシになります。
が、それも分かってしまうので、変更する必要があります。
SiteGuard WP Plugin の設定方法はこちらを御覧ください。
https://wptg.work/jinswell/wordpress/how-to-set-up-siteguard-wp-plugin/コメントスパム・迷惑メール対策 reCaptcha > Akismet
WordPressのページに設置しているコメント欄やお問い合わせ欄。
これを利用してスパムメールを大量に送りつけられることがあります。
大抵がロボットAIが自動的に処理していることから、
これをGoogleのAIが判定してスパムメールを排除してくれます。
この reCaptcha という仕組みは、Google 社が提供しているサービスです。
利用に当たり、WordPress の登録や Google アカウントの作成などの
条件があります。
多くの人が Google サービスを利用していると思われるので、アカウントはすでにお持ちの方が多いかも知れません。
Google アカウントを作成したら、実際に reCaptcha のプラグインを入れてみましょう。
と、ご紹介する予定だったのですが・・・。
2021.1.4現在、reCaptcha をすぐに使えるプラグインの更新が止まっています。
phpなど扱えれば設定できるのですが、初心者向けではありません。
同様のサービスで、Akismet というサービスがありますので、こちらをご紹介します。
■Akismetのご紹介
https://wptg.work/jinswell/wordpress/prevent-comment-spam-with-akismet/※Akismet は無料で利用できるのですが、広告などを掲示している場合は、有料利用になります。
このサイトを参考にされている方のほとんどがアフィリエイトリンクを利用していると思います。その場合は、こちらの Google reCaptcha を利用されるほうが賢明です。
Google reCaptcha は、現バージョンに対応が確認されたら改めてご紹介致します。
バックアップ UpdraftPlus
WordPressのバックアップは、先にも何度か説明してましたが、アップデートの際に必ず行って欲しい作業の一つです。
このバックアップは、最初の設定をすれば後は自動的にバックアップ作業をしてくれます。
また、今回のようなWordPress や プラグインのアップデートをするときに、自分で実行させると、その時のバックアップをすぐに作成することができます。
このプラグインに関しては、こちらのページにてご説明します。
https://wptg.work/jinswell/wordpress/backup-plugin-updraftplus/まとめ
以上、あなたのブログを守る設定のご紹介でした。
■初心者でもできる簡単で基本的なWordPressのセキュリティ対策5つ
- コンピュータのセキュリティを保つ
- WordPressを最新に保つ
- パスワードをわかりにくくして使い回さない。
- 利用者ごとにユーザーを用意する
- サイトの通信を保護するSSL
■プラグインでセキュリティ設定方法3つ
- ログイン画面保護 SiteGuard WP Plugin
- コメントスパム・迷惑メール対策
reCaptcha> Akismet - バックアップ UpdraftPlus
■ご紹介したプロバイダとウイルス対策アプリ
- ドコモ光×ひかりTVショッピング :最大2年間マカフィー(*)が利用できる
- 【ソフトバンク光】 :独自アプリBBセキュリティ(月額570円3台まで)
- 【J:COM(ジェイコム)】 :なし
- auひかり :なし
- 【@nifty with ドコモ光】 :常時安全セキュリティ24
一つ一つは難しくありません。
慌てずに対応していってください。
以上です。