WordPressのセキュリティ意識を高めましょう

ポータルサイトにもよく使われるWordPressは、オープンソースかつ普及率が高いため、攻撃対象になりやすいツールです。

ただインストールしただけで運用するよりも、少しセキュリティへの意識を高めましょう。

管理者アカウントの考慮

WordPressインストール時に管理者のアカウントを設定しますが、ここで推測しやすいパスワードを設定するのは避けましょう。

入力欄にパスワードの強度が表示されますが、強度の高い「グリーン」になるようにします。

また、なるべく他で使用しているパスワードと同じものを使わないようにしましょう。

パスワードをしっかりすることで、多くの攻撃から守ることができます。

加えてログインIDに関しても、できれば一般的な文言（「admin」「wordpress」、ドメイン名など）ではないものにすると良いでしょう。

プラグインで不正を軽減

SiteGuard WP Plugin

https://ja.wordpress.org/plugins/siteguard/

管理画面のログイン時に日本語でのキャプチャ認証を追加できるため、日本語圏以外からの不正ログインを防ぎやすくなります。

管理画面のログインURL変更などもできるため、利便性を鑑み、必要に応じて適用しましょう。

また、サーバーがファイヤーウォールに対応していればファイヤーウォールのルール適用にも対応しているため、不正な投稿なども防ぐことができます。

アップデートは接触的に行う

WordPressのアップデートは頻繁に行われており、その多くはセキュリティ強化のアップデートです。

もしアップデート通知に気づいたら、積極的に行いましょう。

アップデート対象として、Wordpress本体と「プラグイン」、自作でない場合は「テーマ」も対象です。

「プラグイン」はWordPressバージョン5.5以降では自動アップデートが利用できます。

WordPress本体と同様、自動アップデートは軽微なバージョンアップが対象なため、自動化することをおすすめします。

大きなアップデートがある場合にもできればすぐに適用した方が良いため、バージョンアップで不具合が起きないか検証できる環境（テスト用サイト）をあらかじめ用意しておくと良いでしょう。

定期的にバックアップしておく

定期的にバックアップしておけば、もし改ざんされたりした場合に元に戻せる可能性があります。（原因の追究も必要なため、改ざんされた状態の保存も検討しましょう）

アップデートで不具合が起きた場合にも、バックアップがあると安心です。

サーバーにバックアップオプションがあると楽ですが、もしない場合は以下のようなプラグインで対応しましょう。

UpdraftPlus WordPress Backup Plugin

https://ja.wordpress.org/plugins/updraftplus/

上記プラグインはデータベースだけでなくテーマやプラグイン、アップロードしたメディアなどもまとめてバックアップでき、バックアップファイルを外部サーバーに設定することもできます。

まとめ

セキュリティは先手先手の対策が不可欠です。

WordPressインストール前から、あらかじめセキュリティの要件を検討しましょう。