WordPressは普及率が高いCMSですが、そのために脆弱性を利用した乗っ取りや改ざんなどの被害も増えています。
被害が増えてくると「WordPressはセキュリティ面で問題がある」という意見も出てきますが、きちんとした管理を行えば安全に利用することができます。
WordPressのセキュリティ対策
WordPressのセキュリティ対策は3つの面で行います。
1.WordPress本体のセキュリティ対策
WordPressセキュリティ対策の基本は、常に最新のWordPressを使うことです。
WordPress本体のアップデートには、現行バージョンのセキュリティアップデートと、バージョンナンバーが変わる大規模なアップデートがあります。
セキュリティアップデートはWordPressの自動更新を有効にしておけば自動でアップデートを行ってくれます。初期状態では自動アップデートが有効になっているので、変更しないでおけばOKです。
バージョンナンバーが変わるアップデート(6.4から6.5など)は、機能面などで大きな変化があることが多いため、自動アップデートではなく手動でアップデートする必要があります。
バージョンアップについてはロードマップが公開されています。
2.プラグイン・テーマのセキュリティ対策
WordPressを構成するもので欠かせないのが、機能を追加するプラグインと表示やデザインを扱うテーマです。
特に注意したいのがプラグインで、脆弱性を悪用される例が多数あります。
プラウグインもアップデートがあるので最新のバージョンを使うことでセキュリティ対策になります。長年アップデートがない、開発が停止しているプラグインは危険性が高いので使用しないようにしましょう。
また、利用しないプラグインは削除しておくようにします。
同様にテーマも最新バージョンを利用するようにします。
開発が終了し長年アップデートしていないテーマは、セキュリティ面の危険性の他、現在のWordPressに合わないために表示が崩れるなどの問題が出ることがあるので、使用しないようにしましょう。
3.運用上のセキュリティ対策
システムを安全な状態にしても運用上のセキュリティ対策が甘いと危険性があります。
- ユーザー名を表示させない・・・WordPressのログインユーザー名を記事に表示させないようにします。表示させる場合はニックネームを設定して表示させます
- パスワードを強固なものにする・・・単純な文字列や使い回しのパスワードではなく、簡単に類推できないような複雑なパスワードにします
- ダッシュボードへのアクセス制限をする・・・IPアドレスの制限をしたり、ダッシュボードのログインページのURLを変更するなどの設定変更ができるので、それらを行えばセキュリティがより強固になります
- 定期的にログインし状態を把握する・・・WordPressやプラグイン、テーマのアップデートはダッシュボードで把握できるので、定期的にダッシュボードにログインし、アップデートがあれば実施して最新の状態を保つようにします
WordPressサイトの中には、相当前のバージョンのまま運用されているものもあります。
その多くは自社で制作し運用している、または運用していたが放置されているもので、非常に危険な状態です。
乗っ取りや改ざんが発生すると、何をされるかわからず、被害も想定できません。
WordPressサイトを運用してるのであれば、セキュリティ対策もしっかり行い、活用していくようにしたいですね。