WordPressサイトの保守、最低限やっておきたい対策
WordPressは世界中で利用されているCMSですが、その普及率の高さゆえに、常に攻撃の対象にもなっています。
実際には、多くのWordPressサイトに対して日々ロボットによるログイン試行(いわゆるブルートフォース攻撃)が行われています。
ほとんどの場合は自動化されたプログラムによるもので、無作為にIDやパスワードを試しながらログインを試みるものです。
しかし、基本的な対策をしておくことで、こうしたリスクは大きく減らすことができます。
今回は、WordPressサイトを守るために最低限やっておきたい対策を紹介します。
(1)定期的にバックアップを取る
まず最も重要なのがバックアップです。
もしサイトが改ざんされた場合でも、バックアップがあれば迅速に復旧することができます。
バックアップは
・サーバーのバックアップ機能
・WordPressプラグイン
などを使って定期的に取得しておくことが重要です。
また、更新作業を行う前には必ずバックアップを取る習慣をつけておくと安心です。
(2)テーマ・プラグインは常に最新状態に
WordPressのテーマやプラグインは、
セキュリティ修正が含まれるアップデートが頻繁に行われます。
そのため
・WordPress本体
・テーマ
・プラグイン
は、できるだけ最新の状態に保つことが重要です。
ただし、アップデートによってサイト表示に影響が出る場合もあります。
そのため、事前にバックアップを取ってから更新することをおすすめします。
(3)ログインURLを変更する
WordPressのログインページは通常
/wp-admin または、/wp-login.phpとなっており、誰でもアクセスできます。
そのため、多くの攻撃はこのログインページを狙って行われます。
これを防ぐためにログインURLを変更するという対策があります。
例えば
などのプラグインを使うことで、ログインURLを簡単に変更することができます。
これだけでも、多くの自動攻撃を回避することが可能です。
(4)定期的にパスワードを変更する
ログインパスワードは、定期的に変更することをおすすめします。
また、パスワードは
・長さ
・英数字
・記号
を組み合わせた、推測されにくいものにすることが重要です。
(5)パスワードを共有しない
複数人でサイトを管理している場合でも、パスワードを共有することはおすすめできません。
WordPressではユーザーごとに
・管理者
・編集者
・投稿者
などの権限を設定することができます。
それぞれにアカウントを発行し、個別のログイン情報で管理することが安全です。
基本的な対策が一番効果的
WordPressのセキュリティ対策というと、高度なシステムを想像されることもあります。
しかし実際には
・バックアップ
・更新
・ログイン管理
といった基本的な対策をしっかり行うことで、多くのトラブルを防ぐことができます。
WordPressサイトを運営している方は、ぜひ一度チェックしてみてください。
