ニーズの多様化に伴い増え続けているCMSの中で、2024年でもメジャーなCMS「WordPress」ですが、不正アクセスやログインアタックなどが行われ、情報を盗み取られたりWebサイトの乗っ取りが起きるケースがあります。
そのため、運用するWebサイトのセキュリティ対策は必要不可欠なものになっています。
今回はWordPressのセキュリティ対策で取り組むべきことについてご紹介いたします。
常に最新バージョンを維持する
WordPressは定期的に脆弱性やセキュリティホールの修正のためにバージョンアップを行っています。
そのため、セキュリティを安全に保つのであれば常に最新バージョンを維持しておくことが大切です。
そのうえで一つ気をつけておかないといけないのが、サーバーの環境です。
2024年10月現在の最新バージョンである6.6.2は推奨環境としてPHP 7.4、MySQL 8.0以上の環境が必要になっています。
古くから運用しているサーバーを利用し続けている場合は、PHPやMySQLのバージョンの見直しや、サーバー自体のリプレイスが必要になってくる場合もあります。
プラグインも常に最新バージョンを維持する
WordPress本体だけでなく、利用しているプラグインも常に最新を維持することが大切です。
プラグインの脆弱性情報で検索をすると、過去に脆弱性が見つかって修正版のアップデートを推奨する記事が多く見つかります。
中には重大な脆弱性が見つかっていて、そのプラグインを導入しているだけでリスクが発生する懸念がある場合もあるため、プラグインは最新バージョンを維持することが大切です。
管理画面やログイン画面にはアクセス制限をかける
WordPressのWebサイトへの攻撃は、ログイン画面で不正にログインを行い、管理者権限で管理画面にログインされる経路が多いです。
そのため、経路となるログイン画面や管理画面はIPによるアクセス制限や、Basic認証でパスワード入力を行う2重ログインの方法を取ることが推奨されます。
セキュリティ用プラグインを導入する
セキュリティ対策を行うためにプラグインを導入するのも選択肢の一つです。
導入するだけで簡単にセキュリティ対策が可能です。
セキュリティ対策でメジャーなプラグインを4点紹介します。
SiteGuard WP Plugin
基本的なセキュリティ対策ツールが入っているプラグインです。
導入するだけで以下機能が利用できます。
・複数回パスワード入力を失敗した際のログインロック
・ログイン画面の画像認証
・ログイン者の監視とメール通知
・ログインページの変更
・WordPress内リソースのアクセス禁止
バックアップや診断機能はありませんが、導入するだけで基本的なセキュリティ対策が可能なのが強みです。
All In One WP Security & Firewall
上記プラグインの機能に加えて、以下機能が利用できるプラグインです。
・ユーザーアカウント情報の変更通知、保護
・データベースの自動バックアップb
このプラグイン1つでほとんどのセキュリティ対策が可能なのが強みです。
Wordfence Security
こちらは画像認証やログインロックなどの基本的な機能が利用できるだけでなくプラグインの機能でマルウェアのスキャン機能が可能です。
また、攻撃を受けた際に管理者ユーザー以外のWebサイト閲覧を禁止するモードに切り替えるメンテナンスモードへの切り替え機能をこのプラグインで利用できます。
上記2つのプラグインと比べると高度なものになりますが、スキャン機能利用のために他プラグインと併用して対策することも可能です。
XO Security
こちらは管理画面へのログインアタックの要因でもある、XML-RPC経由からの攻撃を防ぐ機能があるプラグインです。
上記3つのプラグイン機能も兼ね備えていますが、競合しないようにするためにそれぞれ設定のON/OFFが可能です。
さいごに
弊社では上記セキュリティ対策はもちろんのこと、アクセシビリティ対応も行ったパッケージWordPressを提供しております。
WordPressを用いたWebサイトの導入、運用をご検討の際は、お気軽にお問い合わせください。
- Hikaru Tone
- Columns
- WordPress
