YU-Create-Lab for Web Creator Webクリエイター・Webデザイナー向けの優クリ-Lab

2019.04.26

【WordPress】 意外と見落としがちな4つのセキュリティ対策~初級編~

「WordPress」を構築しているとデザインやコーディングなどやることがいっぱいで、完成してもそのままのことが多いかと思います。サイト運用でも、コンテンツの更新ばかりでセキュリティの更新が疎かになったり、そもそも何を更新すればいいか?わからない人もいるのではないでしょうか。
そこで今回、「セキュリティ」という観点からどのような所を気を付けるべきか、ご紹介していきたいと思います。

〈Check1〉WordPress本体の「バージョン」は常に最新状態か?

WordPressのセキュリティに関する中でも、一番最初に見た方がよいのがWordPress本体そのものの「バージョン」です。
WordPressには脆弱性の対策として、頻繁に新しいバージョンが公開されます。基本としては、新しいバージョンが公開された時は「アップデート」することをオススメします。

また、WordPressのバージョンアップには「メジャーアップデート」「マイナーアップデート」の2種類あります。

メジャーアップデートは、本体のレイアウトや大きな機能追加がある場合で、自動でアップデートされないので手動で行う必要があります。後回しにして結局、更新を忘れたということにもなりがちなので注意が必要です。
それに対し、マイナーアップデートは機能のバグや脆弱性の対策など、小さなバージョンアップの場合になります。また、こちらは設定などしていない限りは自動更新されるものになっています。

 

〈Check2〉「プラグインのバージョン」も常に更新しているか?

上記同様、こちらの「プラグイン」にも脆弱性の対策や機能の追加、バグの修正などに関するバージョンアップがありますので、常にWordPress本体のアップデートと併せて最新にしておくことがセキュリティ対策の一つとなります。
WordPress本体のメジャーアップデートが行われた時に、プラグインも最新のバージョンが出る場合も多く、本体のアップデートをする際に、セットでプラグインもアップデートする習慣をつけておくようにしましょう。

ただし、バージョンアップをする時に注意しないといけないことがあります。
バージョンアップを行うことによって、Webサイトの機能やプラグインが動作しなくなることがあります。これは他のソフトなどでもよくあることなので、一度は経験された方もいると思います。

WordPressでは、バージョンアップによる「互換性の不一致」などで起こってしまうのですが、更新する前の状態に戻すと直ることがあります。ですから更新する時には、パソコンなどのバージョンアップと同じように、必ず「バックアップ」を取ってから行うことを忘れていけません。


 

〈Check3〉リンク切れのコンテンツをそのままにしてないか?

WordPressのセキュリティー対策で意外と抜け穴になっているのが、すでに使われていないページ、どこからもリンクされていないページなどです。このようなページは、リンクもしていないし後で整理すればいい、と放置されることもしばしばあります。

しかし、こういう一見何でもないページが「セキュリティーホール」の原因となり、ここから不正アクセスが行われ、情報漏洩や情報の改ざんにも繋がることがあるのです。さらに、リンク切れをしているページは、Googleの「評価」としても良くない上にSEO対策にも影響します。

残しておくメリットも見当たらないので、まめに整理し削除するようにしましょう。

 

〈Check4〉「adminユーザー」&推測されそうなパスワードの設定をしない

続いても、意外とやってしまいがちなWordPressの「ログイン」「パスワード」に関するものです。

WordPressをインストールする際、デフォルト設定されているIDが「admin」になっていることがあります。この「admin」は、パソコンを使っていると他のソフトなどでも良く出てくるIDやユーザー名です。変更をせず、実際にそのまま使っている人も多いのですが、実は非常に危険なIDでもあるのです。
IDが「admin」の上、パスワードまでもが推測できそうなパスワードにしてしまうと、他の誰かが簡単にログインできる状態になってしまうからです。

特に気をつけたいところでは、WebサイトのドメインをID&パスワードに使う、IDと同じ、もしくは似たようなパスワードを使っている場合です。現在のパスワードにおける理想は、8文字以上の英数字記号を入れた上、どこか一つ以上を大文字にして入れることです。

これによってパスワードのセキュリティレベルは上がり、不正ログインを防止することができるので、思いあたる人はすぐに変更した方が良いでしょう。


 

まとめ

WordPressのセキュリテイ対策と言えば、難しいことばかりを考えてしまうかも知れません。しかし、「セキュリティ対策」は基本的なことと、ちょっとした対応をするだけで防げるものもたくさんあります。

万が一、不正アクセスや情報漏洩になればクライアントや自社、自分の損害は計り知れません。それらが起こる原因は様々なものがありますが、まずは、今回お話した最新状態へのアップデート、基本的な対策をしっかりすることから始めなければ、他の対策も効果がなくなってしまうでしょう。

後編では、セキュリティー対策の「上級編」についてお話したいと思います。


その他WordPress関連記事はこちら
【WordPress】初心者コーダーも身に着けたい!セキュリティ対策時の「WordPressプラグイン」

Recommend この記事を読んだ人はこんな記事も読んでいます

【業務効率化】Webディレクター必見のGoogle検索新機能!

2019.08.15

【業務効率化】Webディレクター必見のGoogle検索新機能!

■Googleの新機能「アクティビティカード」とは?「アクティビティカード」とは、ユーザーが検索した過去のトピックスに再度アクセスしやすいように、一連の検索履歴をまとめて参照できる機能です。例えば、「旅行・ハワイ・シュノーケリング」と...

【ケアレスミス防止】「モデリング&TOTE」でミスを減らす方法!

2019.08.01

【ケアレスミス防止】「モデリング&TOTE」でミスを減らす方法!

■ミスを繰り返すのは、実は…単なる自己暗示だった!?「あのWebデザイナー、センスがあっていつもいいデザインを上げてくれるんだけど、なぜか細かいミスが多いんだよね。性格が大雑把?なのかな…」このセリフにドキ...

【トラブル回避】「返信が苦痛…!?」連絡ツール利用時のトラブルとその解決法

2019.07.05

【トラブル回避】「返信が苦痛…!?」連絡ツール利用時のトラブルとその解決法

■電話に出たら最後…。緊急事案かどうかは後から判断すべし!!会社員の場合、業務時間外なら仕事の連絡が入ってきても対応する義務はありません。反面、「してはいけない」という禁止もなく、勤務時間外に電話やメッセージに対応する程...

【ARアプリ5選】「拡張現実」をスマホで気軽に体験!遂にここまで来た欧米のARアプリ

2019.06.21

【ARアプリ5選】「拡張現実」をスマホで気軽に体験!遂にここまで来た欧米のARアプリ

■あらゆるインテリアのシミュレーションができる「The Houzz」家具はもちろん、電気スタンドなどや小物・壁紙などの内装アイテムを組み合わせ、インテリアやレイアウトを変更してバーチャル上でルームデザインがお試しできるアプリ「The Ho...

【WordPress】意外と見落としがちな4つのセキュリティ対策~上級編~

2019.05.10

【WordPress】意外と見落としがちな4つのセキュリティ対策~上級編~

■〈Check1〉「wp-config.php」へのアクセスは制御する 「wp-config.php」はWordPressのシステムファイルの1つで非常に重要なファイルになります。セキュリティーレベルも非常に高いファイルの一つでもあり、...

【WordPress】初心者コーダーも身に着けたい!セキュリティ対策時の「WordPressプラグイン」

2019.04.15

【WordPress】初心者コーダーも身に着けたい!セキュリティ対策時の「WordPressプラグイン」

■おすすめ「プラグイン1」国産プラグインで安心して使える「SiteGuard WP Plugin」 WordPressのセキュリティ対策プラグインとしては定番の「SiteGuard WP Plugin」。日本のセキュリティ会社「JP-Secur...