WordPressのセキュリティ対策について入門者向けに解説します。
WordPressにセキュリティ対策は必要なのか?
「WordPressは有名なシステムだし、普通に使っていればセキュリティ対策は不要では?」と思っていないでしょうか。
それは大きな間違いです。WordPressを運用する際には、セキュリティ対策が非常に重要です。しかも、デフォルト設定のままで使っていると、サイバー攻撃で乗っ取られてしまう危険性が高いです。
WordPressの脆弱性を狙ったサイバー攻撃は多発しており、以下の対策を講じることでセキュリティを強化できます。
【重要度5】強力なパスワードの使用
パスワードは、長い文字列かつ全半角英数字+特殊文字を用いた強力なものを設定しましょう。
また、画像認証や二段階認証を導入することでセキュリティは大幅に向上します。
【重要度5】WordPress本体、テーマ、プラグインを最新版にアップデート
WordPress本体、テーマ、プラグインを常に最新のバージョンに保つことが基本です。
古いソフトウェアにはセキュリティ上の脆弱性が存在する可能性があるため、定期的なアップデートが必要です。
ただし、プラグインやテーマを複数使用していると、アップデートを怠ることも少なくありません。
最新版が出るたびに手動で更新するのが大変な場合は、自動アップデートを有効にすることを検討してください。
自動アップデートを有効化:最新版が出るたびに手動で更新するのが大変な場合は、自動アップデートを有効にすることを検討してください。
【重要度5】問合せフォームの不正利用対策
WordPressでは、「Contactform7」など問合せフォーム(コンタクトフォーム)を実装するためのプラグインがあります。
自動返信機能とは、ユーザーが問合せフォームに「メールアドレス」と「問合せ内容」を投稿すると、ユーザーに受付完了メールを自動で送信する機能です。
(一般的に受付完了メールの本文には、投稿した問合せ内容も記載されます)
この自動返信機能は、以下のようにスパムメール送信に悪用されることがあります。
①攻撃者が問合せフォームに「攻撃対象のメールアドレス」と「スパムメールの内容(例えば、「フィッシングサイトに誘導する文章」)」を送信。
②攻撃対象のメールアドレス宛に「受付完了メール(スパムメールの内容入り)」が届く。
このように「問合せフォーム」を設置しているサイト運営者は、知らない間にスパムメールの加害者となってしまう恐れがあるため、悪用を防ぐ対策が重要です。詳細は以下ページで解説します。
【重要度4】不要なテーマ・プラグインの削除
使用していないテーマやプラグインはできるだけ削除しておくことで、脆弱性(攻撃対象)を減らすことができます。
【重要度3】アクセス制限