WordPressは運用の利便性を考えると有効なツールですが、常にセキュリティ上のリスクがあることを忘れてはいけません。
とはいえ、具体的にどういった対策が必要なのか、お悩みの方もいらっしゃるのではないでしょうか。
そこでWordPressを導入したコーポレートサイトの運用に、おすすめのセキュリティ対策についてご紹介します。
1.WordPress本体のセキュリティ対策
WordPress本体を最新版にアップデートしておくことが最も基本の対策です。
WordPressのアップデートには、マイナーアップデートとメジャーアップデートの2種類があります。
WordPressのバージョン番号の3桁目が「3.2.1」→「3.2.2」、「4.1.2」→「4.1.3」のように変更されるアップデートを、マイナーアップデートと言います。
マイナーアップデートは不具合修正をメインとして行われるアップデートで、月に一度くらいのペースで行われています。
基本的にはWordPress側で自動的にアップデートしてくれます。
細かな修正が中心で問題になるケースは少ないですが、万が一のために定期的なバックアップをオススメします。
バージョン番号の1、2桁目が「4.3.3」→「4.8.1」や「5.8.3」→「6.0.0」のように変更されるアップデートを、メジャーアップデートと言います。
メジャーアップデートの場合は、以前のバージョンにはなかった新規機能・仕様変更や開発者向けのAPIが追加されたりします。
マイナーアップデートと比較して変更範囲がとても大きいアップデート内容になります。
基本的にはバージョンの更新は手動で行うため、管理画面にログインして各自でアップデートする必要があります。
各方面に大きな影響が出る可能性があるため、慎重な対応が必要です。
2.アカウントのセキュリティ対策
アカウントのセキュリティ対策として、推測されやすいアカウント名を付けないことが大切です。
複数サイトで同じアカウント名を付けないこと、開発中に使用していたアカウント名などが残っていないか確認しましょう。
推測されないようなアカウント名を設定することはセキュリティ対策の基本のため、必ず実施してください。
アカウントを管理する際、複数人でアカウントを使用する場合があります。
アカウントの情報を知る人が多いほど、セキュリティレベルは低くなります。
管理者権限アカウントを利用する時には、「特権管理者」「管理者」「編集者」「投稿者」「寄稿者」「購読者」の6段階の設定ができるため、ユーザーについては目的に合わせて権限のアカウントを発行するのが有効です。
3.プラグインやテーマのセキュリティ対策
WordPressのプラグインやテーマは常に最新バージョンにアップデートするように心がけましょう。
更新が必要かどうかは、左サイドバーの「ダッシュボード」に赤い数字でそれぞれ表示がされています。
プラグインやテーマで何年も更新されていないものはセキュリティのリスクが高い可能性があるので使用せず、プラグインに関しては、必要のないものは使用停止するだけでなく、削除しておきましょう。
アップデートの際は思わぬ不具合が出る可能性があるので、バックアップを行ってから更新をすることが確実です。