WordPressサイトのセキュリティをさらに強化するには、どのような対策をすればよいでしょうか。
サイトを安全に運用するためにはWordPressのセキュリティ対策はもちろんのこと、それも含めた運用ルールと定期的な実施状況の確認が必要です。
ここではWordPressのセキュリティを高め、安全にサイト運営できる方法を確認しましょう。
1.バージョンの管理(プラグインやテーマを含む)
WordPress本体、プラグイン、テーマのバージョンを確認することは非常に重要です。
WordPress本体に搭載されていない機能をプラグインを入れることによって簡単に追加できますが、容易に追加できるがゆえに脆弱性が発覚したプラグインの事例もあります。
導入した場合は常に最新のバージョンを使用することが大切です。
WordPressは数多くのテーマが公開されており、デザインや機能を簡単にカスタマイズすることができますが、中には管理があまり行き届いていないようなものも公開されています。
それらには、セキュリティ上問題がある可能性があるため、テーマを使う場合は公式テーマ、もしくは人気のあるテーマを選び、更新がある場合は速やかにバージョンアップするようにしましょう。
2.定期的にバックアップを取る
最低限やっておきたいセキュリティ対策は、定期的にバックアップをとっておくことです。
トラブルはいつ起こるか分からないため、常に新しいデータをバックアップしておくことが大事です。
もし、セキュリティに問題があり、サイトが書き換えられてしまった時でも、バックアップを取っておけば、被害は最小限で済みます。
また、1で挙げたWordPress本体やプラグイン・テーマのアップデートの前にもバックアップを取っておけば、不具合が生じた場合にも元に戻すことが容易になります。
バックアップは、サーバー側だけでなく、ローカル環境へも行うようにしましょう。
3.パスワードの管理
WordPressの管理画面にログインするパスワードには、パスワード管理ポリシーで基準を設定し、安易な使い回しは避けましょう。
パスワードを1文字多くすると、セキュリティが大幅に向上します。
さらに文字をランダム化すると予測可能性が低下しパスワードの強度が高まります。
複数人でアカウントを共有する場合、分かりやすいパスワードになる傾向があるだけでなく、仮にインシデントが発生した場合にその特定だけでも時間を費やいてしまいます。
このような事態を回避するためにも各自でアカウントを作成し、個別にきちんと管理しましょう。
アカウントを別にすることで操作ログなどを確認し、インシデントが発生した場合の原因究明を行うこともできます。
4.二段階認証を使用する
管理者権限アカウントにおいてログイン時の二段階認証は必須です。
たとえユーザー名とパスワードが漏れてしまったとしても、二段階認証を設定していれば不正なログインを防ぐことができます。
二段階認証を使用するとリモートワークやテレワーク、在宅ワーク時にログインするのも安心です。
基本的にはIPアドレスによる制限で管理画面へのアクセスをできないようにするべきですが、利便性が損なわれてしまうのも事実です。
物理セキュリティキーやGoogleの認証アプリなどの二段階認証を使えば、IPアドレスの制限をしなくても良いということではありませんが、利便性を損ねずセキュリティレベルを引き上げることができます。
他の二段階認証の方法としては、QRコードの読み取り、CAPTCHAによるチェック、ワンタイムパスワード(OTP)の発行、メールでのセキュリティコードの発行があります。
これらはWordPressに導入する二段階認証のプラグインによって異なるので、使い勝手が良いものを選ぶようにしましょう。
また、二段階認証とCAPTCHA、ログインURLの変更やメールアドレスのみのログインなどを組み合わせることで、さらにセキュリティを強化できるということも知っておいてください。
5.Webサーバーの接続にはSFTPを使用する
SFTP(SSH File Transfer Protocol)は暗号化技術にSSH(Secure Shell)を使用して通信をするファイル転送プロトコルです。
これは、IDやパスワードの情報が暗号化されず、そのまま読める状態でサーバーとやり取りされるFTPよりも安全な方法です。
SFTPは通信内容を暗号化し保護することから、アカウントやパスワードなどの通信内容が盗聴されることを減らすことができます。
WordPress環境へファイルなどを転送する場合は接続経路が暗号化されているSSH接続、またはSFTP接続を利用することでセキュリティを強化できます。
6.重要なファイルへのアクセスを制限する
.htaccessファイルは、Webサーバで使われる設定ファイルでWebサーバの動きを制御する役割があります。
また、wp-config.phpファイルは、データベースで利用するホスト名、データベース名、データベースユーザー名、データベースパスワードなど重要な内容が記述されているファイルです。
WordPressを構築するファイルにはアクセス権の付与に注意しないと危険なファイルやディレクトリが多数あり、その中でもwp-config.phpについてはセキュリティ上、大変重要なファイルといえます。
適切な設定をしないとサーバーエラーなどでサイト全体にアクセスできなくなる事がありますので、必ずバックアップを取った上で、.htaccessファイルに設定を行いましょう。
また、パーミッションを標準の「644」から「400」に変更することで書き込みなどの権限を制限でき、セキュリティを高めることができます。
