近年、本格的なブログ風サイトが制作できるとして、急速に広まってきている「WordPress」。自由度の高さから、個人ブログだけでなく企業サイトに使用されることもよくあります。ウェブ制作会社でも主力サービスとしているところもあるほど。
しかし、WordPressでウェブ制作を依頼するとき、気をつけたいのが「セキュリティ対策」が十分に施されているのか。不正アクセスやスパムメールのようなサイバー攻撃が急増する現代において、WordPressは恰好の標的なのです。
そこで、今回はWordPressのセキュリティ対策と、ぜひおすすめしたいプラグインについてご紹介しましょう。
▶︎目次
1.WordPressとは?
「WordPress」という言葉は耳にしたことがあると思います。しかし、「じゃあ、WordPressって何?」と聞かれると正しく答えるのは難しいもの。専門的な部分についてはまず分かりません。では、WordPressとは何かからご説明しましょう。
ブログ運営用の無料ソフトウェア
WordPressとは「ブログ運営」に特化した無料のパッケージソフトです。通常のサイト制作ではHTML/CSSを利用するのに対して、WordPressではさらに「PHP」と呼ばれるプログラミング言語を。いわゆる「動的」なサイト制作が可能です。
WordPressの1番の特徴は、「誰でも簡単にブログを更新できる」ことにあります。従来のサイト制作(HTML)では直接コードを打ち込む必要があり、ある程度の制作技術が。素人がいきなり更新するには難易度が高めでした。
その点、WordPressは管理画面上からまるでWordを使うように投稿できます。画像の挿入、文字の装飾、リンク付けなどもほぼワンクリックで行うことが。慣れてくるとカテゴリー分けやタグ付けなど、より高度な設定にも挑戦できるでしょう。
おしゃれなテンプレートが充実!
WordPressはソフトウェアだけでなく、テンプレート(サイトのデザイン)も無料で提供されています。世界中のウェブデザイナー、ウェブコーダーたちが独自開発した無料テンプレートが無数に。おしゃれなテンプレートも簡単に見つかります。
また、制作技術があれば、テンプレートを自分好みにアレンジすることも可能です。例えば、文字や背景の色を変えたり、配置を移動させたりなど。すでにサイトとしてのベースができているだけに、1から制作するよりは難易度は低めです。
プラグインで機能を追加できる
WordPressの特徴的な機能として「プラグイン」と呼ばれる、機能をパッケージ化したものがあります。プラグインを使うことで機能を追加することが。人気記事を表示させたり、問い合わせフォームを作ったり、画像を圧縮したりなど様々です。
プラグインの追加方法もとても簡単で、管理画面(プラグイン)から検索してワンクリックでインストールするだけ。あとは必要な設定をすれば機能を追加できます。ただし、数を入れすぎると表示速度が遅くなるので注意が必要です。
2.WordPressは狙われやすい
簡単に本格的なブログ風サイトができるとして認識のWordPress。しかし、簡単に作れるからこそ、WordPressはサイバー攻撃の標的にされやすいです。企業サイトに利用するのなら注意を。では、なぜ狙われるのかをご紹介しましょう。
「CMS」と呼ばれるオープンソース
WordPressは「動的サイト(ブログなど)」を制作するためのパッケージソフトです。「CMS」と呼ばれるオープンソース(一般公開されているコード)を使用しているために脆弱性が発見されやすく、サイバー攻撃の標的にされやすいことに。
WordPress自体は頻繁にアップデートをし、その都度脆弱性を解消しています。しかし、残念なことにアップデートだけでは十分な対策とは言えません。サイト制作側が個々に対策を施し、セキュリティを強化していくことが重要なのです。
WordPressによくあるサイバー攻撃
WordPressによくあるサイバー攻撃は以下の3つです。
- 管理画面に不正アクセスされる
- コンテンツ(ページ)を改ざんされる
- スパムコメントが大量に投稿される
もちろん、従来のサイト制作(HTML)においても、上記のようなリスクはつねにあります。しかし、完全なオープンソースであるWordPressは、他の制作手法と比較してリスクが高いのは確か。「自分は大丈夫」というのは非常に危険です。
3.WordPressのセキュリティ対策
WordPressは誰でも簡単にサイト制作できることから、セキュリティ対策もそれほど難しくありません。もちろん、高度な対策は専門知識が必要ですが、基本対策であれば初心者にも。では、基本的なセキュリティ対策を見ていきましょう。
テーマ・プラグインはつねに最新版を
先述した通り、WordPressは頻繁にアップデートされています。WordPress自体はもちろん、テーマ(テンプレート)やプラグインについても。新しいものほどセキュリティが強化されているので、つねに最新版を使用することが大切です。
セキュリティ関連のプラグインを使う
プラグインは人気記事を表示したり、問い合わせフォームを作ったりなどの便利機能だけではありません。WordPressのセキュリティ対策ツールとして使えるプラグインも。例えば、セキュリティ対策におすすめのプラグインは以下の5つです。
- teGuard WP Plugin…ログイン時に「画像認証」を採用できる
- Google Authenticator…セキュリティコード(2段階認証)を追加できる
- All In One WP Security & Firewall…WordPress自体にFirewallの機能を追加できる
- Wordfence Security…WordPressのセキュリティ強度をチェックできる
- iThemes Security…より複雑で専門的なセキュリティ設定ができる
初心者の方がやってしまいがちなのが、ID/PWを初期設定のまま放置してしまうこと。特に、WordPressの初期IDは共通なので簡単に予測されてしまいます。第三者の不正アクセスにつながるので、まずID/PWは変更しましょう。
バックアップを取っておく
正直、どれほどセキュリティ対策を万全にしても、サイバー攻撃の被害に遭うことはあります。「攻撃されるリスクはある」と想定し、サイト全体のバックアップを。バックアップを取っておけば、サイトが破壊されても入れ替えるだけで復旧できます。
「wp-config.php」を設定変更する
セキュリティ対策に慣れてきたら、サーバー内にある「wp-config.php」ファイルの設定変更も効果的です。このファイルにはアカウント情報が載っているので、外部からアクセスできない設定に。アクセス権限を狭めておくとなお安心です。
4.まとめ
今回は、WordPress中心でしたが、サイト制作するからにはセキュリティ対策が必須です。自分で制作するのはもちろん、ウェブ制作会社に委託するときも同様に。むしろ自分が主体となり、セキュリティ対策を積極的に進めましょう。
WordPressの基本的なセキュリティ対策はそれほど難しくありません。最新にアップデートし、セキュリティ関連のプラグインを追加・設定するだけ。さらに高度なセキュリティ対策を施すのなら、専門業者に任せるというのも1つの手です。
ぜひ、紹介したWordPressとは何かを理解し、適切なセキュリティ対策で安全なサイト制作をしてください。