WordPressを安全に保つための必須セキュリティ対策4選

WordPressは個人や小規模な法人に広く利用されているCMSですが、その人気ゆえにセキュリティリスクも高まっています。本記事では、WordPressサイトのセキュリティを強化するための基本的な対策について解説します。

ログイン画面のURLをデフォルトのまま使う危険性

弱点

WordPressのデフォルトのログインURLはwp-login.phpです。これをそのまま使用すると、悪意のある攻撃者に簡単に特定され、ブルートフォース攻撃を受けやすくなります。

対策

ログインURLを変更するには、以下のプラグインを使用すると便利です：

• WPS Hide Login: 簡単にログインURLを変更できます。

例：

add_action('login_enqueue_scripts', 'my_custom_login');
function my_custom_login() {
    wp_redirect(home_url('/my-login-url'));
    exit();
}

プラグインを更新せずに使い続ける危険性

弱点

プラグインの脆弱性は、古いバージョンを使い続けることで悪用される可能性が高まります。開発者が提供するアップデートには、しばしばセキュリティパッチが含まれています。

対策

プラグインを定期的に更新することが重要です。自動更新機能を活用するか、WordPressの管理画面から手動でアップデートを行いましょう。

例：

1. WordPress管理画面にログイン
2. 「ダッシュボード」→「更新」をクリック
3. プラグインの更新リストを確認し、必要なものをアップデート

公開ディレクトリの設定に不備があり、インストールログや設定ファイルが公開されてしまう危険性

弱点

公開ディレクトリの設定が不適切だと、インストールログや設定ファイルが外部から閲覧できる状態になり、サイトの脆弱性を露呈することになります。

対策

公開ディレクトリにアクセス制限をかけ、機密情報が公開されないようにすることが必要です。

例：

<FilesMatch "\.(htaccess|htpasswd|ini|log|txt)$">
    Order allow,deny
    Deny from all
</FilesMatch>

不要なポート番号をふさぐこと

弱点

開いている不要なポートは、攻撃者が侵入するためのエントリーポイントとなる可能性があります。

対策

サーバー上のすべてのポートを定期的にチェックし、不要なポートを閉じることが重要です。

例：

# 開いているポートを確認
sudo netstat -tuln

# 不要なポートを閉じる（例：ポート1234を閉じる）
sudo ufw deny 1234

まとめ

WordPressのセキュリティは、多くの攻撃からサイトを守るための基本的な対策を講じることから始まります。今回紹介した対策を実施することで、あなたのサイトの安全性を大幅に向上させることができます。セキュリティは一度設定すれば終わりではなく、常に最新の状態を保つことが重要です。