【これだけでOK！】WordPressのセキュリティ対策とバックアップ！プラグインで簡単に導入しよう！

はじめまして、けんちゃん（@braveryk7）です！

皆さんWordPressのセキュリティ対策ってやってますか？

「は～～～～セキュリティ？うるせーよ！」って人もちょっと待ってください！

なるべく簡単に書くから！　読むだけならタダだから！！！！

「そんなもんやっても1円も得しねーだろー！記事を書くぞ記事を！」

っていう人はすごい！モチベーションやばい！

でもセキュリティ対策は1円も得しないけど、損を防ぐことができる手段なんです！

セキュリティって何？WordPressに必要なの？

セキュリティ対策ってどうやるの？

その前に「セキュリティ対策をしないとどうなるの？」を知っておきましょう！

セキュリティ対策をしていないとこんな不安がいつか現実になっちゃうかも？

では実際に不正ログインをされたらどんなリスクがあるか、先に知っておきましょう。

不正ログイン被害

わるいやつ

へっへっへ・・・！こいつのサイトに侵入してやろう！

自分以外の人間が無断でパスワード保護された領域に侵入する、これが不正ログインです。

不正ログインは多くの被害の入り口となりますが、収益化をしているブログの場合は特に大きなダメージがあります。

リンクが書き換えられ収益化できなくなったりアカウント停止になることは絶対に避けたいですよね、1円も得しないどころか数万数十万単位で普通に損です。

更にこの被害の最も重要な点は最大の被害者はサイトへアクセスしてくれた読者さんだという事。

僕らサイト運営者も確かに被害者ですが、もし不正ログインが要因で読者の方々が被害を受けてしまったら場合によっては犯罪の片棒を担いだ事になってしまいます・・・。

当然信頼ガタ落ちなのは言うまでもありません、見方を変えると僕ら管理者も加害者になってしまうんです。

攻撃の踏み台被害

わるいやつ

侵入できたし、このサイトを使って他のサーバーを攻撃してやろう！

ニュースサイトやTwitterなんかでDoS攻撃やDDoS攻撃、なんて単語を聞いたことがありますよね？

意図的にサーバーに大量のリクエストを送りつけてサーバーダウンさせるDoS攻撃、それを複数台に分散させて行うのがDDoS攻撃と言います。

なんと不正ログインされるとこの攻撃の踏み台に使われてしまう可能性が・・・。

この攻撃の踏み台被害は攻撃を受けた側からすると乗っ取られたサーバーが攻撃して来たように見えるので、相手が被害届を出せばまず間違いなく自分が最初の捜査対象になります。

もちろん不正ログイン被害は調べれば分かる事でしょうが、セキュリティ対策さえしておけばする必要のなかった不要の時間を割かれるのはもちろん実際に攻撃にあってしまったサイトには申し訳ない気持ちでいっぱい・・・。

自分はもちろんですが、誰かに迷惑を掛けない為に攻撃の踏み台なんかには絶対になりたくないですよね。

個人情報・秘匿情報の流出

わるいやつ

非公開のコメント者メールアドレスが見れるぞ・・・！フィッシングサイトへのURLを送りつけてやろう！

WordPressサイトには実は様々な情報が詰まっています。

運営者のメールアドレスや非公開のはずのコメント投稿者のメールアドレス。

他にもAmazonアソシエイトや楽天アフィリエイト、場合によってはTwitterやFacebook等に自動投稿する為のAPIのセキュリティキー、シークレットキーなんかも含まれます。

プラグインによっては別途個人情報を蓄積するようなものも存在します。

けんちゃん

APIの各種キー、ほとんどのプラグインやテーマはパスワードみたいに●●●って表示されるようになってるけど、万が一これが分かっちゃえば勝手にツイートしたりDM送ったりできるようになっちゃう恐れも・・・！

WordPressのセキュリティ対策はプラグインで行おう

「そうは言ってもセキュリティって大変じゃね？」ってイメージありますよね！

ここまで紹介した様々な被害、実は大半がプラグインを導入することで防ぐことができます。

プラグインは多用するとサイトの表示が遅くなったり、場合によってはプラグイン同士が干渉しエラーが出てしまう事もあります。

しかしプラグインをしっかり選べばサイト表示スピードの低下は最小限に、それでいて安全に運用することが可能。

しかもプラグインはほとんどクリックだけでできるので手軽ですよね。

まずは手軽に！簡単に！をテーマにセキュリティ対策をしていきましょう！

WordPressのおすすめセキュリティ対策

では実際にセキュリティ対策をおこないます！

基本的には1度設定すれば終わりという物がほとんどです、導入も特にめんどうな工程はありません。

しっかり対策して被害に合わないようにしましょう！

けんちゃん

上から順にやってほしい、おすすめ順に書いてるよ！セキュリティの考え方は人それぞれ、あくまで僕がおすすめする順！

WordPress本体・プラグインの更新

一番重要にして唯一定期的なチェックが必要なのが、このWordPress本体・プラグインの更新。

WordPress本体やプラグインのアップデートには機能追加や改善の他にセキュリティ上の脆弱性を修正するという非常に重要な役割があります。

たまに「めんどうだから後回しにする」なんて人もいますが、記事を書くよりASPの報酬画面を見てニヤニヤするより先に更新して下さい……。笑

脆弱性を放置したままというのは「攻撃してね！」と言っているようなもの。

同じ理由で最終更新が1～2年前以上のプラグインは極力利用を避けるべきです、新たにプラグインを追加する時は必ず最終更新がいつなのか確認するようにしましょう。

2段階認証導入

とりあえずセキュリティを強固にしたい！という方は最低限この2段階認証を設定しておいて下さい、それだけでほとんどの不正ログインを防げます。

2段階認証はID/パスワードを使った1段階認証、認証App等を使った2段階認証と2回認証を設ける事で飛躍的にセキュリティを向上できる手段。

2段階認証はその仕組み上、攻撃者も認証コードを解析する事は非常に困難です。

詳しくは「WordPressに2段階認証を導入しよう！プラグインの設定・導入手順を徹底解説！」をお読み下さい！

けんちゃん

他が面倒ならこれをやるだけでもかなり防御力アップ！

強固なパスワードに変更

なるべく強固なパスワードを使うのは基本中の基本。

長ければ長いほど、様々な文字種（英字・数字・大文字小文字・記号）を組み合わせるほど強固になります。

最近ではGoogle ChromeやSafari等にパスワードマネージャー（パスワードを記憶してくれる機能）が搭載されていますし、1Passwordのようなサードパーティ製のソフトウェアも存在します。

サイトへの攻撃には辞書攻撃と言われる「辞書に載っている単語を片っ端から試す」という手法も存在します。

そのため、パスワードはなるべく辞書に載っているような一般的な単語・生年月日等の個人情報の利用を避け、ランダムな英数記号を組み合わせて覚える必要が無い（記憶は全部ソフトウェアに任せる）パスワードを使うようにしましょう！

ログイン試行回数の制限

2段階認証と組み合わせて設定する事で非常に強力なセキュリティを施せるのがログイン試行回数制限。

例えば3回入力を間違えたら一定時間ログインを受け入れないような設定が可能、無限にログインが試せる環境だといつか破られる可能性がありますよね。

そこでただでさえ推測しにくい2段階認証と組み合わせて回数制限をしてあげる事でほぼ100％近く不正ログインを防ぐ事が可能です。

ログイン試行回数の制限は「Limit Login Attempts Reloaded」や「miniOrange 2 Factor Authentication」等のプラグインで簡単に実装可能。

Limit Login Attempts Reloadedはインストール後、設定画面で簡単に設定が可能です！

回数制限はもちろんロック後の再試行できる時間等も柔軟に設定できますし、実際にロックが掛かるようなログイン試行があった場合メール通知を受けることでリアルタイムに危険性が確認できます。

けんちゃん

リアルタイムにメール通知を受けることで攻撃者のIPアドレスをブロックする、みたいな対策もできるよ！

Google reCAPTCHAの導入

Google reCAPTCHAは人間以外のいわゆるbot（自動プログラム）の不審な動きを検知して弾いてくれるシステムです。

多分皆さんやった事あると思いますが、「9枚のうちから信号の写真をクリックしてね」みたいなアレです笑。

現在v3という新しいシステムが公開されており、基本的に画像認証が不要でユーザーの利便性が一気に向上しました。

Googleが提供するシステムという事で一定の信頼度がありますし、何より世界中で今日も使われ日々フィードバックされたデータを元に運用されているシステムなので安定感も抜群。

Google reCAPTCHAはあくまでbotをシャットアウトする物なので人間相手にはあんまり効果はありませんが、逆に言えば自動ログインツールのような攻撃ソフトウェアを高い確率で無効化できるのでとてもおすすめ！

Google reCAPTCHAの導入は「WordPressをGoogle reCAPTCHAで守ろう！Akismet代替手段でbotスパムコメント対策！」を合わせてお読みください！

ログインページの秘匿化

最後に「まあやらないよりはやっておいた方が良いよね」と言うのがログインページの秘匿化。

通常WordPressはhttps://example.com/wp-admin/でログインページを表示できますが、これを別のURLに書き換えてログインページを隠す事ができます。

そもそもログインページが分からなければログインできないよね、というアイディア。

ですがログインページが分かってしまえば何の意味も無いので優先すべきは2段階認証、次いでログイン試行回数制限です。

また、ログインページを探す為に片っ端からアクセスを試される可能性も0じゃありません。

けんちゃん

さすがにそんな効率の悪い事やってる人いないと思うけど・・・笑。

それならとっととログインページを表示させて、「なんだよこのサイト2段階認証入ってるのか・・・やめとこ」と帰ってもらったほうがよっぽど安全だと考えて僕はあえて設定していません。

ログインページの秘匿化は「Login rebuilder」等で設定できますが、どの対策を取るにしても必ず目的を持って導入しましょう！

統合型セキュリティプラグイン

今回は”まだセキュリティ対策を何もしていない”という方向けに基礎的な事だけを書いています。

そのため詳しい機能は紹介しませんが、統合型セキュリティ対策プラグインを導入する事は非常に有効です。

この他にも様々な統合型セキュリティ対策プラグインが存在します。

多機能な分設定項目も多く、場合によってはプラグイン同士で同じ機能が競合してしまったりと少しだけ設定が大変です。

もちろん設定した方が良いですが、まずは気軽にここまで挙げたプラグインを使って慣れてから導入を検討してみましょう！

WordPressのバックアップ

ここまでの対策は”侵入される事を防ぐ”が主目的でした。

次いでやっておきたい事、それは”万が一侵入された場合”の対処法です。

ちなみにこの対処法は不正ログイン等の攻撃だけではなく、万が一サーバーが障害を起こしてデータが飛んでしまった時にも役立ちます。

けんちゃん

実際に過去データをふっ飛ばしてしまったサーバーも存在します・・・。

DBバックアップ

最優先でやっておきたい、それがデータベースのバックアップ。

データベースにはその名の通り様々なデータが格納されています。

見て分かる通り、これらはWordPressサイトで表示されるほとんどのデータです。

万が一これらが失われてしまうと復旧は相当困難・・・。

データベースバックアップの方法はいくつもの種類があります。

おすすめは「プラグインバックアップ」、非常に手軽で自動的にバックアップが取れるのでデータベースに詳しくない人でも簡単にバックアップが取れます。

「サーバー側でバックアップ」はエックスサーバーのようなレンタルサーバー側で自動的にバックアップを取ってくれますが、やはりリスク回避の意味でサーバー上よりも自分のパソコンやクラウド上にバックアップをおいておきたいですね。

「PHPMyAdmin」は非常に便利なデータベース操作ツールですが、慣れていないと直接データの書き換えや削除をしてしまう可能性があるので自信が無い場合は避けましょう。

ファイルのバックアップ

データベースとは別にバックアップを取っておきたいのがWordPressファイルそのもののバックアップ。

テーマやカスタマイズしたHTML/CSS/PHP/JavaScriptのようなファイルやアップロードした画像、リダイレクト設定に使う.htaccess等が該当しますね。

これらはデータベースではなくファイルという形でサーバー上に配置されています。

主に2種類ありますが、こちらも手軽さで言えばプラグインを使ったほうが簡単です。

バックアップはUpdraftPlusで簡単に設定可能

データベース・・・？ファイル・・・？横文字を使うな！

そんな方でも大丈夫、UpdraftPlusというプラグインを使えば数クリックで簡単にバックアップ可能！

しかもバックアップしたデータは自動でGoogle DriveやDropboxといったクラウドストレージにアップしてくれ、設定したスケジュールで勝手にバックアップしてくれます。

つまり最初に設定しておけば後は何もしなくてOK！

UpdraftPlusの詳しい説明、導入方法は「UpdraftPlusでWordPressのバックアップを取ろう！完全自動でクラウドストレージに確実に保存！」をお読み下さい！

WordPressを設置しているサーバーのセキュリティ対策

ここまでの対策でほぼほぼ99％の攻撃は防げるんじゃないかな、と個人的には思っています。

しかし案外忘れがちなのがサーバー側のセキュリティ対策。

と言っても難しいプログラムを書いたりとかコマンド操作してとかじゃないです笑。

パスワードを強固なものにしよう

まずはこれ、超基本中の基本！

可能な限り生年月日や本名、ハンドルネーム等に該当する物は使わずに設定しましょう。

先述したようにGoogle ChromeやSafariにはパスワードを記録しておける機能があるのでそういう機能を活用し、パスワードを覚える必要が無い環境作りは非常に重要です。

人気のエックスサーバーの場合、ログイン後左のメニューからパスワード変更が簡単に行なえます。

2段階認証を設定しよう

これもWordPress側の設定でお話しましたが、いくつかのサーバーは2段階認証に対応しています。

2020年2月現在、エックスサーバーやConoHa WINGが採用。

2段階認証が適用できるサーバーをお使いの場合は2段階認証は絶対設定しておきましょう、これだけでほとんどの不正ログインを防ぐことができます！

エックスサーバーはXSERVERアカウントでログイン後左側の登録情報から2段階認証の設定が可能。

ConoHa WINGはログイン後右上のメールアドレスをクリックしアカウント設定から2段階認証の設定が可能です。

不要なFTPアカウントは削除しよう

僕も最初の頃結構やってしまっていたんですが、ファイルのアップロードやダウンロードで必要なFTPアカウントを使わないのに作ってしまっていたりしませんか？

FTPアカウントが万一流出するとサーバーの中に簡単にログインできてしまいます。

使っていないFTPアカウントは削除しましょう。

PHPのバージョンは極力推奨のものを使おう

長く運営しているサイトだと、サーバーの設定によってはPHP（WordPressを動かすプログラム）のバージョンが古いものが存在します。

現在稼働しているPHPは主にバージョン7系。

PHP7.0は2015年12月にリリースされ、2020年末で5年になります。

一部のサイトではPHP5系じゃないと動作しないプラグインやテーマ等がある場合はPHP5系を使おうのような解説をしていますが、さすがに5年も経って対応が見られないならプラグインやテーマ側を変えるべきでしょう。

という事で相当特殊な事情が無い限りPHP7系を使うようにしましょう。

サーバーにもよりますが、バージョン変更は管理画面で簡単に行なえます。

念の為事前にWordPress側のバックアップを取って切り替え、その後動作確認を行なって下さい。

けんちゃん

ちなみにPHP5→PHP7だとサイトの表示速度も結構早くなる事も！

WordPressのセキュリティまとめ

大きく2つ、侵入されないようにという対策と万が一侵入されたらという対策をお届けしました！

最低限これだけやっとけばかなり安心です、可能であれば他の対策もやっておきたいですね！

セキュリティは基本的にやりすぎという事はありません。

逆にどんなに対策しても完璧という事もありません、超一流企業が大金をかけて対策したセキュリティも破られる事は十分あり得ます。

しかし最低限の設定をやっておくだけで自分が被害に合うことも、読んでくれる読者の方に被害を与える事も高い確率で防げるようになります。

ぜひ一度自分のサイトを見直して、安心安全のサイト運営＆自分の収益をしっかり守っていきましょう！