安全なWordPress運営のために。おさえておきたい設定とプラグイン

安全なWordPress運営のために。おさえておきたい設定とプラグイン

こんにちは。ウェブデザイナーの深沢幸治郎(@kojirofukazawa)です。
前回の記事では、WordPressのクイックインストールとはじめての投稿作成について解説しました。

このさくマガでのWordPress初心者向けの連載もいよいよ最終回。今回は安全・快適にWordPressブログを運営していくためのセキュリティ対策を中心に、快適な運営をサポートしてくれる設定・プラグインについて解説していきます。

プラグインを使ってWordPressの機能を追加しよう

具体的な説明に入る前に、プラグインの概要について解説しておきましょう。プラグインはWordPressに様々な機能を追加してくれるプログラムのことで、管理画面から簡単に追加し、その機能を手軽にオン・オフすることができるようになっています。

WordPressコミュニティの審査を経て WordPress.org に公開されているプラグインは、すべて管理画面から直接インストールすることができるようになっています。

プラグインはWordPress.org以外の場所で配布されているものもありますが、基本的には避けたほうがいいでしょう。使うならば、信頼できる開発元のものを選んでください。

管理画面からプラグインをインストール・有効化しよう

ではひとつプラグインをインストールしてみましょう。

まず管理メニュー(管理画面左のメインメニュー)の[プラグイン]を押してプラグイン一覧画面に移動し、つづいて画面上部の[新規追加]を押して[プラグインを追加]画面に移動します。

 

管理画面からプラグインをインストール・有効化しよう

 

画面右の[プラグインを検索]フォームから「site kit」と打ち込みます。しばらく待つと検索結果が表示されますので、その中から「Site Kit by Google – Analytics, Search Console, AdSense, Speed」を探し(おそらく一番上に出てきます)[今すぐインストール]ボタンを押します。

 

[今すぐインストール]ボタンを押します

 

しばらく待つとプラグインのインストールが完了し[今すぐインストール]ボタンが[有効化]ボタンに変化します。これを押して、そのまま有効化してください。

 

有効化してください

 

プラグイン一覧画面に移動します。画面上には「おめでとうございます。Site Kit プラグインが有効になりました。」との表示が現れ、管理メニューに[Site Kit]のメニューが増えていることが確認できます。これでプラグイン「Site Kit」のインストールと有効化は完了です。

 

「Site Kit」のインストールと有効化は完了

セキュリティプラグイン「All In One WP Security」を有効化しよう

さくらのレンタルサーバのクイックインストールでWordPressをインストールした場合、すでにいくつかのプラグインがプリインストールされていることが確認できます。その中から「All In One WP Security」を有効化します(他のレンタルサーバをお使いの方は、上記と同様の手順で「All In One WP Security」をインストールしてください)。

プラグイン一覧の中から「All In One WP Security」を見つけ[有効化]を押すだけで、プラグインの有効化は完了です。

 

セキュリティプラグイン「All In One WP Security」を有効化しよう

プラグインを選ぶときの注意点

WordPress.orgで配布されているプラグインであっても、場合によっては思わぬ不具合を起こしてしまったり、正常に動作しないものはあります。以下にプラグインを選ぶときの注意点を記しておきます。

プラグインの詳細情報を参照する

プラグイン一覧画面や、これからインストールするプラグインの検索結果画面には[詳細情報]または[詳細を表示]というリンクがあります。ここからプラグインの詳しい説明や、信頼性に関する情報を参照することができます。

プラグイン詳細画面の右カラムに注目してみましょう。ここにプラグインの信頼性に関する各種の情報がまとまっています。

最終更新時期の確認

そのプラグインがいつに最新版に更新されたものかをまず確認しましょう。1年以上更新されていないものは、すでに開発が止まっている可能性があります。新しいWordPressのバージョンに対応していなかったり、新しいPHPのバージョンで不具合を起こすなどのリスクが考えられるため、インストールには注意が必要です。あわせてその下にある[対応する最新バージョン]も確認しておくといいでしょう。

 

最終更新時期の確認

※[対応する最新バージョン]はそのバージョンのWordPressでの対応テストがされている、という意味であり、それより新しいWordPressバージョンであっても動作する可能性はあります。

有効インストール数と評価・レビューの確認

[有効インストール数]はそのプラグインがどれだけ多くのサイトで利用されているか、そして評価とレビューはそのプラグインの評判を示しています。多くのサイトで使われているプラグインはやはり信頼度が高いと言えますし、レビューの数や評価もまた重要です。必ずしも評価が低いプラグインが信頼できないわけではありませんが、レビューから低評価の理由を知っておくと参考になることと思います。

 

有効インストール数と評価・レビューの確認

WordPressのセキュリティを強化しよう

第一回目の記事で説明したとおり、WordPressは攻撃の対象になりやすいCMSである一方、利用者がしっかりと基礎的な対策をすればほとんどの危険を回避できます。ここでは設定とプラグインから、WordPressのセキュリティを強化してみましょう。

WordPressのセキュリティリスクについて理解する

そもそもWordPressのセキュリティリスクとは具体的になんなのでしょうか。それは、あなたが想定していない誰かが、あなたのWordPressサイトに何らかの方法で侵入し、その内容を書き換えてしまうことです。改ざん内容によっては第三者に深刻な被害をもたらすこともありますので、そのリスクはけっして過小評価してはいけません。

では、どこから悪意を持った人は侵入してくるのでしょうか。これには2つのルートがあります。

 

  • ソフトウェアの脆弱性の悪用
  • ログイン等の認証の突破

 

それぞれどのように対策できるか、見てみましょう。

ソフトウェアの脆弱性に関する対策

WordPressに関わるソフトウェアには様々なものがあります。

  1. サーバにインストールされたPHPやMySQL
  2. WordPress本体とプラグインやテーマ

1に関しては信頼できるレンタルサーバを用いていれば、ほとんど問題ありません。あなたが気をつけるべきことは、レンタルサーバ会社からのセキュリティに関するお知らせがあった場合にしっかり対応することと、サポートが切れているような古いバージョンのPHPやMySQLを設定しないことです(WordPressが推奨するバージョンを用いていれば問題ありません)。

2に関しては、WordPress本体とプラグイン・テーマのアップデートをできる限りおこない、できる限り最新の状態に保つことが大切です。WordPressにはテーマとプラグインの自動アップデート機能がありますので、これを設定しましょう。

プラグインの自動アップデート設定

プラグインの自動アップデートはプラグイン一覧画面からおこなうことができます。今インストールされているプラグインに自動アップデートを一括設定してみましょう。

プラグイン一覧の一番上のチェックボックス(見出し行のもの)にチェックをつけると、すべてのプラグインに一括でチェックがつきます。つづいて一覧の上にある[一括操作]セレクトボックスから[自動更新を有効化]を選択、最後にその横の[適用]ボタンを押します。

 

プラグインの自動アップデート設定

 

すべてのプラグインの[自動更新]列が[自動更新を無効化]という表示になっていれば、プラグインの自動更新設定は完了です。

テーマの自動アップデート設定

テーマの自動更新設定は[外観]→[テーマ]で表示されるテーマ一覧からおこなえます。

利用しているテーマの[テーマの詳細]を押したら表示される詳細画面で[自動更新を有効化]を押して設定することができます。

[自動更新を有効化]を押して設定

WordPress本体の自動アップデート

こちらは第一回目の記事「トラブル対策の基本は本体・プラグイン・テーマのアップデートから」でご紹介したとおりです。WordPressのマイナーアップデートは自動的におこなわれますが、まれに自動アップデートに失敗するケースがありますので、その場合は手動でアップデートをかけるようにしてください。

またメジャーアップデートについても、折を見て実施するようにしてください。古いメジャーバージョンにもセキュリティアップデートはかかるようになっていますが、徐々にプラグインが対応しなくなるなど、放っておくと不都合が出てきます。

以上のように、脆弱性に対するセキュリティ対策の基本はWordPress本体・プラグイン・テーマのこまめなアップデートです。自動化しておくと忘れることがありませんので、より安全です。

ログイン等の認証突破に関する対策

WordPressに関するセキュリティ被害でもっとも大きな原因は、単純にログインを破られることです。デフォルトの状態のWordPressは、何度ログインに失敗しても試行を続けることができますので、多くの攻撃者が自動的にログインを試行するプログラムを用いて、様々なパスワードを何回も自動入力することによってログイン画面を突破します。こうした攻撃に晒されれば、辞書に載っている英単語や短い数字の羅列のような単純なパスワードは短時間で破られてしまうことでしょう。

もっとも基礎的な対策は強固なログインパスワード

第二回で説明したように、WordPressのユーザーのパスワードは必ず強固なものにする必要があります。また、他のサービスで用いているパスワードを使い回してはいけません。複数のユーザーが利用するのであれば、これらをログインできる全員に徹底しなければいけません。

プラグインからセキュリティを強化する - All In One WP Security

さらにプラグインからセキュリティを強化してみましょう。プラグイン一覧画面から「All In One WP Security」を有効化し、管理メニューに追加された[WPセキュリティ]を押して設定画面に移動します。

 

▲All In One WP Securityのダッシュボード

▲All In One WP Securityのダッシュボード

 

このプラグインでは様々なセキュリティ強化のための設定がおこなえますが、今回は筆者が最低限必要と考えているものを設定しておきます。

ログイン試行回数の制限

ログイン失敗を短時間で繰り返す者がいた場合、自動的にログイン画面へのアクセスを一定時間封じることで攻撃を非効率化させることができます。

管理メニュー[WPセキュリティ]→[ユーザーログイン]を押して[ログインのロックダウン設定]画面に移動、[ログインロックダウン機能を有効化]にチェックを入れ[設定を保存]ボタンを押すことで対策がなされます。デフォルトの場合、5分間に3回ログイン失敗したときに、60分間その操作者(IPアドレスで判定します)はログイン画面にアクセスできなくなります。

 

ログイン試行回数の制限

 

設定後はログインパスワードの入力を確実におこない、あなたがロックアウトされないように気をつけてください。

コメントスパム対策

ログインだけでなく、コメント機能を使った攻撃にも注意が必要です。大量のコメントスパムを投稿することでサーバに負荷を与える攻撃者に対応することができます。管理メニュー[WPセキュリティ]→[スパム防止]から[コメントスパム設定]に移動し、[コメントフォームの Captcha を有効化]と[スパムボットからのコメント投稿をブロック]の両方にチェックをつけ、[設定を保存]してください。

 

コメントスパム対策

 

以上の設定で、プラグインが強力にコメントスパムをブロックしてくれます。

コメント機能そのものを使わない場合はプラグイン「Disable Comments」を使って無効化するのもオススメです。

 

その他、このプラグインにはログインURLそのものを変更してしまう機能などさまざまなセキュリティ機能がついていますが、何も考えずにすべての機能を有効化してしまうと、あなたにとって不便な環境ができてしまう場合もあります。設定を加えるときは注意書きをよく読んでから実行するようにしてください。

Site Kitでサイトの運用を効率化する

あなたはブログを運用する時にGoogleアナリティクス(アクセス解析)やGoogleサーチコンソール(検索解析)を使いますか? あるいはAdsense広告を掲載しての収益化を考えていますか? もしそうであれば、先ほど有効化したGoogleによるプラグイン「Site Kit」が便利です。

このプラグインはそれぞれのサービスへのサイトの登録やタグ埋め込み作業を簡略化してくれるほか、WordPressの管理画面の中で、それぞれのサービスのサマリーデータが参照できるようになるなど、Googleのサービスに関連するサイト運用を便利にしてくれます。

この記事では詳しい使い方は説明しませんが、こうしたGoogleサービスを使うのであれば、ぜひ入れておきたいプラグインです。

 

▲ Site Kit はWordPressの管理画面内でGoogleの各種サービスのサマリーを扱えるようにしてくれます

▲ Site Kit はWordPressの管理画面内でGoogleの各種サービスのサマリーを扱えるようにしてくれます

WordPressサイトの自動バックアップ

最後に、WordPressサイトのバックアップについて説明しておきます。

WordPressがなんらかの原因で正常に動かなくなってしまった・攻撃者によってサイトが被害を受けた……考えたくないことですが、そういったことは起こりえます。そんなときにバックアップデータから過去の状態に戻すことができるようにしておけば、取り返しのつかない事態を防ぐことができます。

WordPressサイトでは、ファイルだけでなくデータベースのバックアップが重要です。データベースにはあなたが書いた記事のデータやサイトに施した各種の設定、インストールしたプラグインのリストなど大切なデータがたくさん詰まっています。これを失ってしまっては、サイトは元通りになりません。

望ましいバックアップの頻度はあなたのサイトの更新頻度によって変わりますが、定期的・自動的にファイルとデータベースのバックアップを取るようにしておけば安心です。

WordPressの自動バックアップには大きく分けてふたつの方法があります。

プラグインによる自動バックアップ

定期的な自動バックアップをおこなうためのプラグインは数多くありますが、広く利用されているもののひとつとして「BackWPup」をご紹介しておきます。

このプラグインはファイル・データベース両方のバックアップに対応しており、バックアップ先も

  • 公開先のウェブサーバ
  • メールを通じての送信
  • Dropboxなど各種のクラウドサービス
  • FTPを通じて他のサーバ

など様々な場所を指定することができます。

 

▲ プラグイン「BackWPup」の設定画面。スケジュールを指定しての自動バックアップができます

▲ プラグイン「BackWPup」の設定画面。スケジュールを指定しての自動バックアップができます

レンタルサーバの自動バックアップ

プラグインによるバックアップは便利ではある一方、頻度やバックアップするデータ種別によってはデータ量が膨大になってしまい管理に困ることも考えられます。レンタルサーバに自動スナップショット機能(借りているサーバ領域をそのままバックアップしてくれる機能)がついているならば、メインのバックアップはサーバに任せてしまうのも有効です。この場合、プラグインによるバックアップは補助的なものとするといいでしょう。

自動バックアップ機能の有無とその料金はレンタルサーバ選びのひとつの基準にするといいでしょう。なお「さくらのレンタルサーバ」にも自動スナップショット機能はついており、リストア(バックアップをもとにサイトのデータを復旧すること)を含めてオプション料金はかかりません。

 

▲ さくらのレンタルサーバの「バックアップ&ステージング」機能の管理画面

▲ さくらのレンタルサーバの「バックアップ&ステージング」機能の管理画面

自動バックアップの手順についてはお使いのレンタルサーバのマニュアルなどを参照してください。

 

以上、ここまで3回の記事で

  • WordPressの基礎知識
  • サーバとドメインの準備
  • WordPressのインストール
  • ブロックエディタの基礎的な使い方
  • プラグインの選び方
  • WordPressのセキュリティ対策
  • 運用に便利なプラグインの紹介

といった内容について説明してきました。最低限WordPressを利用できるだけでなく、あなたが安全にサイトを運用するための知識に力をいれたつもりです。

WordPressはブログだけでなく、様々なタイプのサイトにも応用できる魅力的なCMSです。ぜひこの記事をきっかけに、その世界を楽しんでいただければ幸いです。

最後までお読みいただき、ありがとうございました。

 

さくらのレンタルサーバ

さくらのレンタルサーバ

初心者でもホームページが作れる!メールが届き次第すぐにご利用いただけます。お試し期間中もチャットサポートを無料でご利用いただけます。
→詳しくはこちら

 

sakumaga.sakura.ad.jp

sakumaga.sakura.ad.jp