こんにちは、Sokoageの宮澤です。
「自分たちの会社のWebセイキュリティは万全です!」と答えられる工務店さんはあまり多くないと思います。Webサイトというだけでも専門的な分野なうえに、そのセキュリティ対策なんて…と目を背けていませんか?
以前ご紹介した、サーバー編のセキュリティ対策に続いて、本日は多くの工務店さんでもWebサイトの管理に導入されている【WordPress編】のセキュリティ対策について、ご紹介していきたいと思います。
前回の「サーバー編」については、こちらで詳しくご紹介しておりますので、ぜひこちらも合わせてご一読ください。
セキュリティ対策用のプラグインを導入する。
WordPressのセキュリティ対策で、最も手軽に導入できるのが「プラグイン」での対策です。
WordPress最大のメリットと言っても良いのが、このプラグインです。日々多くのプラグインが開発・実装されているWordPressなので、もちろんセキュリティ対策用のプラグインも多くあります。
ただし、プラグインをむやみやたらと入れてしまうと、サイトが重くなってしまったり、他プラグインと干渉する可能性が出てきたりなど、デメリットも存在するので、そのあたりも理解したうえで導入を検討してみてください。
ここでは、以下3つのプラグインをご紹介させて頂きます。
- SiteGuard WP Plugin
- All-In-One Security (AIOS) – Security and Firewall
- Wordfence Security
今回は、WordPress全体のセキュリティ対策としてご紹介するので、個々のプラグイン設定方法などは割愛します。
どれも比較的有名なプラグインではありますので、検索すると操作方法など紹介されている記事を見つけられると思います。
1.SiteGuard WP Plugin
1つ目は、WordPressのログインページと管理画面の保護に強い「SiteGuard WP Plugin」です。
WordPressのセキュリティ対策としては非常に有名なプラグインで、検索すると多くのサイトでおすすめされているプラグインの1つです。
うちで運用支援させて頂いている工務店さんでも、導入しているサイトがいくつかあり、設定も比較的簡単なのでおすすめです。
2.All-In-One Security (AIOS)
2つ目にご紹介するのは、多機能で有名な「All-In-One Security (AIOS) – Security and Firewall」というプラグインです。
1つ目にご紹介した「SiteGuard WP Plugin」は、WordPressのセキュリティ対策で重要とされている、ログイン画面と管理画面のセキュリティ対策に重きをおいたプラグインとして、手軽に導入出来るものですが、こちらは1つのプラグインで様々な対策が可能です。
上図の通り、かなり多くのユーザーがインストールしており、評価も高いことから、このプラグインが人気な理由が伺えます。
このプラグインでは、「スペムメールの対策」や「データベースの保護」、「Webサーバーの動作を制御する[.htaccess]というファイルの保護」などなど、WordPressで狙われやすいファイルを総合的に保護してくれます。
ここでは具体的な設定方法については触れませんが、一般的な内容の設定を済ませれば、このプラグイン1つでかなりセキュリティに強い状態に出来ます。
3.Wordfence Security
3つ目にご紹介するのは、悪意ある攻撃の対策に有効な「Wordfence Security – Firewall, Malware Scan, and Login Security」というプラグインです。
これは、うちで管理させて頂いているサイトにも実際に攻撃があった際に導入したプラグインの1つで、様々な機能がありますが、特筆すべきは「ファイアウォール」「マルウェアスキャン」です。
悪意ある攻撃や、WordPressのテーマやプラグインを目掛けて攻撃してきたものを検知しブロックしてくれます。かつ、これらの攻撃がどこからどれくらいの数来てるかというデータも閲覧可能です。
設定させしていれば、これらの通知や警告をメールで都度お知らせしてくれるので、万が一の際もすぐに対応が出来るようになります。
自動更新を有効にしておく。
WordPressのサイトが攻撃されて、侵入されてしまう大きな原因の1つは「古いバージョンのまま使用していること」です。
この「バージョン」とは、WordPress自体のバージョンもそうですし、導入しているプラグインのバージョンもそうです。
どちらも、古いままの状態で放置していると、セキュリティ的にも弱くなり、そこが穴となって侵入を許してしまうことがあります。
少しバージョンアップが遅れたからと言って、すぐに何か起こるというようなことは滅多にありませんが、そもそもこの「バージョン」という認識がない方は要注意です。
幸い、WordPressには「自動更新」という機能がありますので、どこか専門業者に管理を依頼していないような場合は、この自動更新を有効にしておきましょう。
そうすることで「アップデートし忘れてた…」という事故を防ぐことが出来ます。
ただし、運用状況によっては自動更新をしてしまうことで他に影響が出てしまう場合もありますので、具体的には管理会社さんなどにご確認いただくのが良いかと思います。
不要なファイルは放置しておかない。
前述の「自動更新」でも少し触れましたが、WordPress管理のサイトに侵入を許してしまうケースとして多いのが、古いファイルからの侵入です。
特に使ってないようなファイルは、アップデートすることなく、そのまま放置してしまいがちですが、意外とそれが危険です。
WordPressにはテーマとプラグインという便利な機能がありますが、これらのファイルが使われないまま放置されるケースは割と多く、例えばそのファイルがサポート対象外になってしまうレベルで古いものだった場合、それは攻撃の的になってしまいます。
ここで気をつけて頂きたいのが、「無効化していても攻撃の対象になる」ということです。無効化しているだけでは、サーバー上にファイル自体は残っていて、無効化すると更新などの通知が届かないため気づきにくいものです。
なので、使わなくなったテーマやプラグインなど必要ないファイルは削除してしまうのがベストです。
最後に
WordPressで対策が出来るWebサイトのセキュリティについてご紹介してきました。
ただ、「実際うちにはどの対策が必要なんだろう…」と思っている方も少なくないと思います。
答えはケースバイケースなので、一概にこれ!とは言い難いのですが、まずは「どこにどういう問題が起きていて、どういう対策が必要なのか」を正しく把握する必要があります。
社内に担当者がいない場合でも、「いつから、どういった症状が起きたか」「直近であった作業はどんなものがあるか」くらいまでは調べることが出来るはずです。
この状況把握が非常に重要で、自分たちで対応するにしても、管理会社さんなど外部の方に依頼するにしても、こういった状況を正しく伝えることで原因究明までがスムーズになります。
Webサイトへの攻撃は突然起きるもので、予測が出来ないものです。いざという時のためにも、セキュリティ対策をしたうえで、万が一の際にも焦らず対応できるようにしておきましょう。
最後までお読み頂き、ありがとうございました!