WordPressは世界で最も利用されているCMSですが、その普及率の高さゆえに、サイバー攻撃の標的になりやすいという側面もあります。「自分たちのサイトは大丈夫」と思わずに、基本的な対策を確実に行うことが重要です。
今回は、最低限やっておくべきセキュリティ対策をいくつかご紹介します。
1. ログイン画面の保護
不正アクセスの多くは、管理者画面(/wp-admin/)への総当たり攻撃(ブルートフォースアタック)です。
- ログインURLの変更: デフォルトの「wp-login.php」から、推測されにくいURLに変更します(プラグイン等を使用)。
- ログイン試行回数の制限: 一定回数間違えたIPアドレスをブロックする仕組みを導入します。
- 二段階認証の導入: パスワードだけでなく、スマートフォンアプリ等による認証を追加します。
2. 本体・テーマ・プラグインの更新
脆弱性の多くは、古いバージョンのプログラムに残されています。WordPress本体、使用しているテーマ、プラグインは常に最新版に保つよう心がけましょう。
特に、長期間更新されていないプラグインは脆弱性の温床になりやすいため、代替のプラグインを探すか、使用を停止することを検討すべきです。
3. WAF(Web Application Firewall)の活用
サーバーレベルでの防御も有効です。多くのレンタルサーバーには「WAF」機能が標準で備わっています。これを有効化することで、SQLインジェクションやクロスサイトスクリプティング(XSS)などの一般的な攻撃パターンを自動でブロックできます。
まとめ
セキュリティ対策に「これで完璧」というものはありませんが、リスクを最小限に抑えることは可能です。NEORIVAのWordPress構築サービスでは、これらのセキュリティ設定を標準で実装し、安心して運用いただける環境を提供しています。