インターネット上で作業を行う上で、ウイルス対策はどうしても切り離すことができないものです。それは、WordPressも例外ではありません。ウイルス感染してしまったサイトだと、どんなに良いコンテンツを提供していたとしても、それ以上の発展や集客は望めません。実際にはWordPressを用いてサイト運営を行なっている場合、どのようにしてウイルス対策を行えば良いのでしょうか。この記事では、WordPressにおけるウイルス対策の必要性に加え、実際に対策を行うにあたり有効な9つの予防策について紹介します。
目次
ウイルス感染対策の必要性
まず、WordPressにおいても本当にウイルス対策は必要なのか、気になるところです。実は、WordPressはオープンソースであることで使い勝手が良くなっている反面、オープンソースだからこその脆弱性も備えています。そのため、WordPressにて運営されているサイトがハッキングされたという報告も、毎年少なくありません。
そのような脆弱性をカバーするためには、どのようにしたら良いのでしょうか。WordPressについては、基本的に自分で対策をするしかないのです。これからWordPressでサイト運営を始めたいと考えているなら最初の設定と同時に、また、すでにサイトを運営しているのならこの記事を読んですぐに対策を始めるのが良いでしょう。特に、ウイルスを完全に防ぐためには初期の時期からプラグインなどを利用し対策を進めることが重要です。オープンソースだからこそ抱えている脆弱性を、運営側の設定により解決していく必要があります。
ウイルス感染の9つの予防策
それでは、具体的な対策方法について確認していきましょう。この記事では、特に効果の高い9つのウイルス対策を紹介します。
まず1つ目として、WordPressやテーマ・プラグインについては必ず公式のものを使用し、かつ最新版のものに更新し続けるということが挙げられます。オープンソースであるWordPressも、脆弱性を発見したらそのままほっておくわけではありません。脆弱性が確認されるたびに、解決のため最新版が公開されます。そのため、基本的な対策ではありますが、常に最新版を保ち続けるということが大切です。また、使うテーマやプラグインも公式のものに限定しておきましょう。非公式のものを使用する場合、そこにどのような脆弱性があるのか、そもそもそれは安全なものなのかが不明確です。公式のものと非公式のものを組み合わせることにより、また新たにウィークポイントが生まれてしまうこともあり得ます。そのような状況にならないためにも、WordPressでは公式のテーマやプラグインを使用するようにし、かつ常に最新版のものに更新し続けるようにしましょう。
2つ目の対策として、「wp-config.php」をアクセス不可に設定するというものが挙げられます。「wp-config.php」ファイルとは、WordPressのインストールを行う上で最も重要なファイルの1つです。データベースに接続するための情報や、WordPressの動作自体に影響を与える重要な内容が記されています。そのため、WordPressの中でも非常に大切なファイルとなっており、ウイルスなどにより内部を変更されると、サイト全体に大きな影響が出てしまうのです。まずは、wp-config.phpについてアクセス不可設定を行い、書き込みができない状態にしてしまいましょう。
3つ目の対策は、データベーステーブルのプレフィックスを、デフォルト値から変更することです。WordPressをインストールしたあと、デフォルトのままだと全てのテーブルは「wp_」という接頭辞を持っています。この接頭辞のことをプレフィックスと呼んでいます。デフォルトのままだとテーブル名が簡単に特定されてしまうので、データベースへのハッキングが容易になってしまうのです。これらのデータベースのテーブルにハッキングされてしまうと、データベース内を書き換えられてしまったり、重要なデータを消失してしまったりします。そのため、テーブル名を特定されにくくするためにも、テーブル名の「wp_」というプレフィックスを変更する必要があるのです。プレフィックスを自分独自のものに変更し、ハッキングされるリスクを軽減するようにしましょう。
4つ目は、管理画面URLを変更することです。WordPressはオープンソースであることによるメリットが多い分、逆にいくつかのセキュリティ面に問題を抱えています。その1つが、簡単に管理画面へのログイン画面にたどり着けてしまう点です。もちろん、ユーザー名とパスワードを入力しないと管理画面自体へはたどり着けませんが、ログイン画面が簡単に見つけられてしまうことが大きなリスクであることは言うまでもありません。よりリスクを軽減するためには、管理画面に関するファイルを独自に用意し、簡単にログイン画面にたどり着けないようにする必要があります。ログイン画面に関するファイルを作成し、そこで簡単にはたどり着けないような、独自のURLを設定しておきましょう。
5つ目の対策は、ユーザー名にadminを使用しないということです。adminは、デフォルトで設定されているユーザー名になります。そのままadminというユーザー名を使用し続けると、ログインに必要となる情報は「ユーザー名」と「パスワード」の2つのみであるため、ハッキングする側もパスワードだけを暴けばよいことになります。パスワードだけであれば、条件に合うパスワードを全て試してみる「総当たり攻撃(ブルートフォースアタック)」などにより、数分間でセキュリティを突破されてしまうこともあるのです。簡単にログインされてしまわないように、ユーザー名も独自のものに変更し、よりハッキングが難しい状態にしておかなければなりません。
6つ目は、2段階認証を取り入れることです。ユーザー名を独自のものにし、パスワードを複雑なものにした上で、さらに画像認証などを取り入れればより強固にサイトを守ることができます。2段階認証については、プラグインなどを使用することで導入可能です。WordPressの管理ページから関連するプラグインを新規追加し、画像認証をはじめとする認証システムを導入するようにしましょう。どのような2段階認証が良いのかは、自身で公式プラグインをインストールし使い勝手を確かめながら選択していくのが良いでしょう。
7つ目の対策は、サイトのSSL化を進めることです。SSL(Secure Sokets Layers)とは、インターネット上で通信を暗号化するシステムのことです。SSLを利用すると、パソコンとサーバー間の通信データを暗号化することができ、データを盗まれたり改ざんされたりするリスクを軽減することができます。SSL化を進めるとサイトのURLが「http」から「https」に変化し、URLの前に鍵のマークがつくようになります。SSL化を進めるためには、自分が契約しているサーバー内のサービスを利用したり、関連会社に依頼したりする必要があります。
8つ目は、プラグインで対応を進めることです。現在、さまざまなセキュリティ関連の公式プラグインが公表されています。プラグインを利用することで、認証システムを複雑にしたり、容易にログインできないようにしたりすることができます。非公式のものに頼るのではなく、公式のプラグインを使用することで、より強固なサイトを作るようにしましょう。
9つ目の対策は、定期的にバックアップを取ることです。万が一データに問題が生じた場合、すぐに問題が起こる前の状態に復元することができます。定期的にサイトに使用されているファイルとデータベースのバックアップを取り、大切なデータを脅威から守るようにしましょう。
以上、この9項目がすぐに実行可能なウイルス・ハッキング対策となります。
テーマやプラグインに関する注意点
WordPressには、デフォルトでインストールされているプラグインもあり、セキュリティやサイト運営のために自身でダウンロードするプラグインもあります。サイト運営を進めていくにつれてインストールしているプラグインの数も増えていきますが、使用していないプラグインや一度は使用したが使わなくなったプラグインは、「停止」にするだけではなく「削除」するようにしましょう。
WordPressだけではなく、プラグインにも脆弱性が発見されたりします。脆弱性が発見されたプラグインについては、最新版に更新するなど手を打つ必要がありますが、プラグインの数が増えてしまうとその管理も難しくなってしまいます。特に、前に使用したものの今は使わなくなってしまったプラグインまでは、意識が回らなくなってしまうものです。そのようなプラグインについては削除しておかないと、発見された脆弱性を狙ってハッキングされてしまう可能性があります。サイトを安全に運営するためにも、プラグインの管理もしっかりと行いましょう。
【おすすめプラグイン】1.Akismet
ここからは、サイトを脅威から守るためにオススメのプラグインを紹介していきます。1つ目はAkismetというプラグイン。これは、記事にコメントを投稿してもらったとき、自動的にそれがスパムコメントであるか否かを分類してくれるプラグインになります。
大きなサイトになってくると、1日に数百件を超えるスパムコメントが届くことがあり、それを自身の手で分類していくことは非常に困難です。Akismetを使用すればそれらを全て自動で処理できますし、分類後一定時間が経過すれば自動でスパムコメントを削除してくれます。WordPress2.0以降はデフォルトでインストールされるようになりましたが、それ以前のWOrdPressを使用している場合は、自身の手でAkismetをインストールするようにしましょう。よりスパムを管理しやすいサイトを作ることができます。
【おすすめプラグイン】2.Defender
次に紹介するDefenderというプラグインは、ウイルス対策を進めるのに非常に有効なものになっています。Defenderを使用すると、セキュリティキーの調整を数分で追加することが可能です。より強固なセキュリティでサイトを守るためには、必要不可欠なプラグインとなっています。
【おすすめプラグイン】3.SiteGuard WP Plugin
SiteGuard WP Pluginは、最低限必要なセキュリティ機能を備えたプラグインになっています。不正ログインからサイトを守ったり、ハッキングされる確率を軽減したりすることが可能です。プラグインの操作画面が日本語であるところもありがたい点となっており、各機能の詳細を日本語で確認したあと、導入することができます。多くのプラグインが英語のみの管理画面となっているので、母国語で機能を理解できるのは非常にありがたい点です。また、基本的にはプラグインを有効化した時点でセキュリティ機能は稼働し始めており、すぐにセキュリティ体制を整えることができます。
【おすすめプラグイン】4.All In One WP Security & Firewall
All In One WP Security & Firewallは、サイトのセキュリティ状態を全体的に把握することができるプラグインです。さまざまなプラグインを使用し、セキュリティ体制を整えていくと、全体としてどの部分が強固になっており、どの部分にまだ弱さが残っているのか管理が難しくなってきます。そのため、All In One WP Security & Firewallなどを導入し、サイト全体のセキュリティ状態を把握する必要があります。また、このプラグインの特徴として、WordPress内にFireWallを設定することができ、外部からの攻撃を遮断できる点も挙げられます。
他にもスパムコメント対策やブラックリストの管理など、さまざまなセキュリティ機能が揃っており、サイト全体を保護するのに非常に有効なプラグインです。英語表記ではありますが、見た目からも状況が把握できるよう工夫されており、使い勝手も良いものになっています。
まとめ
WordPressでサイトを運営する場合、安全なサイト運営を行うためにもウイルス対策やハッキング対策は欠かせません。WordPressは世界的に利用されているシステムであるとともに、不正ログインの対象にもなりやすいのです。初期の状態であれば、ユーザー名も特定されやすく、パスワードも総当たり攻撃(ブルートフォースアタック)などにより短時間で突破されてしまったりします。大切なサイトを守るためにも、対策はプラグインなどを使用しつつ万全に行う必要があるのです。今回紹介した9つの基本的対策も合わせて実行してみましょう。そして、自分にとってどのプラグインが使い勝手が良いのか、どの面において対策を進める必要があるのか、実際に手を動かしながら確かめていくようにしましょう。
コメントを残す