WordPressのセキュリティー対策を初心者向けに解説!忘れると乗っ取りのリスクも…

ワードプレスのセキュリティー対策

  • WordPressのセキュリティー対策って何すれば良いの?
  • 不正アクセスが簡単って聞いたけど…どうやれば防げるの?

 

すもベビ

その疑問にすもベビが答えます。

 

WordPressは今やブログ運営ツールの代表的な存在になり、多くの人が利用しています。

でも、セキュリティー対策をしっかりしている人は意外と少なく、不正ログインや乗っ取り被害が相次いでいます。

 

そこでこの記事では、WordPressの初心者でも簡単にできるセキュリティー対策について解説します。

 

ワードプレスでセキュリティー対策が必要な理由

ワードプレスのセキュリティー対策

「ログインが必要なんだし安全なんじゃないの」と思っている人、ブログに慣れた人でもけっこういます。

でも、セキュリティー対策なしにワードプレスを運用すると、次のようなリスクがあります。

  • 不正ログインによる乗っ取りやブログの改ざん
  • プログラムの弱いところを突いた攻撃
  • 処理容量を超える過剰なデータの送信

「そんなまさか」と思うかもしれませんが、世界中でたくさんの被害者が出ています。

 

ワードプレスは狙われやすい

実は、ワードプレスは無料ブログよりも狙われやすい傾向があります。

理由は3つ。

  • オープンソース:弱いところを見つけやすい
  • 利用者が世界規模で多い:大多数をターゲットにできる
  • 管理画面やログイン画面のURLが決まっている:構造が単純

ユーザーにとっても便利なツールですが、狙う側にとってもターゲットにしやすいんです。

 

初心者にできるセキュリティー対策

プログラムへの攻撃や過剰データの送信に対して初心者が個人で対応するのはハードルが高めです。

でも、不正ログインについてはWordPress内の設定で簡単に対応できます。

次の項目では、初心者でもできるセキュリティー対策について書いていきます。

 

ワードプレス開設後すぐにやっておきたいセキュリティー対策5つ

ワードプレスのセキュリティー対策

WordPressを開設したら、まずは5つのセキュリティー対策をしておきましょう。

  • パスワードを変更する
  • ニックネームを変更する
  • サイドバー(ウィジェット)のメタ情報を外す
  • URLにログインIDが表示されないようにする
  • ログイン画面URLを変更する

 

すもベビ

「難しそうだな」と思うかもしれませんが、この記事を読みながら一つずつ進めれば迷わずに設定できます。

 

パスワードを変更する

ワードプレスの設定が完了したら、まずはパスワードを変更しましょう。

ポイントは3つ。

  • 他のパスワードと同じにしない
  • 半角英数と記号を入れる
  • 10文字以上を心がける

すもベビ

特に他のブログと同じパスワードはNGです。

 

パスワードを変更するには、管理画面(ダッシュボード)から①ユーザー→②あなたのプロフィールと進みます。

プロフィール画面が開くので、アカウント管理から新しいパスワードの③「パスワードを生成する」を押します。

ワードプレスのセキュリティー対策

 

すると、①自動的に生成されたパスワードが表示されます。

そのまま使ってもOKですが、書くのも覚えるのも難しいので自分で新しいパスワードを作るのをおすすめします。

パスワードを決めたら、②「プロフィールを更新」を押します。

ワードプレスのセキュリティー対策

すもベビ

パスワードを忘れるとログインできなくなるので、人目に付かない場所にメモしておきましょう。

特に生成されたパスワードを使う場合は必須です。

 

ニックネームを変更する

ニックネームというのは、ブログのプロフィール(この記事を書いた人)に表示される名前です。

実はこのニックネーム、ワードプレスを開設した時点ではログインIDになっていることがあります。

 

ニックネーム=この記事を書いた人=ログインID

記事を読んだ人にあなたのブログのログインIDを知られるので、不正ログインされるリスクが高まります。

 

ニックネームを変更するには、①ユーザー→②あなたのプロフィールと進みます。

デフォルトでは、「ユーザー名(ログインID)=ブログ上の表示名」となっているので、これを変更します。

 

③ニックネーム欄にブログ上に表示する名前を入力し、④ブログ上の表示名をユーザー名から③で決めた名前に変更します。

ワードプレスのセキュリティー対策

 

変更したら画面をスクロールして「プロフィールを更新」を押します。

ワードプレスのセキュリティー対策

 

すもベビ

ニックネームを変えても「プロフィールを更新」を押さないと情報が更新されません。

押し忘れないようにしましょう。

 

サイドバー(ウィジェット)のメタ情報を外す

ワードプレスを開設した時点では、ブログのサイドバー(ウィジェット)にメタ情報が表示されています。

ワードプレスのセキュリティー対策

最初から入っているので何となく放置しがちですが、誰でもあなたのブログのログイン画面URLを見られる状態です。

すぐに外してしまいましょう。

 

管理画面から①外観→②ウィジェットと進みます。

ウィジェット画面が表示されるので、サイドバー欄に③メタ情報がないか確認します。

ワードプレスのセキュリティー対策

 

すもベビ

なければメタ情報は表示されていないので作業は必要ありません。

 

もしメタ情報があった場合は削除します。

メタ情報を開くと詳細が表示されるので、「削除」を押します。

ワードプレスのセキュリティー対策

 

URLにログインIDが表示されないようにする

実は、他人のWordPressのログインIDを簡単に知る方法があります。

検索窓(ブラウザのブログURLが表示される部分)に次のとおり入力するだけです。

【ブログのトップページのURL】/?author=1」

 

例:「https://example.com」の場合「https://example.com/?author=1」

自分のブログURLで試してみて検索窓にログインIDが表示されたら、第三者も同じやり方であなたのログインIDを知ることができる状態です。

 

この方法でログインIDを知られないようにするには、「Edit Author Slug」プラグインを使います。

Edit Author Slugの使い方については、下の記事で詳しく解説しています。

ワードプレスのログインIDの調べ方!バレを防ぐEdit Author Slugの使い方を解説

 

function.phpの記述でも対応できるけど…

次のとおりfunction.phpに記述しても、ログインIDを隠すことができます。

参考:ウェブコンテンツ

 

でも、初心者にはハードルが高めなのでプラグインを使うことをおすすめします。

 

プラグイン「Site Guard」でログイン画面URLを変更する

  • ログイン画面URL:https:// 【ブログURL】 /ディレクトリ/wp-login.php
  • 管理画面URL:https://【ブログURL】/wp-admin

どちらにアクセスしてもワードプレスのログイン画面URLに行けます。

つまり、あなたのブログURLさえ分かれば、誰でもログイン画面までたどり着けるんです。

 

もちろん、ログインには「ユーザー名」と「パスワード」が必要です。

でも、第三者がログイン画面に来るというのは、ストーカーが家を割り出して玄関先まで来たのと同じ状態。

非常に危険です。

 

ログイン画面URLは「Site Guard」というプラグインで簡単に変更できるので、早めに対処しておきましょう。

 

WordPressログイン画面URLは変更しないと危険?SiteGuardプラグインでセキュリティ対策

 

初心者向けWordPressのセキュリティー対策のまとめ

初心者でもできるワードプレスのセキュリティー対策は5つ。

  • パスワードの変更
  • ニックネームの変更
  • URLのログインID非表示化
  • サイドバー(ウィジェット)のメタ情報を削除
  • ログイン画面URLを変更

どれも簡単にできて効果の高い対策なので、ワードプレスでブログを開設したら早めに設定しておきましょう。