WordPressを上手に使おう

WordPressとは

WordPress(ワードプレス)とはオープンソースのCMSプラットフォームのことで、現在では個人のブログやホームページにとどまらず企業のブログやホームページにも利用されているほどその利用用途は広がっています。
また、初心者でも簡単にwebサイトが作成することができ、簡単なプログラムであればワードプレスの操作を行うと身に付けることができます。

wp-logo

無料で使えて、だれでも簡単に利用する事ができますがオープンソースであるがゆえ簡単に攻撃や乗っ取りを受けてしまうことがあります。
ここでは大切なサイトを守るために、WordPressを利用する時にしておいた方がいいセキュリティ対策を紹介します。

WordPressのバージョンを最新版のものにしておく

最新版にしておこう WordPressは有名なCMSですのでクラッカーのターゲットになりやすく、情弱性がたびたび見つけられます。
そのたびに細かいアップデートを行なっているために、それらに対してはこまめに更新作業を行なって対策を行いましょう。
古いバージョンで運用を続けていると情弱性が改善されないままサイトを運営していることになりますので常に最新版にしておくことをおすすめします。

ただ、利用しているサイトの中核を担うプラグインの更新速度が追いついていない等といった要因で難しい場合もありますがその場合は他に似たプラグインで更新頻度が高いものを探すなどして対応することを考えたほうが良い場合もありますので、プラグインのバージョンも合わせて見ることをおすすめします。

wp-config.phpのアクセス権限を変更する

wp-config.phpというファイルはWordPressを取り扱うにおいて最も重要かつセキュリティをしっかりと行わなければならないファイルです。
wp-config.phpにはデータベースの情報が記載されているためにこのファイルが閲覧、手を加えられるとデータベースが直接操作されてしまう危険性があるからです。
そうならないために下記の2段対策によってセキュリティを強固しましょう。

.htaccessを編集

wp-config.phpと同じ階層の.htaccess(なければ作成する)に下記を入力します。
これをすることによって外部からのアクセスが不可になります。

<files wp-config.php>
order allow,deny
deny from all
</files>

パーミッションの編集

次にwp-config.phpのパーミッションを400に変更しておきましょう。
これは管理者のみに読み取りの権限を付与するという意味で、詳しくは「パーミッション 意味」などで検索すると出てきますので、こちらでは割愛させていただきます。

400

ユーザー名、パスワードを変更する

これはWordPressに限ったことではありませんが、パスワードはできるだけ推測されないものにするのがよいでしょう。
無機質な英数字の羅列等がベストですが覚えられない等もあるので少なくとも英数字を絡めた8文字以上のパスワードを推奨します。
また、ユーザー名には「admin」をできるかぎり使わないようにしましょう。WordPressを利用している方でadminをユーザ名に利用している方は多いと思いますが、利用しているユーザが多いということはそれだけ狙われやすいということです。
それよりも予測されやすいユーザ名(aaaや123などといったもの)でなければadminから変更することをおすすめします。

変更の仕方

WordPress管理画面のユーザー→新規追加から新しいユーザー名を追加。
それに管理権限を与えた後にadminユーザーを削除すれば新しいユーザ名に変更することができます。

ユーザ情報

不正なIPをロックする

クラッカーが不正ログインをするときには膨大な量の試行回数を繰り返してログインしてくることがあります。
そういったものを防ぐために、プラグイン「Simple Login LockDown」を利用しましょう。
このプラグインは同一IPから連続してログインの失敗を検知すると一定期間ログインをできなくするようになるプラグインです。
初期設定では試行回数は5回、ログイン出来ない間隔は60分に設定されていますが、管理画面→設定→表示設定から変更することができます。

総当り対策

Basic認証をかける

WP Admin Basic Auth」というプラグインを利用して管理画面にBasic認証をかけておきましょう。
管理画面に二重ロックが掛かることによって不正アクセスへの障壁になります。

二重認証

アクセスログを取得する

WordPressのログイン画面へのアクセスログをとっておくことで

いつ
どのIPが
どの国から
どのユーザ名で

などといった情報を得ることができます。
これらの情報を取得することによってより正確な制限をすることができます。例えば・・・

xxx.xxx.xxx.xxxからのアクセスが頻繁にあるからIPを制限する
adminユーザで頻繁にログインの試行が行われているためにユーザ名を変更する
海外からの不正アクセスの形跡が多いために海外IPを制限する。

等といった明確な制限処置を取ることができます。
アクセスログを取得するのにオススメのプラグインは「Crazy Bone」です。
追加したらメニューバーにログイン履歴が追加されてデータを見ることができます。

ログイン履歴

WordPress導入におすすめのレンタルサーバー!

数あるレンタルサーバーサービスの中WordPressを導入するのに適したおすすめのレンタルサーバーを紹介します。
レンタルサーバーを借りる際に一緒にWordPressを利用して簡単にwebページの作成をしてみませんか?

Bizホスティング
初期費用 月額費用 HDD容量
1,000円→0円 1,500円~ 150GB
初期費用・独自ドメイン取得費用・移転手数料が無料に!

安心のNTTグループ運営だからビジネスにも安心!
高品質・低価格での提供を実現、サポート対応も抜群のため、個人から企業まで幅広く利用されています。

エックスサーバー
初期費用 月額費用 HDD容量
3,240円~ 1,080円~ 40GB~
WordPressといえばエックスサーバー

googleの検索でも上位に出てくるエックスサーバー!(2014/07/28現在)
MySQLが30個、マルチドメイン無制限、WordPressの自動インストールが付いている!

用途別サーバー検索
法人向けレンタルサーバー
個人向けレンタルサーバー
低価格レンタルサーバー
クラウドサーバー
高セキュリティのレンタルサーバー
ドメイン料金込のサーバー
ビジネス向けハイスペックサーバー
[WordPress有]CMS充実のサーバー
VPSサーバー
IP分散サーバー
全ての掲載サイト一覧
特集ページ
Zenlogicレンタルサーバー徹底解剖!プランの選び方から申込まで
CMS機能完備!アルファメールでサイトをさらに簡単構築&運用!
国内最安値!低価格×高機能なクイッカの秘密
充実のサポート!カゴヤレンタルサーバーに独占インタビュー!
GMOペパボのサービスを徹底検証
Bizホスティングでサイトを作成してみる
CPIが選ばれる理由を徹底検証
お役立ちコンテンツ
レンタルサーバーとは?
サーバーの種類を理解しよう!
レンタルサーバーの選び方
ドメインは何がいい?
お金をかけず即開始!初期費用が無料のレンタルサーバー比較
個人向けにもオススメ!格安レンタルサーバー比較
法人がレンタルサーバーを選ぶときに注意すべき5つのポイント
SSLって何?SSL対応のレンタルサーバーを比較!
HTMLがかけなくても簡単にWebサイトが作れちゃうCMS!
WordPressを上手に使おう
WordPress向けおすすめレンタルサーバー比較
何が違う?
「レンタルサーバー」と「VPS」
クラウドサービスって何?
クラウドサーバーって何?
インターネット用語集
その他のお役立つコンテンツ一覧
その他の情報
サイトマップ
運営会社概要
用途別サーバー検索
法人向けレンタルサーバー
個人向けレンタルサーバー
低価格レンタルサーバー
クラウドサーバー
高セキュリティのレンタルサーバー
ドメイン料金込のレンタルサーバー
ビジネス向けハイスペックサーバー
[WordPress有]CMS充実レンタルサーバー
VPSサーバー
IP分散サーバー
全ての掲載サービス一覧
レンタルサーバーお役立ちコンテンツ
レンタルサーバーとは?
サーバーの種類を理解しよう!
ドメインは何がいい?
お金をかけず即開始!初期費用が無料のレンタルサーバー比較
個人向けにもオススメ!格安レンタルサーバー比較
法人がレンタルサーバーを選ぶときに注意すべき5つのポイント
SSLって何?SSL対応のレンタルサーバーを比較!
WordPress向けおすすめレンタルサーバー比較
インターネット用語集
その他のお役立つコンテンツ一覧
レンタルサーバー特集記事
Zenlogicレンタルサーバー徹底解剖!
低価格×高機能なクイッカの秘密
カゴヤレンタルサーバーに独占インタビュー
GMOペパボのサービスを徹底検証
Bizホスティングでサイトを作成してみる
CPIが法人に選ばれる理由を徹底検証