WordPressサイト制作の最初に!後悔しないためのセキュリティ対策【初心者向け】
AmyWordPressで素敵なサイトを作りたい!でもちょっと待ってください!家を建てるときに土台が大切なのと同じで、ウェブサイトも最初にしっかりセキュリティ対策をしておくことが、後々のトラブルを防ぐためにとっても重要です。
今回は、WordPressでサイトを制作し始めたばかりの方に向けて、最初にやっておきたい基本的なセキュリティ対策について書こうと思います。これを読んで、安心・安全なサイト運営をスタートしましょう!
なぜ最初にセキュリティ対策が必要なの?
「まだ作ったばかりのサイトだし、大丈夫でしょ?」と思っていませんか?残念ながら、ウェブサイトは公開された瞬間から、様々な危険にさらされる可能性があります。
- いたずらや改ざん
悪意のある第三者にサイトを書き換えられたり、壊されたりする可能性があります。 - 個人情報の漏洩
フォームなどで入力されたお客様の情報が盗まれる可能性があります。 - 不正アクセス
あなたの知らないうちに、サイトが乗っ取られてしまう可能性があります。 - SEO評価の低下
セキュリティ対策が不十分なサイトは、検索エンジンの評価が下がることもあります。
これらのトラブルを未然に防ぐために、最初にしっかりと対策をしておくことが大切なのです。
最初にやっておきたい基本的なセキュリティ対策5選
初心者の方でもすぐにできる基本的な対策を5つご紹介します。
1.強固なパスワードを設定する
ウェブサイトの裏側に入るための合言葉(パスワード)が簡単だと、誰でも簡単に入れてしまいます。複雑で分かりにくい合言葉にして、しっかり鍵をかけましょう。
対策内容
- WordPressの管理者アカウント作成時、または作成済みの場合は、英字の大文字・小文字、数字、記号を組み合わせた、推測されにくい強力なパスワードを設定しましょう。
- ユーザー名と同じようなパスワードや、誕生日、電話番号など、個人情報に関連するパスワードは絶対に避けましょう。
- もし可能であれば、12文字以上の長いパスワードを設定しましょう。
- 定期的にパスワードを変更することも有効です。
2.初期設定のユーザー名「admin」を使わない
泥棒は、鍵のかかっていないドアを探します。「admin」というユーザー名は、多くのWordPressサイトで初期設定されているため、泥棒にとって格好のターゲットになります。
対策内容
WordPressのインストール時に、ユーザー名を「admin」以外のものに設定しましょう。
もしすでに「admin」ユーザーが存在する場合は、新しい管理者権限のユーザーを作成し、「admin」ユーザーを削除しましょう。(削除する前に、新しいユーザーが管理者権限を持っていることを必ず確認してましょう)
3.WordPress本体、テーマ、プラグインを常に最新の状態に保つ
古い洋服に穴が開いてしまうように、WordPressやテーマ、プラグインも古いバージョンのまま使っていると、セキュリティ上の弱点(穴)が見つかることがあります。最新の状態にすることで、その穴を塞ぎ、安全性を高めます。
対策内容
- WordPressの管理画面にログインしたら、常に最新バージョンになっているか確認しましょう。更新通知があれば、更新しましょう。
- 利用しているテーマとプラグインも同様に、常に最新の状態に保ちましょう。
- WordPress本体とプラグイン両方の更新を行う際は、まずWordPress本体を更新してからプラグインの更新を行います。
- 不要なテーマやプラグインは、セキュリティリスクを高める可能性があるため、削除しておきましょう。
更新を行う際はデータベースのバックアップをとってから行った方が安全です。よほどの場合でない限りデータが壊れる事はありませんが、長く更新をしていなかった場合は注意が必要です。このような場合は特にWordPress本体の更新をしてからプラグインの更新を行ってください。できればデータベースのバックアップもとっておけると安心です。
バックアップを簡単に行うためのプラグインなどもありますので、また改めて記事にしようと思います。
4.信頼できるセキュリティプラグインを導入する
セキュリティプラグインは、あなたのウェブサイトの用心棒のような存在です。怪しいアクセスを監視したり、不正な侵入を防いでくれたりします。
対策内容
WordPressのセキュリティ対策に役立つプラグインを導入しましょう。私のおすすめは以下のプラグインです。
- SiteGuard WP Plugin
日本語で使いやすく、基本的なセキュリティ対策(ログイン試行回数制限、不正アクセス防御など)を簡単に行えます。
プラグインをインストールしたら、有効化し、初期設定を行いましょう。(各プラグインの公式サイトや解説記事を参考に設定してください)
5.SSL(HTTPS)化を設定する
SSL化されていないウェブサイトは、手紙を封筒に入れずに送るようなもので、途中で内容を盗み見られる可能性があります。SSL化することで、ウェブサイトと訪問者の間の通信が暗号化され、安全になります。
対策内容
レンタルサーバーでSSL証明書を取得し、ウェブサイトに設定しましょう。多くのレンタルサーバーでは、無料でSSL証明書を利用できるサービスを提供しています。レンタルサーバーを選ぶ時には、このSSLが使えるかどうか必ず確認しましょう。
SSL化の手順は、使用しているレンタルサーバーのサイトに詳しく記載されている場合が多いので、お使いのレンタルサーバーのサイトの情報を参照してください。(会社によって手順などが若干違います)
6.ユーザー名が丸見えにならないように対策する
ウェブサイトでブログ記事を書いた人の名前が、裏側の入り口の鍵の名前と同じだと、ちょっと危ないですよね。表に出す名前と、裏側の鍵の名前は別々にしておきましょう。
対策内容
- ニックネームを設定し、表示名としてニックネームを使う
WordPressの管理画面にログインし、「ユーザー」→「プロフィール」を開きます。
「ニックネーム (必須)」という項目に、ウェブサイト上で表示したい名前(例:ペンネームや愛称)を入力します。
その下の「ブログ上の表示名」という項目で、先ほど入力したニックネームを選択します。
これで、ブログ記事の投稿者名などが、あなたのユーザー名ではなく、設定したニックネームで表示されるようになります。 - 投稿者アーカイブのURLでユーザー名が公開されないようにする(少し高度)
WordPressの初期設定では、ブログ記事の投稿者名をクリックすると表示されるページ(投稿者アーカイブ)のURLに、ユーザー名が含まれてしまうことがあります。
これを防ぐためには、セキュリティプラグイン(コムニカでは「SiteGuard WP Plugin」を使っています)を利用するか、専門的な知識があれば設定を変更することも可能です。(初心者の方は、まずはニックネームの設定をしっかり行いましょう)
まとめ:最初のセキュリティ対策で安心のサイト運営を!
今回は、WordPressサイトを制作したばかりのあなたが最初にやっておきたい基本的なセキュリティ対策に加えて、ユーザー名が公開されるリスクを減らすための対策をご紹介しました。
- 強固なパスワードを設定する
- 初期設定のユーザー名「admin」を使わない
- WordPress本体、テーマ、プラグインを常に最新の状態に保つ
- 信頼できるセキュリティプラグインを導入する
- SSL(HTTPS)化を設定する
- ニックネームを設定し、表示名としてニックネームを使う
これらの対策は、あなたのウェブサイトを様々な脅威から守り、個人情報であるユーザー名が公開されるリスクを減らすための重要な第一歩です。少し手間がかかるかもしれませんが、最初に行っておくことで、後々の大きなトラブルを避けることができます。
安心してWordPressサイトの運営を楽しむために、ぜひこれらのセキュリティ対策を実践してみてくださいね!
