WordPressは現在、世界中で最も利用されているCMSになります。
プラグインなどを使用し様々な機能をで追加できたりととても便利ですがその反面、
不正アクセスを受けやすいといわれています。
- 万が一に備えてバックアップ取りたいけど方法が分からない
- WordPressでサイトを運営しているけどセキュリティーが不安
- WordPressのセキュリティー対策ってなにすればよいの?
今回はこのような悩みを解決する方法を解説していきます。
ぜひ参考にしてみてください。
目次
WordPressのバックアップの設定
まずはバックアップの設定をしましょう。
事前にバックアップを取っておくことでデータが消えてしまった場合やプラグインやテーマの編集で表示が崩れてしまった場合もすぐに復元できます。
今回は1クリックで簡単にバックアップや復元ができる「UpdraftPlus」の導入方法を紹介します。
UpdraftPlusのインストール
まずは管理画面へログインしましょう。
左メニューの[プラグイン]-[新規追加]をクリックします。
- 右上の検索ボックスに「UpdraftPlus」と入力します。
- 「今すぐインストール」をクリックします。
続いて「有効化」をクリックします。
有効化されると画面が推移するので「スタートするにはここをクリック。」をクリックします。
※もしこの画面が出てこない場合は左メニューの[設定]-[UpdraftPlus バックアップ]をクリックします。
UpdraftPlusでのバックアップ方法
まずはバックアップを取ってみましょう。
「今すぐバックアップ」をクリックします。
- どちらにもチェックをいれます。
- 「今すぐバックアップ」をクリックします。
最後のログメッセージのところに
「バックアップは成功したようで、現在は完了しています (日付)」
と表示されればバックアップ成功です。
UpdraftPlusでの復元方法
既存のバックアップにバックアップしたデータのリストが出ているので「復元」をクリックします。
- 復元したい項目を選びます。
全てを戻す場合は全ての項目にチェックを入れてください。
よく分からない場合は全てチェックでOKです。 - 「次」をクリックします。
確認画面に切り替わるので問題なければ「復元」をクリックします。
この画面が表示されれば復元成功です。
「UpdraftPlus 設定に戻る」をクリックして完了です。
UpdraftPlusでの自動バックアップの設定
毎日更新や頻繁に更新される方だと手動でバックアップするのは大変だと思います。
UpdraftPlusには自動でバックアップすることもできるので以下の記事を参考に設定してみてください。
WordPressのセキュリティー対策
次はセキュリティー対策を行っていきましょう。
サイトを安全に運営するためには、継続的なセキュリティー対策を行うことが大事です。
方法が分からない方でも簡単にできるセキュリティー対策を紹介します。
1.WordPress本体・プラグインの最新化
WordPress本体やプラグインはセキュリティホールなど脆弱性が見つかったり、
機能が追加されるたびにバージョンアップされます。
管理画面に通知されるので必ずアップデートしましょう。
アップデートの確認
まずは管理画面へログインしましょう。
画像のように「更新」のマークが出ていたり「WordPress X.Xが利用可能です!今すぐ更新してください。」と表示されていたら新しいバージョンが出ているので最新化します。
アップデートの方法
左メニューの[ダッシュボード]-[更新]をクリックします。
「今すぐ更新」をクリックします。
更新が終わるとこのような画像が表示されます。
次にプラグインのアップデートも行いましょう。
先程の画面に戻りましょう。
左メニューの[ダッシュボード]-[更新]をクリックします。
表示されているプラグインにチェックを入れて「プラグインを更新」をクリックします。
このような画面が表示されたらアップデート完了です。
2.不要なプラグインの削除
WordPressにはデザインをカスタマイズできるプラグインや機能を追加できるプラグインがいっぱいあるので色々と追加して放置みたいなことも多々あると思います。
使用していないプラグインをそのまま放置しておくと攻撃の対象になってしまうこともあるので、使っていないプラグインは必ず削除しましょう。
プラグインの削除方法
左メニューの[プラグイン]-[インストール済みプラグイン]をクリックします。
インストールされているプラグインの一覧が表示されているのでこちらから使用していないプラグインを削除できます。
3.パスワードの強化
パスワードをサイトの情報から推測しやすいものに設定している方がたまにいます。
例えば以下のようなパスワードはやめましょう。
- サイト名やドメイン名
- 名前や誕生日
- ユーザー名とパスワードが一緒
- admin,password,123456などのよく使用されるパスワード
忘れてしまうからという理由で簡単なパスワードを設定していた方は個人設定の画面から「パスワードを生成する」という機能で複雑なパスワードに変更しましょう。
パスワードの変更方法
左メニューの[ユーザー]-[ユーザー一覧]をクリックします。
表示されている「ユーザ名」もしくは「編集」をクリックします。
- 画面下にアカウント管理の設定項目があるので「新しいパスワードを設定」をクリックします。
- 新しいパスワードが生成されるのでパスワードをメモしてください。
最後に「プロフィールの更新」をクリックします。
4.ログイン画面の強化
WordPressへの攻撃の多くはログイン画面です。
ログイン画面の強化には「SiteGurad WP Plugin」というプラグインを使用します。
SiteGurad WP Pluginのインストール
左メニューの[プラグイン]-[新規追加]をクリックします。
- 右上の検索ボックスに「SiteGurad WP Plugin」と入力します。
- 「今すぐインストール」をクリックします。
続いて「有効化」をクリックします。
これでインストールは完了しました。
左メニューの[SiteGurad]をクリックします。
SiteGuradのダッシュボードはこのようになっています。
重要な部分の項目を説明をしていきます。
管理画面のアクセス制限
24時間以内にログインしていないIPのアクセスを遮断する機能です。
初期設定ではOFFになっているのでONに変更しましょう。
- 「ON」をクリックします。
- 「変更を保存」をクリックします。
ログインページ変更
デフォルトのログインURLは下記のような状態です。
例 https://ドメイン名/wp-admin/
例 https://ドメイン名/wp-login.php
- 変更後のログインページ名に任意の文字を入力します。
- 「変更を保存」をクリックします。
注意
①で設定した任意の文字がログインURLになります。
デフォルトのログインURLにはアクセスできなくなります。
①で設定したログインURLは忘れないように必ずメモしましょう。
画像認証機能の設定
攻撃者は自動プログラムを実行してログインしてくることもあります。
画像認証をいれることでこの自動プログラムによるなりすましを防ぐことができます。
初期設定ではONになっているので特に変更する箇所はありません。
設定を変更したい場合には希望の選択肢を選び「変更を保存」をクリックします。
画像認証の設定をするとこのようなログイン画面になります。
ログインロック
攻撃者は一度ログインに失敗しても何度もパスワードを変更してログインしょうと挑戦してきます。
パスワードを一定回数間違えた場合はロックがかかるように設定しましょう。
初期設定ではONになっているので特に変更する箇所はありません。
設定を変更したい場合には、希望の選択肢を選び「変更を保存」をクリックします。
ログイン履歴
ログインが行われた記録を見ることができる機能です。
まとめ
さて、いかがでしたでしょうか?
他にもたくさんの対策方法がありますが、今回は基本的な対策を解説してきました。
この記事で紹介した対策方法を実行して安全にサイト運営を行っていきましょう!