WordPressは世界で最も利用されているシステムであるがゆえに、不正アクセスの標的になりやすいという側面も持っています。
せっかく作ったWebサイトが改ざんされたり、乗っ取られたりしては大変です。
今回は、特別な専門知識がなくてもすぐに実践できる、WordPressのセキュリティ対策「まずやるべき5つの設定」を解説します。サイト公開前、あるいは公開直後に必ずチェックしておきましょう。
1. ログインIDに「admin」を使わない
多くの攻撃者は、まずユーザー名を「admin」や「サイトのドメイン名」と仮定してログインを試みます。
- 対策: 初期設定で「admin」というユーザー名を作らない。
- すでに存在する場合: 新しく複雑なユーザー名の管理者アカウントを作成し、古い「admin」アカウントを削除してください。
2. パスワードを強力なものにする
単純なパスワードは、ツールを使った「総当たり攻撃(ブルートフォースアタック)」ですぐに突破されてしまいます。
- 対策: 英大文字、小文字、数字、記号を組み合わせた12文字以上のランダムなパスワードを設定しましょう。
- ポイント: WordPressのユーザー編集画面で生成される「強力なパスワード」をそのまま使うのが最も安全です。
3. 本体・プラグイン・テーマを常に最新に保つ
WordPressのアップデートの多くには、脆弱性(セキュリティ上の弱点)の修正が含まれています。古いバージョンのまま放置することは、家の鍵を壊れたままにしておくのと同じです。
- 対策: 更新通知が来たら、速やかにアップデートを実行しましょう。
- ポイント: 不安な場合は、事前にバックアップを取ってから行うのが現場の鉄則です。
4. ログインURLを変更する
WordPressのログイン画面は、初期設定では domain.com/wp-login.php という共通のURLになっています。場所がわかれば、攻撃を仕掛けやすくなります。
- 対策: プラグイン(WPS Hide Loginなど)を使用して、ログイン画面のURLを自分だけが知る独自のものに変更しましょう。
5. ニックネームを設定してユーザー名を隠す
WordPressの初期状態では、投稿者名として「ログインID」がそのまま表示されてしまうことがあります。ログインに必要な情報の半分を公開している状態です。
- 対策: 「ユーザー」設定から「ニックネーム」を入力し、「ブログ上の表示名」をログインIDとは別の名前に変更してください。
まとめ:セキュリティは「積み重ね」が重要
今回ご紹介した5つの対策は、どれも基本的なものばかりですが、これだけで不正アクセスのリスクを大幅に下げることができます。
- adminユーザーを避ける
- パスワードの強化
- 常に最新版に更新
- ログインURLの変更
- 表示用ニックネームの設定
「自分だけは大丈夫」と思わず、まずはこの5点から見直してみてください。次回は、サイトの「信頼」に直結する**SSL化(https)**についても触れていきたいと思います。
Gainet.bizでは、お客様のサイトを安全に運用するためのサポートを行っています。
設定方法でわからないことがあれば、お気軽にご相談ください。
株式会社ガイネット代表取締役 趣味は神社仏閣巡り 初めてホームページを作ったのは20年以上前。そこから2社ほどで修行し33歳でフリーランスに、色々あって今さら法人設立。WEBとデザインの何でも屋であり書家でありYouTuberです。
