WordPressを始めたら、まずやっておきたいのがセキュリティ対策。
「難しそう」「あとでいいかな…」と思っているうちに、本当に困ることになることもあります。
とはいえ、いろんなプラグインを入れるのは大変だし、正直めんどくさい。
結論
まずは「WordPress本体の設定」と「Wordfence」さえ押さえておけば、最低限のセキュリティ対策としてはしっかり機能します。
この記事では、余計なプラグインを増やさずにできる、現実的で効果的な守り方を紹介します。
まずはWordPress本体でやっておくべきこと
パスワードは強力なものに
一番最初のログイン場面だよ
「123456」や「admin123」など、簡単すぎるパスワードは絶対NG。
英数字+記号を組み合わせて、12文字以上のものを設定しましょう。
Googleのパスワードマネージャーなどを使えば、覚えなくても安心です。
ユーザー名「admin」は避ける
攻撃ツールがまず狙ってくるのが「admin」という管理者名。
新しい管理者アカウントを作って、adminアカウントは削除しておきましょう。
※新しいアカウントを作ってログインしてから、adminを削除しないとログインできなくなるので注意!
更新はこまめに(自動化もあり)
WordPress本体・テーマ・プラグインは、常に最新の状態を保ちましょう。
自動更新をオンにすることで、アップデート忘れを防げます。
※テーマの更新によってレイアウトが崩れる可能性もあるため、事前にバックアップを取っておくのが理想です。
コメント欄を無効にする(使わないなら)
スパム対策として、コメント欄を閉じておくのも有効です。
やり方:
「設定」→「ディスカッション」
→「新しい投稿へのコメントを許可する」のチェックを外して「変更を保存」。
※すでに公開済みの投稿については、投稿編集画面で個別にコメント設定をご確認ください。
セキュリティプラグインは「Wordfence」だけでOK!
Wordfenceは、WordPress専用のセキュリティ対策プラグイン。
ファイアウォール・マルウェアスキャン・ログイン試行制限など、これひとつで幅広く守れます。
インストール手順
- 「プラグイン」→「新規追加」
- 「Wordfence Security」と検索
- 「今すぐインストール」→「有効化」
- メールアドレスを入力(通知用)→ 無料版でOK!
Wordfenceの初期設定(これだけやれば大丈夫)
| 設定項目 | 内容 |
|---|---|
| スキャン | 毎日1回がおすすめ(「スキャン」→ 歯車マーク) |
| ログイン制限 | 5回失敗でロック(「Login Security」→「Brute Force」) |
| 通知設定 | メール通知をオンに(英語で届くけど、重要な通知だけ気にすればOK) |
2段階認証(2FA)は余裕が出てからでOKです。
管理者が1人の場合は、最初は無理に設定しなくても問題ありません。
できれば2要素認証も入れておこう(最強の守り)
セキュリティ対策で一番効果があるのが「2要素認証(2FA)」です。
パスワードだけでなく、スマホアプリなどで「本人確認コード」も必要になるので、不正ログインをほぼ完全に防げます。
Wordfenceには2FA機能も標準搭載されています。
- 設定場所:Wordfence → Login Security → Two-Factor Authentication
- アプリ例:Google Authenticator / Authy など
- バックアップコードは必ず保存しておきましょう
少し手間はかかりますが、「何よりも安心したい」なら、これが一番効果あります。
この対策で防げること
| リスク | 対策内容 |
|---|---|
| パスワードが漏れても不正ログインされる | 2要素認証(Wordfence 2FA) |
| ログイン総当たり攻撃 | ログイン制限(回数制限) |
| 改ざんやウイルス感染 | スキャンと通知 |
| 不審な海外アクセス | ファイアウォールで遮断 |
| コメントスパム | コメント欄の無効化 |
パスワードがバレても大丈夫になる:2要素認証(2FA)
ログインに「本人確認コード」が必要になるため、パスワードだけではログインできなくなります。
情報漏えいがあっても不正ログインをほぼ完全に防げます。
ログインを連打される攻撃を防ぐ:ログイン制限
「5回間違えたらロックする」などの制限をかけることで、総当たり攻撃(ブルートフォース)を自動で遮断できます。
サイトの中身が書き換えられないように守る:スキャンと通知
不審なファイルやコード改ざんがあった場合、すぐにメールで通知が届きます。
マルウェアなどが仕込まれても早期に気づけます。
よく分からない海外アクセスをブロック:ファイアウォール
Wordfenceのファイアウォールが、危険性の高いアクセスを自動でブロック。
不審な動きは管理画面に記録も残ります。
スパムコメントを減らす:コメント無効化
コメント欄を使わなければ、スパム投稿そのものを防げます。
WordPressの標準設定で簡単に無効化できます。
もっと強化したい人向け(別記事で紹介)
今回は「最低限の対策」に絞って紹介しました。
さらに安全性を高めたい方は、以下もチェックしてみてください。
- [SSL化(https対応)で通信を暗号化する方法]
- [ログインURLを変更して不正アクセスを防ぐ方法]
- [Google reCAPTCHAでスパム投稿を防ぐ手順]
まとめ
セキュリティ対策は、「あとでやろう」と思っていると手遅れになることも。
まずは、Wordfenceを入れて、本体設定を少し整えるだけでも十分効果があります。
難しく考えすぎず、今日できる1つから始めてみましょう!
コメント