ワードプレスはセキュリティが弱い?安全のためにやるべき対策まとめ

※当サイトではアフィリエイトプログラムを利用して商品を紹介しています
※当サイトではアフィリエイトプログラムを利用して商品を紹介しています
この記事は 約7 分で読めます。

ワードプレスは無料ブログよりセキュリティ面で劣り、脆弱性がある、といったことを聞いたことはありませんか? そこで自分の資産であるワードプレスブログを守るためにできることを紹介します。

1、ログインユーザー名をブログに表示させない

ログインのユーザー名をもしブログのどこかに表示されていたらかなり危険です。例えばこのブログだと、記事下のユーザープロフィールや関連記事の上に誰が書いたのか名前が表示されるようになっています。

これがもし、ログインのユーザーと同じものを使っていたら外部に大事なパスワードのひとつを教えてあげてるのと同じことです。

もしログインのユーザー名が表示されているようだったら、管理者画面でニックネームを作成して、「ブログ上の表示名」をニックネームに指定すればユーザー名が非表示になります。

あとユーザー名を「Admin」といったありきたりなものにするのもアウトです。

2、ログインを二段階認証にする

最近すっかりお馴染みになったログイン時のツールといえば二段階認証。Gメールなどではもはや必要不可欠ですよね。

でもなぜかワードプレスにはあまり使われていません。よく考えると、メールはちゃんと保護しようとするのにブログはしないっていうのもおかしな話ですよね。

ワードプレスにも二段階認証のプラグインがあるので、安全対策をしたい人はぜひ使ってみてください。おすすはこちら。

>>Two Factor Authentication

>>Google Authenticator

3、ログインミスのヒントを無効にする

ログイン時にユーザー名、またはパスワードを間違えると、「エラー・ユーザー名(あるいはパスワード)が無効です」というメッセージが表示されます。

これもログイン、パスワードのどちらかが正しいことをハッカーに教えてしまう重要なヒントとなるので危険です。これを非表示にするにはfunction.phpに下記の記述を追加しましょう。

function no_wordpress_errors(){
return 'ハッキング行為はやめましょう!';
}
add_filter( 'login_errors', 'no_wordpress_errors' );

これでヒントの代わりに「ハッキング行為はやめましょう!」のメッセージが表示されるようになります。この文章は自由に決めていいです。

4、ログインのURLを変更する

ワードプレスの管理者画面はデフォルトで、「www.domain.com/wp-admin」や「www.domain.com/wp-login.php」などになっています。

これをそのまま使っていると、誰でも簡単にログインページにアクセスできることになるのでとても危険です。

これを変更するには以下のコードを.htaccessにコピペします。

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteRule ^enter/?$ /wp-login.php?free [R,L]
RewriteCond %{HTTP_COOKIE} !^.*wordpress_logged_in_.*$
RewriteRule ^dashboard/?$ /wp-login.php?free&redirect_to=/wp-admin/ [R,L]
RewriteRule ^dashboard/?$ /wp-admin/?free [R,L]
RewriteRule ^register/?$ /wp-login.php?free&action=register [R,L]
RewriteCond %{SCRIPT_FILENAME} !^(.*)admin-ajax\.php
RewriteCond %{HTTP_REFERER} !^(.*)domain.com/wp-admin
RewriteCond %{HTTP_REFERER} !^(.*)domain.com/wp-login\.php
RewriteCond %{HTTP_REFERER} !^(.*)domain.com/enter
RewriteCond %{HTTP_REFERER} !^(.*)domain.com/dashboard
RewriteCond %{HTTP_REFERER} !^(.*)domain.com/register
RewriteCond %{QUERY_STRING} !^free
RewriteCond %{QUERY_STRING} !^action=logout
RewriteCond %{QUERY_STRING} !^action=rp
RewriteCond %{QUERY_STRING} !^action=register
RewriteCond %{QUERY_STRING} !^action=postpass
RewriteCond %{HTTP_COOKIE} !^.*wordpress_logged_in_.*$
RewriteRule ^.*wp-admin/?|^.*wp-login\.php /not_found [R,L]
RewriteCond %{QUERY_STRING} ^loggedout=true
RewriteRule ^.*$ /wp-login.php?free [R,L]
</IfModule>

「domain.com」を自分のURLに置き換え、「free」の部分を好きな文字列にすれば完了です。

以上の場合だと、「www.affiliate-signal.com/wp-login.php?free」でログイン画面にアクセスすることができます。

こちらの記事を参考にさせていただきました。

>>セキュリティ向上のためのWordPress管理画面のログインURLカスタマイズ方法

5、データベースの接頭辞wp-を変える

ワードプレスのデータベースの接頭辞はデフォルトで「wp_」から始まるように設定されています。

これもデフォルトのものを使っていると、データベースにハッカーからの攻撃を受けやすくなるのであまりよくないです。

変更するには直接データベースをいじることもできますが、慣れていない人はプラグインを使うと簡単にできすよ。

僕が使ったのは「Brozzme DB Prefix」。使い方はすごく簡単で、インストールしたら「New Prefix」のところに好きな文字列を入力してボタンを押すだけです。

もちろん必ず、変更する前にデータベースのバックアップを取っておくようにしましょう。データベースの接頭辞を変更したらプラグインは削除して大丈夫です。

>>Brozzme DB Prefix

6、セキュリティプラグインをインストールする

ワードプレスにはセキュリティを強化するプラグインがあるので、それを利用するのもおすすめです。僕は「iThemes Security」を使っています。

使う前は気づかなかったんですが、結構、ブログには特定のファイルに過剰なアクセスとかがあってそれをこのプラグインは検知、ブロックしてくれます。やっぱり常に脅威にさらされているんですね。

>>iThemes Security

まとめ 自分の資産ブログは自分で守ろう!サーバーに任せきりは危険

ワードプレスのセキュリティについては実は僕も結構甘く見ていました。サーバーがバックアップを取ってくれてるし、何かあってもリカバリーできるだろうと思っていたんです。

ところが最近、海外サーバーに放置していたブログのコンテンツが突然、全部文字化けする、という事態に陥ってしまいました。

ハッキングされたのかどうかは不明ですが、どうやらデータベースが改ざんされ、テキストの文字が全て「???????」に変えられてしまったのです。

もちろんサーバーに問い合わせをしました。そしてデータベースのバックアップをダウンロードしたんですが、バックアップのデータベースもすでに改ざんされた後のものしか残っておらず、結局修復ができず終いで泣きました。

そのサーバーはブラジルのサーバーだったので対応も最悪で、「サイトの管理は客に責任がある」との一点張りでほとんど話を聞いてくれませんでしたね。

僕が海外サーバーならサポートや安全面で信用できるサイトグラウンドを使うべきだ、というのはそういう理由があるんです。

海外レンタルサーバーのおすすめは?たった一つだけです
ブログやサイトを運営するために日本のレンタルサーバーではなく、海外のものを使いたい、という人のためにおすすめのサービスをご紹介します。

ただ、こんな事態が起こるのはなにも海外サーバーだけじゃないですよ。日本のサーバーでもときどき何日もダウンしたり、大規模な障害が発生したり、ハッキングのリスクだってあります。

そんなときどこまで保障してくれるかは分からないので、やはり自分でできることは自分でやったほうがいいですよ。

プラグイン

ブラジル在住。現地でアフィリエイトや仮想通貨の投資などをしながらマイペースに生活中。

主な実績
下克上を購入したことがきっかけでアドセンス月収26万超えを達成。
・運営している複数のブログのうち二つのブログが同時に月間約40万PV達成。
・2018年1月 一つのブログで月間100万PV達成。

・2018年4月、アドセンスと物販アフィリエイトなどの収益の合計が月60万円達成。

・2019年6月Youtubeを含むアドセンス収入が月40万円突破!

・2019年12月Youtubeを含むアドセンス収入が月65万円達成!アフィリエイト収入を含むと月110万円を超えました。

質問、疑問があればお問い合わせフォームからお気軽にどうぞ!

MAKをフォローする
アフィリエイトシグナル|初心者の副業脱出プロジェクト