世界中で普及しているオープンソースのCMS「WordPress」は多くのユーザーに使われていることもあり、悪意のあるクラッカーの攻撃対象になりやすいシステムです。

「Hacked Website Report 2017」の資料によると、マルウェアに感染したホームページの83%がWordPressによって構築されたものです。2016年では74%だったので、この1年間でWordPressの割合が9%も上昇していることがわかります。

【参考】Hacked Website Report 2017

https://sucuri.net/reports/Sucuri-Hacked-Report-2017.pdf

WordPressユーザーの大半はWordPressの開発者ではなく一般のユーザーです。そのためWordPressに脆弱性が存在することが判明しても、ユーザーは修正パッチの公開を待つしかありません。

しかしWordPressで構築したホームページのセキュリティ対策の中には、ユーザー側でできる対策がいくつかあります。今回は基本に立ちもどり、ユーザー側で実行できるWordPressのセキュリティ対策を紹介します。

管理画面での対策

WordPressのシステムへ入口となるのが、「wp-login.php」というファイル、つまりログインページです。WordPressへの不正アクセス対策として、ログインページを堅牢に守る事がWordPressにおける重要なセキュリティ対策の一つとなっています。

ログインページを防御する方法として、以下のような方法があります。

・wp-login.phpのファイル名を別のものに変更する

・連続するログイン試行の失敗を検知して遮断する

・ログインページへのアクセス制限を実施する（海外IPアドレスからのアクセス規制など）

・2段階認証や画像認証を導入する

ここで紹介した4つのログインページへのセキュリティ対策はすべて有効に機能します。WordPressの使用環境や要件にもよりますが、この4つの対策をすべて実施することができれば、何も対策をしていない状態と比較しても、不正ログインをかなり防ぐことができるはずです。

注意点ですが、wp-login.phpのファイル名を手動で修正しても、そのままではログインできません。wp-login.phpのファイル名を変更してログインできるようにするためには、少々複雑な手順が必要なので、後述するプラグイン「SiteGuard WP Plugin」などを使用して設定することをおすすめします。

データベースの対策

引き続きデータベースによる対策です。データベースへのセキュリティ対策として、WordPressのシステムが使用しているテーブルのプレフィックスをデフォルトの「wp_」から別の文字列に変更するという対策が有効です。

テーブル名のプレフィックスは、WordPressをインストールする際に「テーブル接頭辞」という設定項目で任意の文字列を設定できます。この設定はデフォルトで「wp_」という文字列が最初から設定されています。

このような事情もあり、あまりWordPressに関して詳しくない人は、「wp_」というデフォルトのままでインストールを完了させてしまうケースが非常に多いです。

しかし、このテーブル名のプレフィックスですが、WordPressをインストール後からも変更することが可能です。

WordPressの設定ファイルである「wp-config.php」の中に、

$table_prefix  = ‘wp_’;

という記述があり、ここでテーブル名のプレフィクスの文字列が変更可能です。プレフィックスを修正した後には、データベースにログインをして、すでに存在しているテーブル名のプレフィックスも合わせて修正する必要があります。

データベースの編集は少し難しいので、「All In One WP Security & Firewall」などのプラグインを使用して、管理画面上から編集する方法をおすすめします。

【参考】All In One WP Security & Firewall

https://ja.wordpress.org/plugins/all-in-one-wp-security-and-firewall/

プラグインによる対策

セキュリティ対策は非常に高度な技術と知識が必要とされますが、WordPressではセキュリティ対策に特化したプラグインがいくつか存在します。その中でも一押しが「SiteGuard WP Plugin」です。

これは国産のセキュリティプラグインであり、管理画面がすべて日本語で作られている非常に使いやすいプラグインです。この記事で紹介した「wp-login.phpファイル名の変更」や「画像認証」といった機能を簡単に使うことができます。

注意点として、SiteGuard WP Pluginを導入すると、wp-login.phpファイル名の変更が自動で行われてしまうという点があげられます。プラグインをインストールした後で、「ログインページ変更」ページを開いて、新しいログインページをブックマークしましょう。これを忘れてしまうと、WordPressのログインページのURLがわからなくなってしまいます。もしくは、管理者当てのメールアドレスにも新しいログインページのURLが送信されるので、こちらを確認するという方法もあります。

そしてもう1点。セキュリティプラグインはいくつか公開されていますが、原則として1つのみを選択してインストールしましょう。複数のセキュリティプラグインを同時にインストールしてしまうと、機能が競合したり、思わぬ不具合が発生したりすることがあります。基本的にはSiteGuard WP Pluginだけで十分です。

【参考】SiteGuard WP Plugin

https://www.jp-secure.com/siteguard_wp_plugin/

（Photo by Chris Ried on Unsplash）