あなたのホームページは大丈夫？WordPressのセキュリティを高めるためにやっておきたい7つのこと

近年、セキュリティに関する被害が急速に広がっています。
とりわけ、ランサムウェア(身代金を要求するマルウェア)と呼ばれる、悪質なマルウェアにひっかかったという被害も多く聞かれます。
最近では、「Wanna Cry」(ワナクライ：「泣きたくなる」の意)というマルウェアが流行しており、感染するとネットワーク内で自己増殖するワーム機能が搭載されており、爆発的な被害拡大の要因となっています。

そのような状況の中、「自分には関係ない」と思って対策をしておかないと、いつの間にか自分が被害者になるかもしれません。
特に、Wordpressでホームページを運用している場合は、注意が必要です。

2017年1月、WordPressの深刻な脆弱性を突く攻撃が横行し、150万件以上が改ざんされたと米セキュリティ企業Feedjitが発表しています。
何も対策を行っていないと、自らが被害者になる可能性も十分にありえます。

今回は、WordPressのセキュリティを高めるために2017年にやっておきたい対策方法を7つのポイントに絞ってご紹介します。
何も対策せずにWordPressサイトを放置しておくのは、鍵を開けたまま家を外出するのと同じようなものです。
自分で今すぐできることから対策を講じていきましょう。

WordPressのセキュリティを高めるために2017年にやっておきたい7つのこと

WordPressは世界中で最も有名で人気のあるCMSです。
人気であるがゆえに、WordPressでは一度セキュリティの穴を見つけてしまうと被害が急速に拡大していくというデメリットもあります。

残念なことに、ほとんどの人々は自分のホームページはWordPressで作成されているので安全であると考えてしまいますが、実際のところ重要なファイルやフォルダーにアクセス権を設定していなかったり、セキュリティ対策を講じていなければ、被害を被る可能性があります。
ここでは、今すぐできる、WordPressのセキュリティを高めるために2017年にやっておきたい7つのことをご紹介します。

1. WordPressを常に最新版にする

WordPressは、「機能の向上」だけでなく「セキュリティの改善」の面でも、常にバージョンアップが行われています。
WordPressを安全で快適に使うためにも、新しいバージョンが公開されたらアップグレードするようにしましょう。

WordPressは、2013年10月のバージョン3.7以降、自動バックグラウンド更新機能が実装されています。

セキュリティ修正は、過去に遡って2バージョン前(例えば4.7.4なら4.7.2)までサポートされます。
しかし、これ以上のバージョンについては、たとえ脆弱性があったとしても対応はされませんので、マイナーリリースも含めてアップデートは必ず行いましょう。

また、自動更新はユーザー側でオン/オフの切り替えを行うことも可能です。
自動更新をオフにしている場合は、オンにするか、毎回手動でバージョンアップを行うことにしましょう。

2. 「wp-includes」フォルダにアクセス制限をかける

WordPressの仕組みを導入しているホームページでは、さまざまなファイルやフォルダが組み込まれており、独自のURLが設定されていますが、逆に言えばURLが特定されてしまえばアクセスされてしまったり、最悪の場合は乗っ取られてしまうこともあります。

WordPressのシステムの中で最もハッキング被害に逢いやすいのが「wp-includes」フォルダです。
こうした脅威に対応するためには、ひとまず「wp-includes」フォルダにアクセス制限をかけ、ほかのファイルもセキュリティで保護すべきです。

手順はいたってシンプルです。
まずWordPressを設置しているフォルダにある「.htaccess」ファイルをダウンロードし、テキストエディタで開きます。
そして、次のようなテキストをコピー＆ペーストしてアップロードしなおすだけで、「wp-includes」フォルダが守られます。

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]
</IfModule>

WordPressの機能の多くは、「wp-includes」フォルダに格納されているので、ハッカーたちの多くはこのフォルダを狙ってきます。
こうしたコードを設置するだけで、フォルダにアクセスしようとした人々にアクセスを拒否することができます。

3. 「wp-config.php」にアクセス拒否をかける

次に大切なのが、「wp-config.php」にアクセス拒否をかけてシステムを守ることです。
WordPressでホームページを作ると、データベースが作られ、ユーザーネームやパスワード、テーブルの接頭辞などが設定されますが、それらの設はすべて「wp-config.php」の中に書かれているからです。

先ほどと同じ手順で、「.htaccess」ファイルに次の内容を追記してあげましょう。

<files wp-config.php>
order allow,deny
deny from all
</files>

保存して再アップロードすれば、対策完了です。

4. 「.htaccess」自身を保護する

先ほど見てきたように、「.htaccess」ファイルを設定することで、マルウェアや外的なアクセスからホームページを守ることができます。
しかし、「.htaccess」自身を保護しておかなければ、ハッカーが「.htaccess」ファイルを一度削除してしまえばホームページに入り込むことができてしまいます。

そのためには、やはり「.htaccess」自身に次のコードを追記していきます。

<files ~ "^.*\.([Hh][Tt][Aa])">
order allow,deny
deny from all
satisfy all
</files>

こちらを追加するだけで、「.htaccess」ファイル自身が外的なアクセスから身を守ることができます。

5. ファイルエディタを使えないようにする

これだけでも十分にハッカーのホームページ内への侵入を防いでいると思われるかもしれませんが、これだけでは足りません。
ハッカーにアクセスされて一番困る場所があります。
それが、WordPressのダッシュボード内にあるファイルエディタです。

ファイルエディタはテーマのファイル名などを一括して変更するときには便利ですが、ハッカーに利用された場合にはかなり危険です。
最悪の場合は、コードを書き換えられ、ホームページ自体が破壊されてしまうこともあるからです。

これを避けるために、WordPressのダッシュボード内にあるファイルエディタを必要な時以外は使えないようにすることです。
WordPressの設定で行うよりは、直接「wp-config.php」を書き換えるほうが確実でオススメです。

「wp-config.php」をテキストエディタで開いたのち、「That’s all, stop editing! Happy blogging.」というコメントアウトを見つけてください。
この行の前までが設定部分になるので、次のようなコードを直接追加してください。

define('DISALLOW_FILE_EDIT', true);

一旦このコードを追加すれば、保存してサーバーに再アップロードするだけです。
ホームページはこれによってコード操作を行われるリスクから逃れられます。

6. ファイルをバックアップする

バックアップを取っておけば、万一ハッカーによる被害にあっても復元できる可能性が高まります。
もちろん、100％安全な方法というのはありませんが、被害にあったあとに取れる選択肢を一つでも増やしておくことが重要です。

バックアップに関しては、有料や無料のバックアップ用プラグインがたくさんあります。
覚えておいてほしいのは、バックアップするときには遠隔の場所に定期的にホームページをまるごとバックアップすることが重要だということです。
ローカルやホスティングアカウントにバックアップするだけでは安全とは言えないので、クラウドストレージにバックアップしておくのもよいでしょう。

もっとも簡単で人気のあるプラグインは、VaultPressやBackupBuddyです。
どちらもコーディングや細かい設定など必要なく、基本的にはインストールするだけで利用できます。

7. WAFを設定する

WAFとは「Web Application Firewall」の略で、外部からのアクセスを制限するサーバー用のファイアウォールのことです。
WAF自体はサーバーのホスティングサービスが用意してくれている場合もあります(ロリポップやさくらインターネットなど)が、SiteGuardのようなプラグインを導入すれば、WAFチューニングなどを自動で行ってくれるので便利です。
SiteGuardでは、「wp-login.php」のURLを乱数で変更するなど、外部からの侵入をさらに退けるための施策が自動的に設定されます。

まとめ

こうしたステップを踏むことで、WordPressで作成したホームページは少しずつ安全な方向に近づくことができます。
もちろん、これだけの対策を講じていても、外部からの侵入を防ぐことができない場合もあります。
しかし、全く対策をしていない場合よりも格段にセキュリティ上安全になるので、できるだけ早めに対策を行いましょう。