※この記事には広告リンクが含まれています。
WordPressブログを作り直したあと、最初に見直したのがセキュリティ設定です。
以前のブログでは、不審なPHPファイルが自動生成されるような状態になり、最終的にサイトを削除して作り直しました。
その経験があったので、今回はデザインや記事作成よりも先に、ログイン周りやプラグイン、サーバー側の確認を優先しました。
WordPressは便利ですが、公開した瞬間から外部からアクセスされるサイトになります。
「まだ記事が少ないから大丈夫」とは考えず、最初の段階で最低限の守りを作っておくことが大事だと感じました。
この記事では、WordPressブログを再構築したあとに、私が最初に見直したセキュリティ設定をまとめます。
専門的な解析ではなく、個人ブログ運営者として実際に意識した初期設定の記録です。
まず前提:セキュリティは後回しにしない
ブログを作り直した直後は、やることが多いです。
テーマ設定、トップページ、カテゴリー、アイキャッチ、記事作成、アクセス解析。
見た目を整えたり、記事を増やしたりしたくなります。
ただ、今回の再構築では、セキュリティを後回しにしないことを決めました。
理由は、一度トラブルが起きると、復旧にかなり時間がかかるからです。
私の場合は、不審なファイルを見つけても原因を特定できず、最終的にWordPressを入れ直す判断をしました。
その記録は、こちらの記事にまとめています。
WordPressで不審なPHPファイルが自動生成されたので、サイトを作り直した話
セキュリティ対策をしたから絶対に安全、というわけではありません。
それでも、何も設定しないまま運営するよりは、最初にできることを積み上げたほうが安心です。
ログイン情報を強くする
最初に見直したのは、ログイン情報です。
WordPressの管理画面に入られると、記事の改ざんや不審なファイル設置につながる可能性があります。
そのため、次のような点を確認しました。
- 推測されやすいユーザー名を避ける
- パスワードを長くする
- 他サービスと同じパスワードを使わない
- サーバー、WordPress、メールのパスワードを分ける
- 不要な管理者ユーザーがないか確認する
特に大事なのは、パスワードの使い回しを避けることです。
ひとつのサービスで漏れた情報が、別のログインにも使えてしまう状態は危険です。
ブログ初心者のうちは、テーマやデザインに目が行きがちですが、まずログイン情報を整えるだけでも守りは強くなります。
管理画面のログイン対策を入れる
次に見直したのは、WordPressのログイン画面です。
このブログでは、ログイン周りの対策としてCloudSecure WP Securityを使っています。
前回の記事でも触れましたが、CloudSecure WP Securityは管理画面やログインURLまわりを守るために入れたプラグインです。
具体的には、次のような考え方で設定を見直しました。
- ログインURLを分かりにくくする
- ログイン失敗時の制限を入れる
- 画像認証などで機械的なアクセスを減らす
- 管理画面への不要なアクセスを減らす
ログインURL変更だけで完全に安全になるわけではありません。
ただ、何も対策していない標準状態よりは、攻撃されにくい入口にできます。
WordPressは多くの人が使っている分、標準のログイン画面も狙われやすいです。
まず入口を守る、という意味でログイン対策は最初に入れておきたい設定です。
セキュリティ系プラグインで状態を確認する
ログイン対策に加えて、セキュリティ状態を確認できるプラグインも入れています。
このブログでは、Wordfence Securityを有効化しています。
目的は、マルウェアスキャンやファイアウォールなどを通して、不審な変化に気づける状態を作ることです。
一度トラブルを経験すると、「何かあったときに確認できる場所がある」ことの重要性を感じます。
ただし、セキュリティ系プラグインを入れれば終わりではありません。
入れたあとも、次のような確認が必要です。
- 通知内容を見落とさない
- スキャン結果を確認する
- プラグイン自体を更新する
- 警告が出たときに放置しない
プラグインは守りの一部です。
入れっぱなしにするのではなく、運用中に確認する前提で使うことが大事です。
WordPress本体・テーマ・プラグインを更新する
セキュリティ対策で基本になるのが更新です。
WordPress本体、テーマ、プラグインは、古いまま放置しないようにします。
今回の再構築では、SWELL、SWELL CHILD、必要なプラグインを入れ直しました。
そのうえで、不要なプラグインは有効化しない方針にしました。
最初に入れたプラグインについては、こちらの記事にまとめています。
プラグインは便利ですが、増やしすぎると管理が複雑になります。
更新漏れも起きやすくなります。
そのため、私は次のように考えています。
- 使わないプラグインは有効化しない
- 必要ないプラグインは削除する
- 公式・信頼できる配布元から入れる
- 更新が止まっているものは慎重に扱う
- 同じ役割のプラグインを重ねすぎない
便利そうだから入れる、ではなく、必要だから入れる。
この考え方は、セキュリティ面でも大事です。
サーバー側の設定も確認する
WordPressだけでなく、サーバー側の確認も必要です。
今回の再構築では、Xserverの管理画面からファイルやWordPress情報を整理しました。
サーバー側で見直したいのは、次のような項目です。
- ファイルマネージャーで不審なファイルがないか確認する
- 使っていないデータベースが残っていないか確認する
- SSLが有効になっているか確認する
- WAFなどのセキュリティ機能を確認する
- サーバーのログイン情報を強くする
WordPressの管理画面だけ見ていると、サーバー側の異変に気づきにくいことがあります。
私も不審なPHPファイルは、Xserverのファイルマネージャーで確認しました。
これからWordPressブログを始める人は、エックスサーバー
のように、WordPressまわりの管理機能がまとまっているサーバーを選ぶと確認しやすいです。
ただし、サーバーを選べば安全というわけではありません。
サーバー側の機能も、使う側が確認して運用する必要があります。
バックアップ方針を決める
再構築後に考えたのが、バックアップです。
バックアップは大事ですが、感染後のデータをそのまま戻すと、問題まで戻してしまう可能性があります。
そのため、ただバックアップを取るだけでなく、いつの状態を戻すのかを考える必要があります。
最低限、次の点は意識したいです。
- 記事本文をローカルにも残す
- 画像素材をローカルにも保管する
- テーマやプラグインの構成をメモしておく
- サーバー側のバックアップ機能を確認する
- 復元するときは感染前の状態か確認する
このブログでは、記事本文やサムネイル素材をローカルフォルダにも残しています。
WordPressだけに依存しない形にしておくと、何かあったときに復旧しやすくなります。
公開後も定期的に見る
セキュリティ設定は、最初に一度やれば終わりではありません。
ブログは記事を増やしながら運営していくものです。
記事が増えるほど、画像、プラグイン、固定ページ、外部リンクなども増えていきます。
そのため、定期的に次の点を確認したいです。
- WordPress本体の更新
- テーマとプラグインの更新
- 不要なプラグインの整理
- セキュリティ通知の確認
- 404や不審なアクセスの確認
- Search Consoleの異常通知
- バックアップの有無
毎日細かく見る必要はありません。
ただ、週に一度くらいは管理画面を開いて、更新や通知を確認する習慣を作ると安心です。
私ならこう使う
これからWordPressブログを始めるなら、私は次の順番で進めます。
- サーバーとWordPressのログイン情報を強くする
- WordPress本体、テーマ、プラグインを最新にする
- ログイン対策プラグインを入れる
- セキュリティ状態を確認できるプラグインを入れる
- 不要なプラグインを削除する
- サーバー側のWAFやSSLを確認する
- バックアップ方針を決める
- 定期確認する日を決める
最初から完璧なセキュリティ設定を作るのは難しいです。
でも、最低限の入口対策、更新、不要なものの整理、バックアップ方針まで決めておくと、運営しながら改善しやすくなります。
大事なのは、怖がりすぎてブログを止めることではありません。
安心して記事を書き続けられる土台を作ることです。
まとめ
WordPressブログで最初にやるセキュリティ設定は、難しい専門作業だけではありません。
ログイン情報を強くする、ログイン対策を入れる、更新する、不要なプラグインを減らす、サーバー側も確認する。
こうした基本を最初に整えるだけでも、運営の安心感はかなり変わります。
今回のコレやすブログでは、マルウェア感染後の再構築だったこともあり、セキュリティを最初に見直しました。
WordPressは作って終わりではなく、公開後も管理していくものです。
記事を書く前に最低限の守りを整えて、安心してブログを育てていきましょう。
参考: WordPress管理画面、Xserver管理画面、CloudSecure WP Security、Wordfence Security
