050-5850-5921
10:00-20:00(Mon) - (Fri)

サイバー攻撃の危険が高まる今、ワードプレスのセキュリティ対策を再確認


Last Updated on 9月 18, 2022 by みか

「何歳からでもチャレンジして幸せになる人で
 世界中を満たす!」
を志に日々精進しています。

起業でチャレンジする人やスモールビジネスの伴走者として、
アクセスの少ないホームページ、
売れないウェブショップ、ランディングページ、SNSから
売れるしくみを作り
のお手伝い

総合ITマーケティングプロデューサーの佐々木美香です。

ウクライナの戦争の余波もあり、サイバー攻撃の危険性が高まっています。
https://www.meti.go.jp/press/2021/02/20220221003/20220221003.html

今回はワードプレスでホームページを作っている方に向けて
乗っ取り防止に必須となるのセキュリティ対策について書いていきます。

2017年の記事に追記し、最近追加設定したセキュリティの内容も記載しています。
ワードプレスを管理している方や、外注している場合でも管理者権限がある場合は現状確認ができますのでぜひ読み進めてくださいね。

1.ワードプレスのHPは乗っ取りが起きやすい?

ホームページがサイバー攻撃をされると、どうなると思いますか?

既存のページが改ざんされたり壊されたる危険性があります。

そのホームページにアクセスした人にウイルス感染させるようなプログラムを埋め込まれてしまうこわーい攻撃もあります。

実際に私の友人はワードプレスを乗っ取られてしまいました。

管理者アカウントに不正ログインされてしまい、ブログに勝手に投稿され、海外からブランド物の宣伝がその数なんと、約300ページも!
既存ページをいじられていなかったのは不幸中の幸いですが、ログインされてしまうということはなんでもできてしまいます。
サイトを壊して元の内容を消されたりしても不思議はありません。

ホームページといえば、人気のシステムであるワードプレス。
今や世界中のホームページの4分の1がワードプレスで作られているそうです。

・自動でスマホ対応もできて、
・専門知識がなくてもホームページもブログも作れる、
・SEOにも強い、
という、良いことだらけのホームページ作成システム。

でも、ユーザーが多いということはハッカーから狙われやすくなります((+_+))

数年前にはワードプレスでハッキングされるサイトが多く出て、サーバー会社から今すぐワードプレスを更新してください、
とメールが来ていました。

最近は初期設定で自動更新になっているようですが、きちんと更新されているか、時々確認してくださいね。

インストールしてからしばらくたっているサイトは自動更新でない可能性があります。
ブログを書くときには、システム更新があれば必ず行ってください。

数年前の攻撃を教訓に、今は、サーバー側でのセキュリティも強化されています。
自社でサーバー契約している方は、こちらのサーバーのセキュリティ対策も確認してくださいね。

また、ホームページ制作会社の方で、
「うちはワードプレスでは作成しないから安全です」
という方がいらっしゃいますが、気を付けてくださいね。
それは逆に言うと、ハッキングされるかどうかがすべてその会社の度量にかかっているということ。

そこまで信頼できる会社なら良いですが、世界中のホームページの4分の1で使われているワードプレスは、問題の発覚も早いし、わかったら隠さずに公開して対策を打ってくれます。

きちんと対応することが一番の安全策。
決して
ワードプレス=危険
ではないですよ。

必要なのは、運用する際には自分で適切に対策を打つこと。

大事なことなのでもう一度書きますが、
更新してくださいね!

ネット上で「ワードプレスは更新しないに限る」なんて書いている方もいますが、そういった誤った考えに惑わされないでくださいね。

ホームページ上のコンテンツは24時間働いてくれる貴重な営業マンであり、ビジネスの資産です。ハッカーの餌食にならずにしっかり運用しましょう。

2.自分でできるセキュリティ対策

日々のシステム更新に加えて、全てのサイトが確認すべきセキュリティのチェックポイントを3つ上げます。

① 不要な情報を見せない

ワードプレスのセキュリティーで、他のサイトを見ていて驚くことがあります。
悪用されかねないある情報が表示されているのですが、この情報が出ているということは、
・確実に自分で作ったサイトである
・ワードプレスのことを良く知らずに作っている
・セキュリティは全く考慮していない
とバレバレです。

そうするとハッキングしたい人は簡単にできてしまいます。

その情報とは、「メタ情報」。

最近インストールされたサイトは表示されないデザインテーマが多いですが、少し前にインストールしたサイトや、気づかずに古いテーマを選択してしまうと表示されてしまいます。

管理者画面へのリンクが表示されていて、それをクリックするとIDとパスワードを入れる画面が表示されている、危険な状態は避けてください。

いきなりログイン画面を大っぴらに表示してしまって、ハッキングしてくださいと言わんばかり。
セキュリティ強化を全く行っていないのもバレバレですよ!

管理者ログインへのリンクは、ホームページやブログを読む人には全く不要です。
しかも、管理者にとってはとても大切な情報。

それは表に出さずに、隠してください。
ウィジェットからメタ情報を非表示にすれば、表示されなくなります。

② セキュリティのプラグイン

不正ログインなどの攻撃は海外から行われることがほとんど。

これを踏まえてログイン時にひらがなを入力してログインするという仕掛けも有効です。

私が使用しているロリポップサーバーでは、ワードプレスをインストールするとSiteGuard WP Pluginというプラグインが初期設定ですでにインストールされています。必ず有効にして、セキュリティを強化してください。

③ログインアカウントを割り出せないようにする

①番でログインURLを隠したわけですが、アカウントもわからないようにするのが安全です。

表面的にはどこにもアカウントが表示されていないとしても、ワードプレスの場合は、
http://<WordPressのURL>/?author=ID
の形式で、WordPressのURLにサイトのURL、IDに1や2などの番号を入れると、
実際のログインIDが表示されてしまいます。

IDがわかると後はパスワードを破れば良いことになるので、ハッキングが簡単になってしまいます。

Edit Author Slugというプラグインで、本当のIDを隠すことができますよ。

4.ワードプレスのセキュリティ対策まとめ

HPのコンテンツは、ビジネスの大切な情報資産です。
家に鍵をかけるようにしっかりと守りましょう。

ご紹介した点をまとめると以下です。

・ワードプレス本体の更新をする(更新前にバックアップ)
・ハッキングに使用される情報の非表示
・セキュリティのプラグインを入れる

ワードプレスの更新方法や各プラグインの設定方法は、ネット上で複数公開されているのでこのブログでは詳細は記載していません。
チェックリストとして活用していただき、不足分を追加設定してくださいね。

特に外注している場合、気を付けないといけないのはWEBデザイナーの中にはワードプレスの扱いに詳しくない場合が多数あることです。
ご自分で作成したサイトはもちろん、外注したサイトについても確認しておくと安心です。

・上記の確認方法や設定方法がWEBで調べてもよくわからない
・サイトがおかしくなってしまわないか不安だから誰か教えて欲しい
という方は、ホームページ&ブログ相談にいらしてください。

自作サイトや外注サイトでもご相談いただけます。

 募集中のセミナー&コンサルティング
 【集客を楽にして効率化するには】
〇 WEB集客の課題を相談して解決
 【売上だけでなく利益を確保することがビジネスです】
〇 ビジネスの利益アップに!体験コンサルティング
 完全無料で動画講座を作りたい、申し込み前に確認したい、などは気軽にお問い合わせください
〇クリックして問い合わせ

ランキングの応援、ありがとうございます。(^.^)
↓ ↓ ↓にほんブログ村 ベンチャーブログ 起業・独立支援へ

 

お問合せ:IT集客.ねっと by ミカプロジェクツ
Tel:050-5850-5921 (11:00-20:00)
Email:info@it-syuukyaku.net