おすすめ記事ピックアップ
セキュリティに関する知識がほぼ無い私でもサーバー側、WordPress側、Webサイト側のすべてに、セキュリティ対策を実施しました。もうこれ完璧じゃないでしょうか。サーバー代金も含めて月額500円~1000円で構築できます。
そしてDDoS攻撃(ディードスこうげき、分散型サービス妨害攻撃)で、サイトが重くなり困ったこともありました。個人でWordPressを運用していると、これらの対策が取れず悩みます。
会社であれば、サーバーに詳しい技術担当者とセキュリティの対策を取れますが個人だとなかなか難しいのが現状です。そこで個人でも取れる最強のWordPressセキュリティ対策を調べて考えました。
これから、WordPressサイトの構築を考えている人がいましたら参考にどうぞ。知識が少ない担当者でも、高度で全方位なセキュリティ設定を実現できるはずです。
実は、それらの仕組で何をどのように防げるのか理解できていません。でも、もしかしたら下手な会社のWordPressサイトよりセキュアなWeb構築ができた気がします。
知識不要!簡単できるセキュリティ設定
・海外からの不正アクセス・ダッシュボードへの不正ログイン(ブルートフォースアタック)
・XML-RPC APIへのアクセス制限
・コメント・トラックバック機能の不正書き込み
・DDOS攻撃
・データベース自動バックアップ
・サーバー領域(Web/メールデータ)自動バックアップ
・サイト全体をSSL化
・WordPressバージョン表示を隠す
・エラー出力を無効化
・データベースのテーブルのPrefixの変更
・ファイルのパーミッションを一括変更
などです。以下で設定します。
簡単でセキュアなWordPressサーバーとは
海外からの不正アクセス、ダッシュボードへの不正ログイン(ブルートフォースアタック)、コメント・トラックバック機能の不正書き込み、DDoS攻撃(ディードスこうげき、分散型サービス妨害攻撃)に対して、知識が無くても対策・防御できるサーバー選定をします。お勧めは、WordPress専用のWPXサーバーです。サーバー側のセキュリティ設定が、だいたい自動で提供されているからです。知識が少ない初心者の方でも、高セキュリティ環境が実現できます。初期設定で国外アクセス遮断機能、ダッシュボードへの不正ログイン防止機能など設定されています。
不正アクセスは、海外からのアクセスが多いです。国外IPアドレスからのアクセスを遮断すれば、直接の攻撃は防げます。国内を経由していると無理ですけど、これだけで随分と安心です。またXML-RPC APIへのアクセス制限を行いセキュリティを強化できます。
Wordpressのダッシュボードへ不正ログイン防止機能は、パスワード総当り(ブルートフォースアタック)を防げます。WPXサーバーを使えば、何もしなくても国外からの直接の攻撃と、ブルートフォースアタックを防げます。あとコメント・トラックバック機能へのアクセス制限を行いセキュリティの強化も可能です。
DDOS攻撃に対しては、一般的に共有サーバーであれば、サーバー側で対応してくれるものだと思います。たぶん。WPXの障害情報を見ていると、対策が早そうなので安心で
す。

WPXの障害情報
https://www.wpx.ne.jp/server/mente_detail.php?view_id=1404
ということで、WordPress専用のWPXサーバーを選択すれば、知識が無くてもある程度のサーバーのセキュリティ対策ができます。
WPXサーバーなら自動バックアップ付
WPXサーバーなら、MySQLデータベース自動バックアップと、サーバー領域(Web/メールデータ)自動バックアップが付いてきます。2週間まるごと自動でバックアップされます。MySQLデータベースの復旧は、無料です。サーバー領域のバックアップ提供は手数料5,400円(税込)が必要です。まあそれでも自動で14日のバックアップがあるのは安心です。
WPXサーバーならなんとSSLが無料!
これは本当に驚きです。WPXサーバーは、2016年8月16日から、SSL通信が無料で利用できるようになりました。すべてのWordPressサイトへ手軽にSSLを設定することが可能です。証明書は即時発行され、期限前の自動更新により、証明書の期限切れを防ぎます。通常であれば、SSLを導入すると年間数万円の費用が必要です。個人では、お金が高く導入が難しい状況でした。今は無料です。しかもWPXの安心感がすごいです。
サイト全体をSSL化してしまえば、情報を傍受されても暗号化されているため安心です。でも実はSSL化することで、何が防げるのか?通信を傍受する人なんかいるのか?など理解できていません。良く分からないですね。重要なセキュリティとしてSSLをみんな使っていますけど。まあWPXサーバーならSSLが無料で使えます。
ドメインのネームサーバーなどを変更する必要があります。ちょっとその辺は難しいかもしれません。別途記事にまとめる予定です。
WordPressプラグインAcunetix WP Security導入
WordPressの初期設定では、悪意を持つクラッカーから、データーベースのURLを推測されたり、権限が強いファイルなどを推測されてしまいます。またWordPressのバージョン情報からセキュリティホールを狙われたり、エラーから侵入の糸口を与えてしまいます。そのため、データーベースのURLを変更したり、バージョン情報を隠したり、エラー表示をさせないことで、ハッカーに情報を与えずにセキュリティを高めます。実はまったく理解できていません。ははは。要はスタンダートな設定では、進入できる情報を与えてしまうのでしょう。
WordPressプラグインAcunetix WP Securityを導入して、下記サイトのように設定すれば万全です。項目を選択してクリックするだけで設定できます。
Acunetix WP Securityの使い方(設定)をマスターしようAcunetix WP Security
https://nakaeshogo.com/acunetix-wp-security/
https://ja.wordpress.org/plugins/wp-security-scan/
サーバーの技術担当者を準備できない小規模な会社や、個人で事業を展開している人などにお勧めできるセキュリティ設定でした。月額もWPXなら500円~1000円ぐらいです。
