行政書士事務所
ホーム>記事一覧 > WordPressのセキュリティで最低限やってほしい4つのこと

WordPressのセキュリティで最低限やってほしい4つのこと

岐阜県にあるぎふメディアコスモス
岐阜県のぎふメディアコスモス外観

WordPressで自社ホームページを管理されている方、総務部や情シスの担当者の方に、最低限、確認しておいてほしいことをまとめます。

1. まず、何よりもパスワード

WordPressのセキュリティ設定で、いちばん大事なのは、パスワードです。

WordPressの公式ドキュメントでは、以下の内容が推奨されています。

WordPressで、自動生成してくれるパスワードを使っていれば、24文字のランダムな文字列になっているはずです。

もし、会社名など、分かりやすい言葉になっている場合は、そのWordPressを制作した会社にパスワードを変更してもらってください。

パスワード変更は、簡単にできます。

2. バージョンを最新にする

レンタルサーバーを利用している場合、PHPのバージョンを変更できる場合があります。
わたしの使っているサーバーの場合、PHP8.2を利用できます。

PHPのバージョンは、できるだけ新しい(数字の大きい)方が良いです。
7よりも8が良く、8.1よりも8.2の方が良いです。
(レンタルサーバーのコントロールパネルのアクセス権限が無い場合は、権限のある方にPHPのバージョンを聞いてみてください)

また、WordPressにもバージョンがあります。
2023年8月13日時点では、6.3が最新です。
可能な限り、バージョンを新しくしてください。

さらに、WordPress使われているテーマやプラグインにも、バージョンがあります。
これも、新しいものが良いです。

WordPressのダッシュボード画面で、更新 ボタンを押すと、バージョンアップできるかどうか分かるはずです。

ただし、バージョンアップは、ときどき不具合を起こすこともあります。
web制作会社に、頼んでやってもらう方が安全です。

プラグインの不具合でバージョンアップできない場合、そのサイトの寿命がきているのかもしれません。
そのときは、リニューアルなどを検討した方が良いです。

3. ログイン画面を隠す

バージョンアップできたら、次に、外部からのアクセスについて確認していきます。

お使いのWordPressサイトで、URLの末尾に wp-admin と入力してください。

たとえば、 https://domain.com/ というURLのサイトだった場合、https://domain.com/wp-admin となるように、アクセスしてみてください。

ログイン画面が出てしまったサイトは、おそらくセキュリティ設定が甘いです。
そのWordPressを作った方、もしくはWordPressを管理してくれる専門業者に、ログイン画面に遷移しない設定をしてもらってください。

4. ログインIDを隠す

次に、同じくURLの末尾に、?author=1 と入力してください。

たとえば、 https://domain.com/ の場合、 https://domain.com/?author=1 となるようにしてアクセスしてください。

もし、~/author/ログインID というようなページになって、ご自身の記事が出てきた場合、セキュリティ設定が甘いかもしれません。
(複数人で管理しているサイトで、筆者が分かるようにする必要があるサイトの場合は、あえてIDが分かるようにしていることもあります。が、通常の企業サイトの場合、そのような設定はまれです)

同じように、末尾に wp-json/wp/v2/users/ をつけても良いです。
こちらのアドレスも、ログインIDが出てくる危険性があります。

ログインIDが表示されてしまうのが嫌な場合は、web制作会社などに依頼して、表示されない設定にしてもらってください。

その他

とりあえず、上記4つをチェックしてもらえれば、そのサイトのセキュリティ状況は何となく分かると思います。

その他の設定として、以下のようなこともチェックできたらしてみてください。

今年の6月に、お料理系YouTuberとして有名なリュウジさんのWordPressサイトが、乗っ取り被害を受けて話題になりました。
(その後、リュウジさんはBASEというシステムに乗り換えました。無難な判断だと思います)

WordPressは、導入が簡単なシステムですが、きちんと管理していくのは、実は難しいです。
管理者の方は、信頼できる管理会社を見つけるか、担当部署でのセキュリティ情報の収集をお願いします。