WordPressのセキュリティを高めたいんだけど、どうしたらいいのかなぁ
初めてだと何からやっていいのか、わからないよね
ブログ上の表示名やパスワードを複雑にさせるだけでも結構効果あるんだよ
え!?そうなの!?具体的にはどうすればいいのかな?
というわけで今回はWordPressのセキュリティを高める方法についてお伝えします
- WordPressのセキュリティを高める方法がわかる
- WordPressのセキュリティを高めることができる
Web上でセキュリティを高めるとはどういうことなのか?
Web上でセキュリティを高めるとは、大事なものが盗まれるリスクを下げるための対策のことです。
Web上に自分のサイトを公開するということは、不特定多数の人があなたのサイトに訪れるということです。現実世界で考えると、不特定多数の人があなたの家やお店の住所を知っていて、実際に訪れにくる状態です。「不特定多数の人が」ということは、誰が訪れるのかあなたには選べないということ。良い人もいれば、悪い人もいるということです。このような状態で、もし家の鍵をかけていなかったらどうなるでしょうか?お店のレジの鍵をかけずにいたらどうなるでしょうか?悪い人に家の中の物やお店のお金を盗まれる可能性(リスク)が高いですよね。なので、鍵をかけて対策すると思います。これと同じような対策をWeb上でも行ないます。内部の大事なもの(Web上ではデータ)が盗まれるリスクを下げるための対策が「セキュリティを高める」ということなのです。
WordPressのセキュリティを高める方法
この章ではWordPressのセキュリティを高める具体的な方法をお伝えします。
まず最初にWordPressのセキュリティを高めるポイントの要約をお伝えし、その後にそれぞれについての説明をしていきます。
WordPressのセキュリティを高めるポイントは以下の3つです。
WordPressのセキュリティを高めるポイント3つ
- ユーザー名とブログ上の表示名を別のものにする
- パスワードを複雑なものにする
- サブディレクトリにWordPressをインストールする
1と2はWordPressへログインしての作業、3はサーバーにログインしての作業です。
それでは、それぞれの項目について説明していきます。
ユーザー名とブログ上の表示名を別のものにする
乗っ取りを防ぎセキュリティを高めるために、ユーザー名とブログ上の表示名を別のものにしましょう。
WordPressへログインする際に必要なのは、ユーザー名(ログイン名)とパスワードです。もしユーザー名とブログ上の表示名を同じにしていたら、部外者はあなたのユーザー名(ログイン名)をすでに知っている状態です。あとはパスワードさえわかれば、誰でもあなたのWordPressにログインできます。これはセキュリティ上、とてもリスクが高いですよね。なので、ユーザー名とブログ上の表示名を別のものにして、部外者があなたのWordPressアカウントにログインしにくくします。
ユーザー名とブログ上の表示名を別のものにする方法
作業としては、WordPressにログインし「ダッシュボード>ユーザー」の順番で進んで、「名前」の項目を見つけてください。「ユーザー名」は変更できないので、「ブログ上の表示名」を「ユーザー名」以外のものに変更します。「ブログ上の表示名」はニックネーム(ユーザー名を連想しにくいニックネームをつけてください)にするのがオススメです。
パスワードを複雑なものにする
ブログ上の表示名の変更と同様に乗っ取りを防ぎセキュリティを高めるために、パスワードを複雑なものにしましょう。
先ほどWordPressにログインする際に必要なのは、ユーザー名とパスワードだとお伝えしました。単純なパスワードだと、暗号解析を利用すれば簡単に割り出せてしまいます。なので、セキュリティを高めるために、パスワードも複雑なものにします。
パスワードを複雑なものにする方法
作業としては、WordPressにログインし「ダッシュボード>ユーザー」の順番で進んで、「アカウント管理」の項目を見つけてください。「パスワードを生成する」をクリックして、新しいパスワードを作りましょう。パスワードは「大文字・小文字・数字」を含めたものにするのがオススメです。
サブディレクトリにWordPressをインストールする
ディレクトリ構造を複雑にしてサーバー上のセキュリティを高めるために、サブディレクトリを作成し、そこにWordPressをインストールしましょう。
じつは、WordPressを利用しているサイトは同じディレクトリ構造です。例えば、ドメイン直下には3つのディレクトリ「wp-admin, wp-content, wp-includes」があり、その中のディレクトリ「wp-content」には6つのディレクトリ「ai1wm-backups, languages, plugins, themes, upgrade, uploads」があります。
同じディレクトリ構造ということは、言い換えれば、部外者でもあなたのディレクトリ構造がわかる状態ということです。これはセキュリティ上、大きな弱点です。もう少し怖い話しをすると、ドメイン直下にWordPressをインストールした場合、部外者でもあなたのサーバー上のディレクトリ構造がほぼ全部わかっている状態になってしまいます。このような状態では、悪意あるユーザーが簡単にアクセスできてしまいます。なので、ディレクトリ構造を少しでも複雑にして外部からアクセスしにくくするために、サブディレクトリを作成し、そこにWordPressをインストールします。
サブディレクトリにWordPressをインストールする方法は別の記事に書きましたので、参考にしてみてください。
ここからは、サブディレクトリについてもう少し説明します。サブディレクトリについて知りたい方だけ読んでくださいね。
例えば、このサイトのドメインは「aking.me」です。ドメイン直下にWordPressをインストールした場合、ディレクトリ構造は「aking.me>wp-admin>⋯⋯」のようになります。
では、ドメイン直下にサブディレクトリ「wp-subdirectory」を作成して、そこにWordPressをインストールした場合はどうでしょうか?その場合のディレクトリ構造は「aking.me>wp-subdirectory>wp-admin>⋯⋯」のようになります。
今回は例なので、サブディレクトリ名であることがわかりやすい「wp-subdirectory」にしましたが、部外者が連想し難い名前にしておけば、容易にアクセスできなくなるのでセキュリティ効果が高まります。オススメのサブディレクトリのネーミング方法は、WordPressのディレクトリ形式に沿って「wp-」を頭につける方法です。「wp-〇〇〇〇〇〇」のようにネーミングします。
サブディレクトリにWordPressをインストールすると、今まで通りトップページURLからアクセスできなくなります。サブディレクトリ名がパスに入ってしまうからです。しかし、心配しないでください。トップページからアクセスできるように設定を変更しましょう。方法は下記の記事に書いたので、参考にしてみてください。
まとめ
Web上に自分のサイトを公開するということは、公に、つまり不特定多数の人にあなたのサイトが知られていて、なおかつ彼らがあなたのサイトに訪れるということです。あなたのサイトが外部にさらされている状況下で大切なデータを盗まれないようにするために、セキュリティを高めて安全にサイト運営することがとても重要です。そのためには、WordPressのセキュリティを高める3つのポイント「(1)サブディレクトリにWordPressをインストールする、(2)ユーザー名とブログ上の表示名を別のものにする、(3)パスワードを複雑なものにする」を実行してみてくださいね。