【WordPressサイト運営者向け:基本セキュリティ対策マニュアル】
WordPressサイトを安全に運用するためには、いくつかの基本的なセキュリティ対策を確実に押さえることが重要です。
この記事では、実際の運用経験に基づいた「必須のセキュリティ対策10選」をまとめました。
目次
1. 公開用アカウントを作成する
- 管理者アカウントとは別に、公開用の投稿者アカウントを作成
- 表示名(ニックネーム)とログインIDは必ず別にする
- 権限は「投稿者」または「編集者」に設定、管理者権限は付与しない
🔗 詳しくはこちら → ConoHa WING: WordPressのセキュリティ対策
2. authorページをリダイレクトする
- WordPressのデフォルトauthorページはログインID漏洩リスクがあるため、アクセスをリダイレクトする
functions.phpにリダイレクトコードを追加:
/* authorページをTOPにリダイレクト */
add_action('template_redirect', function() {
if (is_author()) {
wp_redirect(home_url());
exit;
}
});
- さらに、ダッシュボードのユーザー編集画面で
「検索エンジンがこの著者のアーカイブを検索結果に表示することを許可しません。」にチェックを入れることで、検索エンジン経由の露出リスクも防げます。
🔗 詳しくはこちら → ConoHa WING: WordPressのセキュリティ対策
3. ログインURLを変更する
- WPS Hide Loginなどを使用して、
/wp-login.phpを独自URLへ変更する - 定期的な変更(年1回程度)を推奨
🔗 詳しくはこちら → ConoHa WING: WordPressのセキュリティ対策
4. SiteGuard WP Pluginを導入する
- ログインページ変更
- ログイン画像認証設定
- ログイン試行回数制限(例:5回ミスでロック)
🔗 詳しくはこちら → ConoHa WING: WordPressのセキュリティ対策
5. Google reCAPTCHAを設定する
- reCAPTCHA v2またはv3を導入
- ログインフォーム・コメントフォームに適用し、ボット対策を強化
🔗 詳しくはこちら → ConoHa WING: WordPressのセキュリティ対策
6. wp-config.phpのパーミッションを400に変更する
wp-config.phpのパーミッションを400に設定し、読み取り専用化
🔗 詳しくはこちら → ConoHa WING: WordPressのセキュリティ対策
7. FTP接続を固定IPアドレスに制限する
- サーバー管理画面から、FTP接続元IPを固定
- 社内および信頼できる端末のみアクセス許可
🔗 詳しくはこちら → ConoHa WING: WordPressのセキュリティ対策
8. wp-login.phpへのIPアクセス制限を設定する(ログイン不要サイト向け)
.htaccessで制御:
<Files wp-login.php>
order deny,allow
Deny from all
Allow from 指定IPアドレス
</Files>
🔗 詳しくはこちら → ConoHa WING: WordPressのセキュリティ対策
9. 定期的なバックアップを設定する
- WPvivid Backup Pluginを使用
- Dropbox等クラウドストレージへ夜間自動バックアップを設定
- 最新3世代のバックアップ保持を推奨
🔗 詳しくはこちら → ConoHa WING: WordPressのセキュリティ対策
10. ノマドワーク時はVPN固定IP経由でログインする
- MillenVPNなど固定IPサービスを活用
- VPN経由でのみ管理画面へアクセス
- 緊急時(VPN接続不能時)の一時ログイン対応も準備
🔗 詳しくはこちら → ConoHa WING: WordPressのセキュリティ対策
【まとめ】
すべてのリスクをゼロにすることはできません。
しかし、基本をしっかり押さえ、日々の積み重ねを続けることで、
サイトを守る力を確実に高めることができます。
コメント