エンジニアでなくとも気軽にサイト制作をすることができるワードプレス。レンタルサーバーと契約すれば、あとは年間2000円程度のドメイン代のみでいくらでもサイトを作ることができます。そこで、今回は個人でワードプレスで作ったHPを運営する場合のセキュリティ対策方法をご紹介します。
ワードプレスは誰もが気軽にHPを作ることができる分、セキュリティが脆弱な欠点があります。サイト制作会社に保守メンテナンスを依頼しているのであれば丸投げすることもできるのですが、個人であれば自分でサイトは守らなければなりません。では、どのようなセキュリティ対策を講じればいいのでしょうか。
ウェブサイトは常にハッカーに狙われていると言っていいでしょう。「まさか自分が不正アクセスにあうなんて……」とセキュリティ対策を怠ったことを後悔することのないように、HPを製作したら、まず最初にベーシック認証をかけてください。HPにログインする際は、IDとパスワードが必要となりますが、これを総当たり攻撃して突破する方法にブルートフォースアタックというものがあり、この攻撃を防御する手段としてベーシック認証は非常に有効です。ベーシック認証をしておけば、ログイン画面の前にIDとパスワードを設けることができるので、ログイン情報とは別のIDとパスワードを考えてください。
ワードプレスでHPを製作すると、ログインURLは「https://ドメイン/wp-admin/」となります。これをクリックするとログイン画面が表示されるため、ベーシック認証をかけていないと、総当たり攻撃の被害にあいます。そのため、ベーシック認証をかけつつ、ログイン画面のURLを変えることがセキュリティの強化に繋がります。
ログイン画面でご覧のように日本語と数式を入力するセキュリティ対策も重要です。特に日本語の画像認証は、外国人ハッカーからの攻撃防止に非常に有効的です。通販や会員登録など少々複雑な機能をHPに搭載している場合は、ログインURLを変更することが難しい場合もありますので、そのようなHPを保有している方は、必ず日本語と数式の両方の画像認証を導入してください。
しかしながら、どんなにセキュリティ対策を強化していても、不正アクセスの被害に遭うこともあるかもしれません。そんなときのために、月複数回のバックアップはしっかりととっておくといいでしょう。バックアップは日付けを管理することによって、仮にウイルスや不正アクセスにあった場合、バックアップの日付けまで遡って復旧することができます。復旧したあとはすべてのログインIDとパスワードを即変更してください。
今回紹介したセキュリティ対策のうち、ベーシック認証はレンタルサーバー側で、それ以外はプラグインをワードプレスに導入することによってすべて解決することができます。復旧作業をエンジニアに依頼すると、2~5万円ほどかかってしまうので、できるだけ自分でHPのリスク管理をするようにしましょう。