WordPressを利用するときに気になるのが、セキュリティですよね。
しっかりとした対策を取っておかないと、
- サイトの内容が改ざんされたり
- 他のサーバーへの攻撃の踏み台にされてしまったり
という、シャレにならない事態が起こりえます。
実際に私の周りでも、WordPressブログに不正アクセスされ、中身を改ざんされてしまった、という人が数人います(汗)
こういったことは「ある日突然に、思いがけないタイミングで」やってきます。
ですので、セキュリティ対策には常に気を使って、2重3重の対策を取っておきましょう。
もし収益を上げているWordPressブログが乗っ取られてしまったりしたら…真っ青ですよね。
今回はWordPressのセキュリティ対策で、
- レンタルサーバー側でできること
- WordPress側でできること
- その他でできること
という3通りに分けて解説します。
セキュリティ面で信頼できる安心のレンタルサーバーについても紹介しますので、ぜひ参考にしてみてくださいね!
目次
WordPressを利用する時に考えられるセキュリティリスク2つ
さっそく具体的な対策法に入りたいところですが、その前にまずWordPressを使う際には、どのようなセキュリティリスクがあるのかについて知っておきましょう。
WordPressを利用する時に考えられるセキュリティリスクは、この2つです。
- 不正アクセス
WordPressの管理画面やレンタルサーバーの内部に入られてしまうこと - 不正利用
WordPressやレンタルサーバーのプログラムやシステムの弱点をついて、本来の目的とは違う動作をさせられてしまうこと
不正アクセスによって管理画面内に入り込まれてしまうと、
- 内部のデータを勝手に書き換えられたり
- データを壊されたり
してしまいます。
IDやパスワードを書き換えられてしまうと、管理画面に入れなくなることもあるので、非常に危険です。
また、システムの弱点をつかれて、
- 外部サーバーの攻撃の踏み台にされたり
- スパムメールの配信元になってしまったり
と不正な使われ方をしてしまうこともあります。
これらを防ぐためには、悪意のあるユーザー対して
- 入らせない
- 使わせない
というセキュリティ対策をとることが重要です。
さくらサーバーのウェブサイトが迷惑メールの踏み台にされました。こんなのはじめて。わけもわからずはじめて構築したエックスサーバーでは経験なし。なにはともあれ、アフィしてる人はお金かけてでもセキュリティチェック推奨です。あー無念。
— ぜにこ@投資勉強 (@heppoco_zeny) 2019年3月7日
セキュリティ面で安心できるレンタルサーバーは、エックスサーバー
WordPressのセキュリティ対策が充実しているレンタルサーバーは、「エックスサーバー」です。
エックスサーバーであれば前述の「入らせない・使わせない」という点において、強力なセキュリティ対策が打てるからです。
(具体的な対策法については、この次の章で詳しく説明します。)
過去にセキュリティ関連での重大な事故なども起きていません。
ただし、万全の体制を取っていたとしても、どうしても防ぎきれないことが時にはあります。
その場合には、正常な状態への復旧を目指す必要があります。
その時に重要になってくるのが、
- バックアップの有無
- サポート体制の充実度
です。
この点についてもエックスサーバーであれば、自動的にバックアップデータが保存される「自動バックアップ」機能が無料で標準装備ですし、サポートもメールと電話があり、非常にレスポンスが早いです。
- 事前のセキュリティ対策
- 事後のサポート体制
と両面からセキュリティリスクに備えられるのがエックスサーバー、というわけなんです。
では、次から実際のセキュリティ対策について、具体的な方法を確認してきましょう。
レンタルサーバー側でできるセキュリティ対策7つ
まずはレンタルサーバー側でできるセキュリティ対策からご説明します。
今回は前述のエックスサーバーの場合を例にとって解説します。
レンタルサーバー側で行うセキュリティ対策はこの7つです。
- PHPの最新バージョン使用
- 国外IPアクセス制限設定
- ログイン試行回数制限設定
- コメント・トラックバック制限設定
- WAF設定
- アクセス拒否設定
- アクセスログの収集・確認
それぞれについて解説します。
(1)PHPの最新バージョン使用
WordPressはPHPというプログラミング言語で動いています。
ですので、このPHPのバージョンを最新に保つことで、セキュリティ性能が上がります。
システムやプログラミング言語は「脆弱性が発見される→修正する」というサイクルを繰り返していますので、最新バージョンである方が安全性が高いからです。
PHPバージョン設定の場所
エックスサーバー管理画面の「PHP > PHP Ver.切替」というメニューを選択して、該当のドメインのPHPバージョンをより最新のものに切り替えます。
注意
ただ、むやみにPHPのバージョンを上げると、予期せぬ表示エラーが出たり、動かなくなるプラグイン出たりします。
特に多くのプラグインをインストールしている場合は、確率はかなり高めです。
PHPのバージョンを上げる時は慎重に行って、上げたあとにはかなり入念に動作確認をしましょう。
私の過去の経験では、いっけん問題なさそうに見えたものの、実はTwitterカードの表示でエラーが出ていた、ということがありました。
気づかずにだいぶエラーを放置してしまっていたので、SNS投稿のような挙動も含めてすべての表示・動作の確認をしておくのがいいですよ!
ポイント
目視確認ではエラーを見逃してしまうこともあるので、エラーログを確認しておくとさらに安全です。
もしここに何かログが残されている場合は、エラーが出ているということです。
(※ただし、すべてに対応しなければいけないというものでもありません)
WordPressやPHPに詳しい方であれば、この内容をみて該当の箇所を修正することができます。
PHPバージョンの互換性チェックには「PHP Compatibility Checker」も使おう!
自分のWordPressのテーマやプラグインと、PHPバージョンの互換性をチェックしてくれるプラグインもあります。
それが「PHP Compatibility Checker」です。
使い方はとても簡単で、チェックしたいPHPのバージョンを選んで実行するだけです。
PHPのバージョンアップ前には、必ず一度確認してみてくださいね!
(2)国外IPアクセス制限設定
「国外IPアクセス制限設定」というのは、WordPressの管理画面やシステムへの国外IPアドレスのアクセスを制限する機能です。
制限できるアクセスはこの3つです。
- ダッシュボード(管理画面)アクセス制限
- XML-RPC API(メール投稿機能などの外部システム)アクセス制限
- REST API(外部からのデータ利用)アクセス制限
なぜ国外のアクセスを制限するのかというと、不正アクセスのほとんどが国外のものだからです。
この機能をONにすることで多くの不正アクセスを防止することができます。
WordPressブログの閲覧に関しては、とくに制限はかかりません。
あくまでシステム内部のみに対するアクセス制限です。
ただし、ご自身が海外に行くときはこの機能をOFFにしておかないと管理画面に入ることができなくなってしまうので、海外への旅行や出張のときは忘れずにOFFにしておいてくださいね!
もう解決済みですが、バリに来て急にWordpressの管理画面が開けなくなったので焦りました😅
ブログのレンタルサーバーをエックスサーバーで契約している人は、サーバーパネルのWordpressセキュリティ設定から国外IPアクセス制限をOFFにしておかないと、僕みたいに海外で急に開けなくなるので注意。
— ぐちを🇲🇲ミャンマートラベルブロガー (@guchiwo583) 2018年11月8日
メモ IPアドレスとは?
「IPアドレス」とは、ネットワークに接続されている機器を識別するために割り当てられている数字のことです。
人に「Aさん」「Bさん」と名前がついているように、ネットワークに接続しているPCやスマホにも「1番さん」「2番さん」という形で全てにIPアドレスが割り振られています。
(実際のIPアドレスはもっと数字の桁数が多いです)
このIPアドレスを見ることによって、どこから接続されているかおおよその位置を判断することもできます。
国外IPアクセス制限設定の場所
国外IPアクセス制限は、エックスサーバーの管理画面の「WordPress > WordPressセキュリティ設定」から設定することができます。
ちなみに、このあと説明する
- ログイン試行回数制限設定
- コメント・トラックバック制限設定
も、同じ場所で設定をすることができます。
(3)ログイン試行回数制限設定
「ログイン試行回数制限設定」というのは、短時間に連続してログインが失敗した場合に、アクセス制限がかかる機能です。
これは「ブルートフォースアタック」(Brute Force Attack)という「ID・パスワードの総当たり攻撃」に対して非常に有効なセキュリティ対策です。
メモ ブルートフォースアタックとは?
「Brute-force」とは「力づくで」というような意味です。
何千何万通りの言葉の組み合わせをプログラムで自動的に生成してログイン試行し、力づくで無理やりID・パスワードの突破を図る不正アクセス方法のことです。
この回数制限を設定していないと、高速で何万通りものログイン試行をされてしまうことになります。
一度ロックがかかると、解除されるのは24時間後になります。
もし自分自身がパスワードを忘れて、このロックがかかってしまった時は、エックスサーバーの管理画面から一時的に解除をすればOKです。
その後にまたONに戻すのを忘れないでくださいね!
ログイン試行回数制限設定の場所
ログイン試行回数制限は、エックスサーバーの管理画面の「WordPress > WordPressセキュリティ設定」から設定することができます。
(4)コメント・トラックバック制限設定
コメント欄は、大量のコメントを投稿される「コメントスパム」という攻撃をうける可能性があります。
1ページ内に数万単位のコメントが登録されると、読み込みに時間がかかりサーバーへ非常に大きな負荷がかかります。
トラックバックとは、他の人のブログを自分のブログで引用した際に「引用しましたよ」という通知を送る仕組みです。
ですがこのトラックバックは引用の有無にかかわらず送信ができてしまうため、無関係なサイトに無差別にトラックバックを送る「トラックバックスパム」という攻撃があります。
これら2つのスパム行為を防ぐのがこの「コメント・トラックバック制限設定」です。
コメント・トラックバック制限には、2つの項目があります。
- 大量コメント・トラックバック制限
- 国外IPアドレスからのコメント・トラックバック制限
大量のコメント・トラックバックが行われた場合、投稿の制限がかかります。
制限は6時間で解除されます。
このスパム行為も国外から行われることが多いので、国外のIPアドレスを制限することができます。
ブログ運営していると海外IPアドレスで大量のスパムコメント来てたけど、エックスサーバー のコメント・トライバック制限をONにしたら来なくなった。(初期設定OFF)
エックスサーバーにログイン>サーバーパネル>WordPressセキュリティ設定>タブ「コメント・トライバック制限設定」で設定できます。
— Tomoyuki 📪 (@tomoyuki65) 2018年7月30日
コメント・トラックバック制限設定の場所
コメント・トラックバック制限はエックスサーバーの管理画面の「WordPress > WordPressセキュリティ設定」から行うことができます。
(5)WAF設定
WAFとは「ウェブ・アプリケーション・ファイアウォール」のことです。
「ファイアウォール」とは元の意味では、文字通り「(火の燃焼を抑えるための)防火壁」のことです。
これが転じてコンピュータの世界では、「不正アクセスをシャットアウトするバリア」のような意味で使われます。
イメージ的には、「外部からのアクセス場所に守衛所を設けて、それぞれのアクセス監視する」という感じです。
怪しいアクセスがあると、中に入らないように守衛さん(=WAF)が止めてくれます。
WAFの設定項目はこちらです。
設定項目 | 対策内容 |
XSS対策 | javascriptなどのスクリプトタグが埋め込まれたアクセスについて検知します。 |
SQL対策 | SQL構文に該当する文字列が挿入されたアクセスについて検知します。 |
ファイル対策 | .htpasswd .htaccess httpd.conf等、サーバーに関連する設定ファイルが含まれたアクセスを検知します。 |
メール対策 | to、cc、bcc等のメールヘッダーに関係する文字列を含んだアクセスを検知します。 |
コマンド対策 | kill、ftp、mail、ping、ls 等コマンドに関連する文字列が含まれたアクセスを検知します。 |
PHP対策 | session、ファイル操作に関連する関数のほか脆弱性元になる可能性の高い関数の含まれたアクセスを検知します。 |
内容が少々専門的なので難しく感じるかもしれませんが、要するにこれらを含んだアクセスは中で悪さをしそうな可能性があるので、遮断する対象になるということです。
基本的にはすべてONにしておいた方が安全ですが、WordPressの設定によっては思わぬところでエラーがでることがあります。
ですので、この機能をONにしたあとには入念に確認作業をおこなってくださいね!
WAF設定の場所
WAF設定はエックスサーバーの管理画面の「セキュリティ > WAF設定」から行うことができます。
(6)アクセス拒否設定
アクセス拒否というのは、指定したIPアドレスのアクセスを拒否するものです。
先ほど説明したようにネットワークに接続しているクライアント(PCやスマホのこと)には、すべてIPアドレスが振られているので、そのIPアドレスを指定すれば特定のアクセスを遮断することができます。
「xxさんは入店お断り」というような感じです。
ただし「入店拒否をされた山田さん」が、「坂本」という偽名を使ってアクセス(IPアドレスの偽装)してくることもあります。
そういったこともあるので完全とは言えないのですが、一定の効果はあります。
繰り返しアクセスしてくる怪しいIPアドレスがあれば、ここに追加しておきましょう。
IPアドレスの確認方法については、この次の「(7)アクセスログの確認」で説明します。
アクセス拒否設定の場所
アクセス拒否設定はエックスサーバーの管理画面の「ホームページ > アクセス拒否設定」から行うことができます。
(7)アクセスログの確認
アクセスログというのは、サイトの通信記録のことです。
これをみれば、何時何分にどのIPアドレスがどんな挙動をしたのかということが分かります。
ただしログ自体は加工されていない生データなので、意味を解析するには少々の時間とスキルが必要にはなります。
この記録をみて気になるアクセスがあれば、そのIPアドレスを(6)のアクセス拒否リストに追加しましょう。
アクセスログの確認場所
アクセスログの確認は、エックスサーバーの管理画面の「アクセス解析 > アクセスログ」から行うことができます。
(補足)IPアドレスの場所の調査
IPアドレスからおおよそのアクセス場所を調べるには、次のツールが便利です。
- KEIROMICHI | IPアドレスから住所検索
http://keiromichi.com/
このツールなどを使って調べてみて、海外から不審なアクセスが多い場合は、先ほどの「(2)国外IPアクセス制限」なども活用してみて下さいね。
WordPress側でできるセキュリティ対策5つ
続いてはWordPress側でできるセキュリティ対策について見ていきましょう。
WordPress側のセキュリティ対策はこの5つです。
- WordPressの最新バージョンの利用
- テーマやプラグインの最新バージョンの利用
- 推測・解析されやすいID・パスワードを使用しない
- 管理画面ログインに2段階認証を利用する
- コメントの管理or禁止
それぞれについて解説します。
(1)WordPressの最新バージョンの利用
PHPと同じ理由で、WordPressも最新バージョンの方が安全性が高いです。
アップデートをして、最新の状態を保つようにしましょう。
ただしWordPressのバージョンを上げると、不具合を起こすプラグインなどがまれにあるので、アップデート後はしっかりと動作確認をした方がいいです。
WordPressの更新場所
WordPressの更新は、WordPress管理画面の「ダッシュボード > 更新」から行えます。
(2)テーマやプラグインの最新バージョンを利用する
こちらもPHPやWordPressのバージョン管理と同じ理由です。
プラグインの中には、最終更新が数年前というものも少なくなくありません。
そういったものはなるべく使わずに、同じ機能をもった新しいプラグインがあるのであれば、そちらを使いましょう。
意外と盲点なのが「テーマ」です。
これも古いものを使っていると脆弱性を突かれる可能性があるので、できれば新しいものを使用したほうが安全です。
テーマ・プラグインの更新場所
テーマ・プラグインの更新はそれぞれ、WordPress管理画面の
「外観 > テーマ」
「ダッシュボード > 更新」
から行えます。
(3)推測・解析されやすいID・パスワードを使用しない
推測されやすいIDやパスワードは、使わないようにしましょう。
例えば「dog-cat」のような単純な単語の組わせは、前述の「ブルートフォースアタック」に対してめっぽう弱いです。
ブルートフォースアタックは、辞書の単語の組み合わせを機械的に数万通り作るからです。
できるだけ複雑で意味のない文字列であるほうがセキュリティ的には好ましいです。
ただし自分自身が覚えづらいものにするとユーザービリティが下がってしまうので、その点はうまく調整することが大切ですね…!
(4)管理画面ログインに2段階認証を利用する
ログイン関連で必ず対応しておきたい、最も効果の高いセキュリティ対策が「管理画面ログインの2段階認証」です。
最近では各種金融サービスやWebサービスにもこの2段階認証が導入されているので、ご存知の方も多いと思います。
従来のID・パスワードに加えて、手元のスマートフォンなどに通知・表示されるワンタイムパスワードを入力しないとログインができないというものです。
もし仮にID・パスワードが突破されてしまったとしても、このワンタイムパスワードを見られない限り、第三者はログインすることができません。
ID・パスワードに加えて、ログインするために必要な鍵を自分だけが1つ持っている、というような状態ですね。
管理画面ログインの2段階認証の設定の仕方
2段階認証には次の2つの設定が必要になります。
- WordPressプラグイン「Google Authenticator」
- Googleの「認証アプリ」(スマートフォンアプリ)
Google Authenticatorの設定方法
WordPress管理画面の「プラグイン > 新規追加」をクリックして、検索バーに「Google Authenticator」と入力します。
表示される一覧の中から「Google Authenticator」を探し、「今すぐインストール」をクリックして、その後「有効化」をクリックします。
(最終更新日が少々古いですが、このプラグインが利用しやすく不具合もないので、このままでいきます)
WordPress管理画面の「ユーザー > あなたのプロフィール」を開くと、ページ中ほどに「Google Authenticator Settings」が追加されているので、設定をします。
- 「Active」にチェックを入れます。
- 「Description」は認証アプリの方で表示される判別用テキストですが、あとでアプリ側でも編集できるのでとりあえず判別がつくものを入れておけばOKです。
- 「Secret」は認証アプリと連携をするのに必要になるものです。
QRコードを利用すると楽なので、連携時に「Show/Hide QR code」をおしてQRコードを表示させましょう。
以上を入力したら、画面下の「プロフィールの更新」をクリックします。
Googleの認証アプリの設定方法
「Google Authenticator」のアプリをスマホにインストールします。
アプリを起動して、右上の「+」をタップ、「バーコードをスキャン」を選択します。
先ほどのWordPress管理画面のSecretのQRコードを表示して、スキャンします。
スキャンが成功すると、WordPressサイトが追加されます。
二段階認証のログイン方法
ここまで設定をして、WordPressのログイン画面にいくと、ID・パスワードの下に「Google Authenticator Code」の欄が追加されていますので、スマホのアプリに表示される数字を入力すればOKです。
認証コードが入手できなくなった場合の対処法
もしスマホをなくしてしまったり、壊してしまうと認証コードが取得できなくなってしまうので気をつけて下さい。
意外と盲点なのが「スマホの機種変更」です。
機種変更時には必ず認証アプリの引き継ぎ設定をしておく必要があります。
ただ、紛失や機種変更で認証コードが取得できなくなってしまった場合でも、サーバーにFTPで直接アクセスをして、「Google Authenticator」のプラグイン自体を削除してしまえば、2段階認証の設定が消えます。
もしものときは、その方法で設定を解除してください。
プラグインの場所はここです。
/独自ドメイン/public_html/wp-content/plugins/google-authenticator
「google-authenticator」のフォルダをごっそり削除すればOKです。
(5)コメントの管理or禁止
先ほどはサーバーの方でコメントの制限をする方法をお伝えしましたが、WordPress側でもコメントの管理をすることができます。
方法としてはこの3つです。
- プラグインでコメントスパムに対応する
- コメントを承認性にする
- コメントをできなくする
下に行くにつれてより強い対策方法になります。
プラグインでコメントスパムに対応する
まずは、プラグインを使ってスパムコメントを制限しておきましょう。
コメントスパム対策でもっとも有名なのが「Akismet」というプラグインです。
このプラグインはWordPressにデフォルトでインストールされているので、ONにして設定をしておきましょう。
コメントを承認性にする
これは管理者が承認するまで投稿されたコメントを表示しないというものです。
この設定をONにしておけば、スパムコメントを画面に表示させないようにできます。
設定は、WordPressの管理画面の「設定 > ディスカッション」から「コメントの手動承認を必須にする」にチェックを入れればOKです。
コメントをできなくする
読者との交流があまり必要ないというブログの場合であれば、思い切ってコメントをできなくするというのも手です。
実際に、このブログではコメント欄を使用していません。
コメントをできなくするには、WordPressの管理画面の「設定 > ディスカッション」から「新しい投稿へのコメントを許可する」のチェックを外せばOKです。
ただし、この機能はあくまでも「新しい投稿」に対して有効なので、過去のものには適用されません。
もしコメントが必要ないと思ったら、できるだけ早い段階でこの設定をOFFにしておきましょう。
もしすでにたくさんのページがある場合は、「コメント部分のコードの削除」をすれば、そもそもコメント欄を無くすことができます。
ただしこの場合はPHPを編集する必要があります。
コメント欄の場所については、それぞれのWordPressのテーマや設定によって変わってくるので一概には言えないのですが、基本的には
/独自ドメイン/public_html/wp-content/themes/
の中にあるテーマの「single.php」というファイルの中に記述があります。
その部分を削除すればOKです。
以上が、レンタルーサーバー側・WordPress側でできるセキュリティ対策についてです。
最後に、その他にできるセキュリティ対策についても紹介します。
その他のセキュリティ対策2つ
レンタルサーバー側・WordPress側以外でもやっておいたほうがいいセキュリティ対策が2つあります。
- サーチコンソールへの登録
- 無料のWordPressセキュリティ診断
(1)サーチコンソールへの登録
まず一つ目が、Google Search Console(サーチコンソール)への登録です。
- Google Search Console
https://search.google.com/search-console/about
このサーチコンソールは、本来はサイトの検索パフォーマンスの確認・改善を行うためのツールです。
ですが、このサーチコンソールの中に「セキュリティの問題」を通知してくれる機能があります。
これを使えば、サイトが不正利用されたり改ざんされたりした場合に、通知がくるようになります。
サーチコンソールはWordPressでブログやサイトを運営するときには必須のツールともいえますので、必ず登録しておきましょう。
(2)無料のWordPressセキュリティ診断
2つ目は、無料でできるWordPressのセキュリティ診断です。
いくつか診断サイトはありますが、おすすめなのはこの2つです。
- WPScans.com
https://wpscans.com/ - WordPress(ワードプレス)脆弱性診断 セキュリティースキャナ
https://wp-doctor.jp/blog/wordpressワードプレスセキュリティースキャナー/
診断したいサイトのURLを入力してスキャンをすると、サイトの問題点が表示されます。
アラートの全てに対応する必要はありませんが、どのような状態になっているのかを把握する意味でも、実行しておくといいと思います。
もし対処できそうなものがあれば、すぐに対応しましょう!
もし何かあった場合は、バックアップを利用して復元しよう
以上のようなセキュリティ対策をしておけば、ひとまずはだいぶ安心と言えると思います。
ですが、防犯対策に100%は無いように、セキュリティ対策も「これをやったから100%安全」と言い切れるものはありません。
新手の方法でセキュリティを突破されてしまうこともあるかもしれません。
そんな万が一のときは、バックアップデータを利用してサイトを復旧させましょう。
エックスサーバーであれば「自動バックアップ」機能が最初から無料で標準装備されているので、これを使えばデータを取り戻すことができます。
私がエックスサーバーをおすすめするのは、この「自動バックアップ」機能があるから、というのが理由の1つです。
実際のバックアップデータの準備の仕方や復元方法についてはこちらの記事を参考にしてみて下さいね。
-
エックスサーバーのバックアップ方法を解説!自動と手動の違いなど
エックスサーバーのバックアップ方法はとても分かりやすくて簡単です。 初心者でも安心の「自動バックアップ」機能と、ワンクリックで簡単にできる「手動バックアップ」機能の2つが用意されているので、目的によっ ...
-
エックスサーバーでバックアップから復元する方法!移行にも使える
「エックスサーバーでWordPressをバックアップデータから復元したい。 でもどうすればいいんだ?やり方がわからない…。」 今回はそんな疑問にお答えします。 エックスサーバーのデータバックアップ体制 ...
WordPressとレンタルサーバーのセキュリティ対策まとめ
WordPressとレンタルサーバーのセキュリティ対策についてお伝えしました。
最後に今回の内容のまとめです。
- WordPressを利用する時に考えられるセキュリティリスクは大きくこの2つです。
(1)不正アクセス
(2)不正利用 - これらを防ぐために、悪意のあるユーザー対して
・入らせない(=不正アクセス対策)
・使わせない(=不正利用対策)
というセキュリティ対策をとることが重要です。 - レンタルサーバー側で行うセキュリティ対策はこの7つです。
(1)PHPの最新バージョン使用
(2)国外IPアクセス制限設定
(3)ログイン試行回数制限設定
(4)コメント・トラックバック制限設定
(5)WAF設定
(6)アクセス拒否設定
(7)アクセスログの収集・確認 - WordPress側ので行うセキュリティ対策はこの5つです。
(1)WordPressの最新バージョンの利用
(2)テーマやプラグインの最新バージョンの利用
(3)推測・解析されやすいID・パスワードを使用しない
(4)管理画面ログインに2段階認証を利用する
(5)コメントの管理or禁止 - その他で行うセキュリティ対策はこの2つです。
(1)サーチコンソールへの登録
(2)無料のWordPressセキュリティ診断 - それでももし何かあった場合は、バックアップで復元を試みましょう。
先ほども言いましたが、セキュリティ対策は防犯対策と一緒で、これをやったから100%安心というものはありません。
ですが、できるだけ2重3重の対策をして、WordPressの安全性を保つようにしましょう。
レンタルサーバーの中で安全で信頼がおけるのが、エックスサーバーです。
強固なセキュリティ対策を取れますし、万が一の場合はバックアップデータを使って復旧ができるからです。
さらに詳しい情報などは公式サイトも参考にしてみてくださいね!
エックスサーバーをおすすめする理由や、評判や口コミについてさらに詳しくはこちらも参考にしてみてください。
-
【エックスサーバーの評判がいい理由・7つ】利用者の私が詳細を解説
「エックスサーバーの評判がいいって聞いたことあるけど、ホントかな…?」 「値段や速度、セキュリティってどうなの?」 とお考えではありませんか? ウェブ上でコンテンツを発信するときの土台となるのがレンタ ...