「セキュリティ対策はいろいろあるけど、どれが良いの?」
WordPress本体とプラグインの更新を素早く行う
何よりも一番に大切なのは、WordPress本体の更新やプラグインの更新をできるだけ早く行うことです。特に今回のWordPress 4.7.2の更新のように、重大な問題がある場合などは素早い更新が必要です。管理者設定でメールアドレスを登録していれば、必要な更新はメールで自動的にお知らせがくるので、内容を確認して更新しましょう。大きなバージョンアップで、サイトに影響が及びそうな不安があるときには、ステージング環境にて確認してから、本番サイトの更新をすれば、問題が起こり難くなります。プラグインの更新で問題が起きた場合は、一時的にそのプラグインだけ停止する選択もあります。同じ問題は他のサイトでも起こりますので、短い期間で改善されたリリースが出るはずですので、それを待って問題が解決されてから再使用すれば良いでしょう。
SiteGuard WPプラグインを使う
SiteGuard WPプラグインはWordPressの管理画面など、一番狙われそうな部分のセキュリティ対策を一括して行ってくれるプラグインです。いくつかのレンタルサーバー会社でも推奨されていますし、国産なのも安心して使えるひとつの理由です。ログインページへのパス変更や、日本人には嬉しいひらがなの画像認証なども各種選択できます。
サイトをSSL対応にする
Chromeが「Chrome 68」のバージョンアップから「保護されていない通信」という警告が表示されるようになりました。今後もSSL化されたサイトを表示でも優先するということもアナウンスされています。WordPressで今までhttpで運用されていたサイトをhttpsに変更するには、Really Simple SSLというプラグインが便利です。常時使う必要はありますが、有効化するだけで一度で全ての設定や変換を行なってくれます。プロバイダーによっては、WordPress専用のSSL化プラグインが提供されているところもあります。確認してみてください。
IP制限を利用する
サイトの管理者が1~2名の場合には、管理画面へのアクセスをIP制限します。自分のIPは「アクセス情報【使用中のIPアドレス確認】」などで確認できますので、同様な方法でサイト管理者のIPアドレスを一覧にします。登録方法は.htaccessファイルに記載して自分でWebサーバーにアップロードする方法や、レンタルサーバー自体が管理画面から設定できる場合などがあります。
基本認証を設定する
サイトの管理者人数が多い場合や、スマホを使って更新も行う場合などは、IP制限では対応できません。そのような場合は基本認証を設定し、IDとパスワードで管理画面にアクセスするように設定します。最近のブラウザーは基本認証まで登録できるものも多いので、手間は最初のログイン時だけ、基本認証と管理画面の2回が必要になります。基本認証もレンタルサーバーの管理画面で設定できる場合や、.htaccessファイルに記載して自分でWebサーバーにアップロードする方法などがあります。
WAF(Web Application Firewall)を設定する
WAFはアプリケーションの脆弱性に対するセキュリティ対策を行うもので、レンタルサーバーでもオプションサービスとして提供する場合が増えています。この場合のアプリケーションはWordPress本体とプラグインを指します。ご使用のサーバーにこのオプションがある場合には、迷わず使用することをお勧めします。投稿時にまれに不具合がある場合もありますが、そのようなときは一時的に使用を止め、鍵をかけるようにまた使用を開始することで、サイトの安全性が高まります。
「WordPressの管理ツール」に対する国外IPアドレスからのアクセス制限をする
管理ツールに対するブルートフォースアタック(ID/パスワードを手当たり次第試してログインを試みる方法)による攻撃を回避するため、レンタルサーバーには、このような設定がある場合が増えています。設定が可能な場合は、こちらの使用もお勧めします。ただし国外に在住の場合や、国外CDNサービスを経由してのアクセスなどでは管理画面へアクセスができなくなるので、設定対象外です。
ステージングサーバーを作る
公開前のサイトを検証するため、ステージングサーバーを作ることはセキュリティ対策になります。公開サイトへの更新のためのアクセスは極力制限し、ステージングサーバーのみに更新用のアクセスを限定できれば、さらにサイトの安全性は高まります。ステージングサーバーはバックアップとしても機能させることもできますので、ある程度大きなサイトでは必須と思います。最近はステージングサーバーを構築することを前提としたレンタルサーバーもありますので、それらを選択すると構築や運用がとても楽にできます。
ここにあげた対策は一例で、まだまだセキュリティ対策の方法はたくさんあります。複数組み合わせて使うことで安全性はさらに高まりますので、できる限り組み合わせて使うようにしてみてください。
追記:上記の基本認証やプラグインを利用してもアタックを回避できない事例がありました。その場合にはHide My WP Ghost – Security Pluginをインストールして有効化することで回避できました。またWPSecサイトでサイト自体を確認してみると良いでしょう。この情報が載っている下記の書籍は一読をオススメします。
またWPScanのプラグインを利用して脆弱性のレポートを出してみるのもオススメです。PDFでダウンロードできるので、証明書的な役割にも利用できます。