WordPressは世界で最も利用されているCMSですが、その分、攻撃対象にもなりやすいのが現実です。フリーランス主夫のWebサイト制作所では、「使いやすくて安全な管理環境」をテーマに、独自のセキュリティ対策を導入しています。この記事では、実際に当制作所が行っているWordPressのセキュリティ構成と、その設定方法をわかりやすく紹介します。
なぜWordPressサイトにセキュリティ対策が必要なのか
- 世界的に人気だからこそ狙われやすい
- 「wp-admin」などは誰でもアクセスできる構造
- 攻撃の多くは「ログインページ狙い」
- 制作後の運用フェーズでこそ守る仕組みが必要
WordPressは世界中で利用されており、攻撃の標的になりやすい環境です。
まずは、セキュリティ対策が欠かせない理由を見ていきましょう。
当制作所が実践するWordPressセキュリティの3本柱
ここでは、当制作所が全WordPressサイトに導入している3つの対策を紹介します。
Google Authenticatorによる二段階認証ログイン
- 通常のID・パスワードに加え、スマートフォンアプリで発行される6桁のコードでログイン
- 不正ログインをほぼ完全に防止
- Google Authenticatorは無料で利用可能
IDとパスワードに加えて、スマートフォンアプリ「Google Authenticator」で発行される6桁の認証コードを入力することで、より強固なログインセキュリティを実現します。
二段階認証は管理画面からワンクリックで簡単に有効化でき、すぐに利用を開始できます。
https://ドメイン/wp-admin/のアクセスをトップページへリダイレクト
攻撃者が狙う「wp-admin」へのアクセスを無効化。
特定の安全なURLからのみログインできるように設定しています。
権限ごとに用意したカスタム管理画面(3種類)
管理者・編集者・投稿者それぞれに専用の管理画面を用意し、不要なメニューを非表示にして操作ミスや混乱を防ぎます。
さらに、3種類のカスタム管理ページは、初期設定ページから自由にURLを設定可能。
ページ名(○○○)は任意の文字列で変更できるため、推測されにくく、セキュリティ面でも安心な管理環境を構築できます。
例:https://ドメイン/wp-admin/admin.php?page=○○○)
セキュリティー対策設定の流れ
複雑な設定は不要。管理画面から簡単に設定・導入できます。
Google Authenticator二段階認証の設定
STEP 1 管理画面から 2段階認証を有効化
カスタム管理画面「管理者権限」にログインしてください。
- 運営情報・メンバー
- 登録ユーザー 一覧
- 有効化を設定するユーザーを選択
- ユーザー編集画面の下の方にある「2FAを有効化」を選択
- 有効化すると秘密鍵(手動登録用)が表示されるのでコピー
- バックアップコードを作成しコーピーしておくと安心
- 「ユーザーを更新」で管理画面からの設定は完了
バックアップコードを保存しておく
2段階認証を無効にする場合はユーザー編集ページで「2FAを無効化」を選択してください。二段階認証を有効化すると、バックアップコード(またはリカバリーコード)が発行されます。これは、スマートフォンを紛失したり、Google Authenticatorアプリを再インストールした場合に、ログインできなくなるのを防ぐための非常用コードです。
バックアップコードは一度きりしか表示されないため、オフラインのメモ帳やパスワード管理アプリに保存するのをおすすめしています。
2段階認証を無効にする場合はユーザー編集ページで「2FAを無効化」を選択してください。
STEP 2 スマートフォン Google Authenticatorをインストール
まず、お使いのスマートフォンで「Google Authenticator」アプリをインストールします。
iPhoneならApp Store、AndroidならGoogle Playで「Google Authenticator」と検索して無料でダウンロードできます。
STEP 3 アプリから 秘密鍵をGoogle Authenticatorに入力
インストールしたGoogle Authenticatorアプリを開きます。
- 右下の「+」ボタン
- 「セットアップキーを入力」を選択
- 「アカウント名」を入力 (例:ちよはーと運営責任者)
- 「鍵」のフォームに管理画面でコーピーした秘密鍵(手動登録用)を張り付ける
※STEP1-5 アルファベットと数字のコード - 「時間ベース」のままでOK
- 「追加」で設定が完了
秘密鍵(手動登録用)を登録してアプリを開くと、6文字のタイムパスワードが表示されるとおもいます。
STEP 4 2段階認証 2段階認証でログイン
有効化したユーザーの権限URLでログインページへアクセスします。
「2FAを有効化」したユーザーの場合、ID・パスワード入力フォームの他に2段階認証コード(6桁)のフォームが追加されます。
ユーザー名とパスワードを入力してスマートフォンのGoogle Authenticatorアプリに表示されている6桁のタイムコードを2段階認証コードフォームに入力してください。
二段階認証を有効化する事で、パスワードが流出しても第三者はログインできません。
権限ごとに用意したカスタム管理画面(3種類)のURL設定方法
STEP 1 管理画面から 初期設定ページで編集
カスタム管理画面「管理者権限」にログインしてください。
- ログインしたら「初期設定」を選択
- 「カスタム管理画面のURL設定」まで移動
- 管理者権限のカスタム管理画面のURLフォームに入力
- 編集者権限のカスタム管理画面のURLフォームに入力
- 投稿者権限のカスタム管理画面のURLフォームに入力
- 「更新」で設定は完了
更新は必須!
すべての設定や編集が完了したら、「更新ボタン」を押して変更を保存しましょう。
この操作を行わないと、設定内容は反映されませんのでご注意ください。
スマートで安心な安心環境をすべてのWordPressサイトに
フリーランス主夫のWebサイト制作所が提案するWordPressサイトおよびWordPressテーマには、二段階認証機能が標準搭載されています。
Google Authenticatorを利用することで、スマートフォンさえあれば不正ログインをほぼ完全に防止できます。
Webサイト制作所の仕組みは、管理画面から簡単に有効化できる設計となっており、専門的な知識がなくてもすぐに導入が可能です。
安全性と使いやすさを両立した、安心のWordPress環境をお届けしています。
まずはお気軽にご相談ください
フリーランス主夫のWebサイト制作所では、フルオーダーのWebサイト制作だけでなく、すでに運用中のWordPressサイトや、WordPressテーマ購入者の方にも
使いやすい管理画面
機能追加
などのご依頼を受け付けています。
ご相談・お見積りは無料です。
以下のボタンからご相談・ご依頼ページからお問い合わせください。
関連記事 Webサイト運用のコツ
WordPressサイトを長く安心して運用するためのヒントをまとめています。
セキュリティ対策から管理画面のカスタマイズ、更新作業のポイントまで、制作所の実例をもとにわかりやすく解説しています。
文責:CHIYO HEART 代表 坂本 渉