こんにちは。ウェブデザイナーの深沢幸治郎(@kojirofukazawa)です。
前回の記事では、WordPressのクイックインストールとはじめての投稿作成について解説しました。
レンタルサーバで快速スタート! WordPressサイト立ち上げの全手順
このさくマガでのWordPress初心者向けの連載もいよいよ最終回。今回は安全・快適にWordPressブログを運営していくためのセキュリティ対策を中心に、快適な運営をサポートしてくれる設定・プラグインについて解説していきます。
プラグインを使ってWordPressの機能を追加しよう
具体的な説明に入る前に、プラグインの概要について解説しておきましょう。プラグインはWordPressに様々な機能を追加してくれるプログラムのことで、管理画面から簡単に追加し、その機能を手軽にオン・オフすることができるようになっています。
WordPressコミュニティの審査を経て WordPress.org に公開されているプラグインは、すべて管理画面から直接インストールすることができるようになっています。
プラグインはWordPress.org以外の場所で配布されているものもありますが、基本的には避けたほうがいいでしょう。使うならば、信頼できる開発元のものを選んでください。 |
管理画面からプラグインをインストール・有効化しよう
ではひとつプラグインをインストールしてみましょう。
まず管理メニュー(管理画面左のメインメニュー)の[プラグイン]を押してプラグイン一覧画面に移動し、つづいて画面上部の[新規追加]を押して[プラグインを追加]画面に移動します。

画面右の[プラグインを検索]フォームから「site kit」と打ち込みます。しばらく待つと検索結果が表示されますので、その中から「Site Kit by Google – Analytics, Search Console, AdSense, Speed」を探し(おそらく一番上に出てきます)[今すぐインストール]ボタンを押します。

しばらく待つとプラグインのインストールが完了し[今すぐインストール]ボタンが[有効化]ボタンに変化します。これを押して、そのまま有効化してください。

プラグイン一覧画面に移動します。画面上には「おめでとうございます。Site Kit プラグインが有効になりました。」との表示が現れ、管理メニューに[Site Kit]のメニューが増えていることが確認できます。これでプラグイン「Site Kit」のインストールと有効化は完了です。

セキュリティプラグイン「All In One WP Security」を有効化しよう
さくらのレンタルサーバのクイックインストールでWordPressをインストールした場合、すでにいくつかのプラグインがプリインストールされていることが確認できます。その中から「All In One WP Security」を有効化します(他のレンタルサーバをお使いの方は、上記と同様の手順で「All In One WP Security」をインストールしてください)。
プラグイン一覧の中から「All In One WP Security」を見つけ[有効化]を押すだけで、プラグインの有効化は完了です。

プラグインを選ぶときの注意点
WordPress.orgで配布されているプラグインであっても、場合によっては思わぬ不具合を起こしてしまったり、正常に動作しないものはあります。以下にプラグインを選ぶときの注意点を記しておきます。
プラグインの詳細情報を参照する
プラグイン一覧画面や、これからインストールするプラグインの検索結果画面には[詳細情報]または[詳細を表示]というリンクがあります。ここからプラグインの詳しい説明や、信頼性に関する情報を参照することができます。
プラグイン詳細画面の右カラムに注目してみましょう。ここにプラグインの信頼性に関する各種の情報がまとまっています。
最終更新時期の確認
そのプラグインがいつに最新版に更新されたものかをまず確認しましょう。1年以上更新されていないものは、すでに開発が止まっている可能性があります。新しいWordPressのバージョンに対応していなかったり、新しいPHPのバージョンで不具合を起こすなどのリスクが考えられるため、インストールには注意が必要です。あわせてその下にある[対応する最新バージョン]も確認しておくといいでしょう。

※[対応する最新バージョン]はそのバージョンのWordPressでの対応テストがされている、という意味であり、それより新しいWordPressバージョンであっても動作する可能性はあります。
有効インストール数と評価・レビューの確認
[有効インストール数]はそのプラグインがどれだけ多くのサイトで利用されているか、そして評価とレビューはそのプラグインの評判を示しています。多くのサイトで使われているプラグインはやはり信頼度が高いと言えますし、レビューの数や評価もまた重要です。必ずしも評価が低いプラグインが信頼できないわけではありませんが、レビューから低評価の理由を知っておくと参考になることと思います。

WordPressのセキュリティを強化しよう
第一回目の記事で説明したとおり、WordPressは攻撃の対象になりやすいCMSである一方、利用者がしっかりと基礎的な対策をすればほとんどの危険を回避できます。ここでは設定とプラグインから、WordPressのセキュリティを強化してみましょう。
WordPressのセキュリティリスクについて理解する
そもそもWordPressのセキュリティリスクとは具体的になんなのでしょうか。それは、あなたが想定していない誰かが、あなたのWordPressサイトに何らかの方法で侵入し、その内容を書き換えてしまうことです。改ざん内容によっては第三者に深刻な被害をもたらすこともありますので、そのリスクはけっして過小評価してはいけません。
では、どこから悪意を持った人は侵入してくるのでしょうか。これには2つのルートがあります。
ソフトウェアの脆弱性の悪用
ログイン等の認証の突破
それぞれどのように対策できるか、見てみましょう。
ソフトウェアの脆弱性に関する対策
WordPressに関わるソフトウェアには様々なものがあります。
- サーバにインストールされたPHPやMySQL
- WordPress本体とプラグインやテーマ
1に関しては信頼できるレンタルサーバを用いていれば、ほとんど問題ありません。あなたが気をつけるべきことは、レンタルサーバ会社からのセキュリティに関するお知らせがあった場合にしっかり対応することと、サポートが切れているような古いバージョンのPHPやMySQLを設定しないことです(WordPressが推奨するバージョンを用いていれば問題ありません)。
2に関しては、WordPress本体とプラグイン・テーマのアップデートをできる限りおこない、できる限り最新の状態に保つことが大切です。WordPressにはテーマとプラグインの自動アップデート機能がありますので、これを設定しましょう。
プラグインの自動アップデート設定
プラグインの自動アップデートはプラグイン一覧画面からおこなうことができます。今インストールされているプラグインに自動アップデートを一括設定してみましょう。
プラグイン一覧の一番上のチェックボックス(見出し行のもの)にチェックをつけると、すべてのプラグインに一括でチェックがつきます。つづいて一覧の上にある[一括操作]セレクトボックスから[自動更新を有効化]を選択、最後にその横の[適用]ボタンを押します。

すべてのプラグインの[自動更新]列が[自動更新を無効化]という表示になっていれば、プラグインの自動更新設定は完了です。
テーマの自動アップデート設定
テーマの自動更新設定は[外観]→[テーマ]で表示されるテーマ一覧からおこなえます。
利用しているテーマの[テーマの詳細]を押したら表示される詳細画面で[自動更新を有効化]を押して設定することができます。

WordPress本体の自動アップデート
こちらは第一回目の記事「トラブル対策の基本は本体・プラグイン・テーマのアップデートから」でご紹介したとおりです。WordPressのマイナーアップデートは自動的におこなわれますが、まれに自動アップデートに失敗するケースがありますので、その場合は手動でアップデートをかけるようにしてください。
またメジャーアップデートについても、折を見て実施するようにしてください。古いメジャーバージョンにもセキュリティアップデートはかかるようになっていますが、徐々にプラグインが対応しなくなるなど、放っておくと不都合が出てきます。
以上のように、脆弱性に対するセキュリティ対策の基本はWordPress本体・プラグイン・テーマのこまめなアップデートです。自動化しておくと忘れることがありませんので、より安全です。