コロナ禍の影響で急増したテレワークですが、Webサイトを運営している企業・組織では従業員が自宅などからWordPressにアクセスすることになるでしょう。

そのときに意識しないといけないのがセキュリティです。WordPressは世界で最も使われているメジャーなCMSですが、そのぶんWordPress製のWebサイトを狙うハッカーや詐欺師も多いです。

そのためリモートワークでWordPressを使用しても大丈夫なように対策をしておく必要があります。そこで今回は、テレワークでも耐えうるセキュリティについて紹介・解説していきます。

セキュリティ対策の取り方は2つ

テレワークでWordPressを使う上で取れるセキュリティ対策は大きく分けて2種類あります。

  • WordPress管理者が行うセキュリティ
  • WordPressを利用するユーザー(従業員)が行うセキュリティ

それぞれ利点やできることが異なるため、別々で解説していきます。

WordPress管理者が取れる対策

まずはWordPress管理者が取れる対策を見ていきましょう。

テレワークでのWordPressセキュリティにおいて最も重要であるため、セキュリティ対策をWordPressユーザー任せにせず管理者自身で対策を行ってください。

適切な権限を付与する

WordPressはユーザーごとに権限を割り振ることができます。権限によってできることが異なり、WordPressのあらゆる所にアクセスできる管理者権限や、記事の執筆しかできない寄稿者・投稿者など5段階の権限に分かれています。

権限 概要
管理者 最も強い権限。WordPressに関するあらゆる操作が可能
編集者 テーマカスタマイズやプラグイン管理はできないが、コメントを含むあらゆるコンテンツ管理が可能
投稿者 あらゆる記事の管理が可能
寄稿者 記事の執筆ができる。公開することができない
購読者 閲覧のみ。会員制サイトなどで使われる権限

業務がやりやすいように全員に管理者権限を付与している場合もあるかもしれませんが、それは絶対にやめましょう。

テレワークの場合は質問をするにもチャットなどでラグが発生してすぐに聞くことができないため、触れてほしくないところには初めからアクセスできないように権限を調整しておくことをお勧めします。

また、万が一ソーシャルエンジニアリングなのでユーザー ID やパスワードが流出したとしても、流出したユーザーの権限が投稿者や寄稿者だと乗っ取り被害を最小限に抑えることができます。記事が改ざんされたとしても日々バックアップを作成していたら問題ないでしょう。

ユーザー権限の変更方法

WordPressユーザーの権限の変更はダッシュボード左メニューの[ユーザー一覧]から行えます。

ユーザー一覧にアクセスしたら権限を変更したユーザーを選択します。

設定画面中央辺りにある「権限グループ」が現在ユーザーに割り当てられている権限です。

こちらを編集して保存することでユーザー権限を切り替えることができます。ユーザ権限を切り替えられるのは管理者のみであり、他の方が勝手に権限を変更することはできません。

ちなみにユーザーが1人しかいない場合、変更すると管理者がいなくなってWordPressの管理ができなくなるのでできません。必ずユーザーが2人以上あるときに行いましょう。

ログを監視する

テレワークする場合はログの監視も重要視しましょう。

テレワークの場合はログイン情報の盗み見による情報漏えい・不正アクセスのリスクが高まるので、不審なアクセスにすぐ気付けるようログを監視できるようにしておいてください。

サーバーサイドでログを監視できるシステムを構築するのもいいですが、ログを監視するのに最適なプラグイン「WP Activity Log」というプラグインもあります。

WP Activity Logを使うことであらゆる操作ログを残すことができ、不正な操作の検出に役立ちます。

  • 投稿のあらゆる編集
  • 投稿設定の変更
  • あらゆるユーザー設定の変更
  • ログイン、ログアウト、ログイン失敗、他のセッションの終了などのユーザーアクティビティ
  • WordPressコアや全体設定の変更

このような操作をログとして残すことができます。

とにかくあらゆる操作がログとして残されるので、従業員による不正行為も見つけ出すことができます。深夜帯にこっそりアクセスしてきたとしても検出可能です。

ログはこのように詳細に記録され、例えば記事の作成ならIDや投稿ステータス・タイトルなどあらゆる情報が記録されています。

もしWP Activity Logを導入して操作ログを監視できるようにしたいのであればWordPressのお医者さんがサポート致します。監視体制を整えたい場合はお声掛けください。

お問い合わせ

Basic認証を導入する

reCaptchaよりも有効なのがBasic認証です。ダッシュボードへのアクセスにBasic認証を必要とさせることで、WordPressユーザーログイン情報に加えて関係者しか知らないはずのIDとパスワードを使った二要素認証を実装できます。

単純のパスワードだとすぐに解読されてしまの意味がありませんが、多少複雑にしたBasic認証であれば強いセキュリティ対策になるためおすすめです。ブルートフォースアタックの対策にもなるのでできればBasic認証を導入しておくようにしましょう。

Basic認証の導入方法はたくさんありますが、基本的にはサーバーサイドの知識が必要になります。お困りでしたら当サイト「WordPressのお医者さん」が代行してセキュリティの高いBasic認証を実装しますので、ぜひお問い合わせください。

VPNを導入する

自社VPNを導入し、テレワークするときは必ずそのVPNに接続させることで、WordPressのセキュリティを高める方法があります。

どうやってセキュリティを高めるのかと言うと、自社で用意したVPNのIPアドレスをWordPressにアクセスできるホワイトリストに追加し、そのIPアドレス以外からのアクセスはすべてブロックするという方法です。

この方法を使えばたとえWordPressログイン情報がすべて流出したとしても、専用のVPNに接続されていなければIPアドレスによって弾くことができるので不正アクセスされる心配がありません

今回紹介した方法の中で最もコストが高いものの、最もセキュリティを高められる方法でもあります。

IPアドレス制限目的なので注意

VPNの導入はWordPressダッシュボードにアクセスできる IP アドレスを制限するのが目的です。ですのでAvastセキュアラインVPNやカスペルスキーセキュアコネクションなどの「インターネットを安全に使うことを目的としたVPN」ではメリットが薄いので注意してください。

あくまで自前でVPNを用意し、そのVPNのIPアドレスのみWordPressへのアクセスを許可するようにすることでセキュリティが高まる仕組みです。この点はかなり重要なので勘違いしないようにしてください。

ダッシュボードにアクセスできる時間帯を制限する

業務でWordPressを使用する場合、24時間いつでもアクセスできるようにする必要はありません。ほとんどの場合において日中しかアクセスしないでしょう。

24時間いつでもアクセスできるようにする目的がない場合はプラグインなどを使ってダッシュボードにアクセスできる時間帯を制限してあげましょう。アクセスできないようにした時間帯にダッシュボードにアクセスしてきた場合、ログイン情報が正しかったとしてもアクセスを弾くことができます。

やり方自体は難しくありませんが、適切に設定しないと設定直後にアクセスできなくなって業務できなくなる事態を引き起こします。

ですのでダッシュボードなくて時間帯を制限したい場合はWordPressのお医者さんまでご相談ください。

お問い合わせ

WordPress利用ユーザーが取れる対策

従業員などWordPress利用ユーザーが気をつけるべきポイントもあります。自身の行動が原因で上漏えい等の損害を発生させないように、WordPressユーザーが心がけるべきことも見ていきましょう。

出先の無料Wi-Fiを使わない

飲食店や公共施設などの無料W-Fiは可能な限り使わないようにしてください。無料Wi-Fiはパスワードがかかっていないものが多いですが、パスワードがかかっていないWi-Fiは通信が暗号化されません。そのため何の対策もせず無料Wi-Fiを使ってしまった場合、通信情報が盗聴されて情報漏洩に繋がる可能性があります。

気分転換目的で喫茶店や飲食店でパソコンを開きたくなる時があるかもしれませんが、そういう時にインターネットに接続したい場合は、自前で用意したモバイルWi-Fiを使うかスマホ回線(4G/5G)のテザリングを活用するようにしてください。

そうすることで出先でも安全にインターネットを利用することができます。

離席時は必ずロックする

自宅以外でパソコンを開いてテレワークする場合はソーシャルエンジニアリングのリスクがあります。ですのでパソコン前から離席する際は必ずロックするようにしてください。

画面を閉じただけでロックがかかる場合もありますが、パソコンの設定によっては画面を閉じただけではディスプレイの電源が切られるだけで、開き直したらすぐに復帰する場合もあります。

すぐに復帰する設定だった場合、勝手にパソコンを開かれるとパソコンのデータを覗き見られてしまうので注意しましょう。

また、自宅であっても他に誰かいるときは覗き見られてしまう可能性があるので、そういうときもロックを掛けるようにしてください。自宅などにいてたまたま覗き見られた場合、悪意がない事が多いことからポロッと外部に情報を漏らされてしまう可能性があります。

その場合は情報漏えいとなって会社に責任を問われてしまうことになるので、無用なトラブルを引き起こさないよう面倒であっても離席時はパソコンをロックして勝手に見られないようにしてください。

行う作業をSlackやChatworkで共有する

テレワーク時のコミュニケーションはSlackやChatworkなどのチャットツールを使うことがほとんどです。業務中は常にZoomに接続しておくという場合も少なくはありませんが、WordPressで何かをするときは必ず社内で共有しておきましょう。

そうすることで「やった」「やってない」などの問題で業務が中断されることもなくなる他、他の従業員が「誰が何をやっているのか」把握できるので、テレワーク等とのコミュニケーションは重要です。

テレワークする場合はセキュリティ対策はセット

従業員がコロナに感染することを防ぐためにテレワークにしている企業も多いですが、テレワークする場合は従業員とのやり取りにほぼ全てインターネットを使うことになるので、セキュリティ対策は絶対に必要と思っておいてください。

これはWordPressに限った話ではなく、取れるセキュリティ対策はすべて取るようにしましょう。ただしセキュリティを意識しすぎて業務効率が大幅に低下しては元も子もありませんので、業務効率とセキュリティのバランスを取りつつ対策するようにしてください。

社内にITリテラシーが高い従業員がおらず、どうバランスを取れば良いのかわからないという場合、当サイト「WordPressのお医者さん」がサポートいたしますので、気軽にご相談ください。WordPress専門の当サイトが対応いたします。