Contents
ある朝、目が覚めて自分のスタジオ(サイト)に行くと、すべての機材がめちゃくちゃに壊され、制作中の大切な音源データがすべて消去されていたら…。
あるいは、未発表のデモ音源や、クライアントとやり取りしている極秘ファイルがネット上にばら撒かれてしまったら…。
こんにちは、朝比奈幸太郎のサイトへようこそ、音へのこだわりと同様に、「サイトの守り」にこだわっていますか?
筆者はネットリテラシーは決して低くない方だと思い込んでいましたが、そういう思い込みが隙を作ると言ってもいいかもしれません。
自分は大丈夫、私に限って・・・
生成AIが盛んになり、みな夢中になっている時代、私たちは創作においてもAIを優れた助手としてお世話になっていますが、それはダークサイド、、、つまりハッカー側にとっても同じこと。
より一層セキュリティーレベルは強化し、意識を高めていく必要があります。
特にWordPressは世界で最も使われているシステムであると同時に、世界で最も攻撃を受けているシステムでもあります。
「自分のような個人の音楽サイトなんて狙われない」というのは大きな間違いです。
攻撃者の多くは無差別のロボット(ボット)であり、手当たり次第にドアノブを回してきます。
対策をしていないサイトは、「鍵のかかっていないスタジオ」と同じ。いつ誰が土足で入り込み、機材(データ)を盗んでもおかしくありません。
しかし、安心してください。
適切な「防音工事」をするように、段階を踏んでセキュリティ対策を行えば、あなたのサイトは鉄壁の城塞へと変わります。
今すぐできる初級編から、プログラマー視点のエキスパート編まで、WordPressセキュリティのロードマップを公開します。
この記事をきっかけに少しでもセキュリティー対策を強化する、意識を高めることに繋がれば幸いです。
Lv.1 初級:スタジオの鍵を閉める(基本の徹底)
まずは基本中の基本です。
これらができていないのは、玄関のドアを開けっ放しにしているのと同じ状態です。
- 「admin」というユーザー名を削除する
攻撃者はまずID「admin」で侵入を試みます。
別のIDを新規作成し、adminは削除しましょう。 - パスワードを「意味のない文字列」にする
「bandname123」などは論外です。
乱数生成ツールを使い、12桁以上の複雑な文字列にしてください。 - WordPress本体・プラグインを常に最新にする
古いプラグインは「錆びた鍵」です。更新通知が来たら、機材のファームウェア更新と同じく即座に対応しましょう。 - 不要なプラグインは「無効化」ではなく「削除」
使っていないケーブルを抜き取るように、不要なリスクはサーバーから完全に消去してください。
Lv.2 中級:警備員と監視カメラを配置(プラグイン導入)
ここからはツールを使います。
日本の環境に特化したセキュリティプラグイン「SiteGuard WP Plugin」などを導入し、防御力を飛躍的に高めます。
- ログインURLの変更
デフォルトの「wp-admin」は攻撃の標的です。
URLを変更し、裏口を隠してしまいましょう。
実際個人のサイトでこれを設定していない人は驚くほど多いです。
これを設定しないと、筆者レベルのITスキルでも突破できてしまいます。 - 画像認証(CAPTCHA)の導入
ログイン画面にひらがな認証などを追加し、海外からのボット攻撃を物理的に遮断します。 - 2段階認証(2FA)の実装
Google Authenticatorなどを連携させます。
これでパスワードが漏れても、あなたのスマホがなければログインできません。
これは他のサイトでも言えることであり、セキュリティー強化のためには必須の作業。 - バックアップの自動化
「UpdraftPlus」などでGoogleドライブへ定期バックアップを設定。万が一壊されても、昨日の状態にすぐ戻せる「保険」こそが最強の防御です。
Lv.3 上級:スタジオの外壁を強化(サーバーWAF設定)
サイトの内部だけでなく、サーバーレベルでの防御壁を設置します。
SQLインジェクションなど、高度な攻撃を防ぎます。
- レンタルサーバーのWAFをONにする
XserverやConoHaなどの管理画面には、無料の「WAF(ウェブアプリケーションファイアウォール)」機能があります。
これをONにするだけで、不正な通信の大半をサーバー手前でブロックできます。 - ブログ上の表示名を変更
ユーザー設定で「ブログ上の表示名」をログインIDとは別のものに変更し、ID漏洩を防ぎます。
Lv.4 エキスパート:プログラマー領域の要塞化
ここからは、.htaccessやwp-config.phpを直接編集するプログラマー領域です。
WAFをすり抜けてくる執拗な攻撃や、内部ファイルの改ざんを防ぐための「最後の砦」を築きます。
1. 重要なファイルの編集禁止
侵入されたとしても、管理画面からテーマやプラグインのファイルを書き換えられないように、wp-config.phpに以下の定数を記述し、ファイル編集機能をロックします。
define( 'DISALLOW_FILE_EDIT', true );
2. ディレクトリトラバーサルと重要ファイルへのアクセス拒否
.htaccessに追記し、サーバーの設定ファイルやwp-config.phpへのアクセスを強制的に遮断します。
<FilesMatch "^(wp-config\.php|xmlrpc\.php|composer\.json|\.env|\.htaccess)">
Require all denied
</FilesMatch>
3. アップロードディレクトリでのPHP実行禁止
画像フォルダ(/wp-content/uploads/)にウイルス(PHPファイル)を紛れ込ませる攻撃を防ぐため、uploadsフォルダ内に以下の内容の.htaccessを設置します。
<Files *.php>
Deny from all
</Files>
4. セキュリティヘッダーの付与
ブラウザに対してセキュリティポリシーを強制します。XSS(クロスサイトスクリプティング)などを防ぐため、.htaccessまたはfunctions.phpでヘッダーを出力します。
# .htaccessへの記述例(X-Frame-Optionsなど)
<IfModule mod_headers.c>
Header set X-Frame-Options "SAMEORIGIN"
Header set X-XSS-Protection "1; mode=block"
Header set X-Content-Type-Options "nosniff"
</IfModule>
🛡️ 最後に:セキュリティは「ミックス」と同じ
音楽制作において、どれか一つの機材だけが良くても最高の音にならないように、セキュリティも「パスワード」「プラグイン」「サーバー設定」「バックアップ」のバランスが重要です。
まずは「Lv.2 中級」までの対策を今日中に完了させてください。
それだけで、あなたのサイトは劇的に安全になります。
あなたの大切な作品を守るために、今すぐ設定画面を開きましょう。