ホームページ制作の相談をお受けした際に、セキュリティリスクについて相談されることが多いです。たしかに、ホームページを公開するとスパムや不正アクセスのリスクにさらされます。特にWordPressは世界中で使われているシステムのため、攻撃の標的になりやすい側面があります。この記事では、親業訓練インストラクターのホームページに必要なセキュリティ対策を3つ解説します。いずれも無料で導入でき、設定も難しくありません。
① CloudSecure WP Securityでサイト全体を守る
ホームページを公開した後、最初に導入すべきセキュリティプラグインが「CloudSecure WP Security」です。
CloudSecure WP Securityとは
CloudSecure WP SecurityはWordPressのセキュリティ対策を一括で行えるプラグインです。不正ログインの防止・管理画面へのアクセス制限・セキュリティ診断など、必要なセキュリティ機能がまとめて備わっています。無料で利用でき、設定画面も日本語で分かりやすく整理されています。
SWELLとの相性と選んだ理由
CloudSecure WP SecurityはWordPressテーマ「SWELL」の公式サイトでも推奨されているプラグインです。また、国内シェアNo1のレンタルサーバー「エックスサーバー」の公式ブログでも紹介されており、信頼性の高いツールとして広く認知されています。
SWELLを使ったホームページ制作では、テーマとの相性を重視してプラグインを選ぶ必要があります。公式で推奨されているCloudSecure WP Securityであれば、不具合のリスクを抑えながらセキュリティ対策を導入できます。
参考:SWELL公式|推奨プラグイン
参考:エックスサーバー|CloudSecure WP Securityのメリットや設定方法を解説
② Cloudflare Turnstileでお問い合わせフォームのスパムを防ぐ
サイト全体のセキュリティを固めたら、次はお問い合わせフォームのスパム対策です。
Cloudflare Turnstileとは
Cloudflare TurnstileはGoogleのreCAPTCHAに代わるスパム対策ツールです。ユーザーに「私はロボットではありません」というチェックボックスを押させたり、画像認証をさせたりすることなく、自動でボットによる送信をブロックします。ユーザーの操作を妨げずにスパムを防げるため、問い合わせのハードルを上げない点が大きなメリットです。
こちらもSWELL公式サイトおよびエックスサーバーの公式ブログで推奨されているツールです。
参考:エックスサーバー|reCAPTCHAの代替『Cloudflare Turnstile』のメリットや導入方法
Contact Form 7との連携方法
WordPressのお問い合わせフォームプラグイン「Contact Form 7」にCloudflare Turnstileを連携させることで、スパム送信をブロックできます。連携にはCloudflareのアカウント登録とAPIキーの取得が必要ですが、手順通りに進めれば難しくありません。
Cloudflare Turnstileを導入する前は、お問い合わせフォームを経由したスパムメールが届くことがありましたが、導入後はスパムメールが届かなくなりました。フォームへのスパム送信は自動ボットによるものがほとんどのため、Cloudflare Turnstileで十分に対応できます。
③ コメント欄を無効化する
コメント欄がスパムの入口になる理由
WordPressにはデフォルトでコメント機能が備わっています。しかしこのコメント欄は、スパムボットに狙われやすい入口の一つです。お問い合わせフォームにCloudflare Turnstileを設定していても、コメント欄は別の入口になるため、個別に対策が必要です。
実際に当サイトでも、コメント欄を通じたスパムが届いたことがありました。コメント欄を非表示にしているだけでは投稿自体は受け付けてしまうため、WordPress本体の設定から無効化する必要があります。
実際に当サイトに届いたスパムメール
WordPressの設定でコメントを無効化する方法
新規投稿へのコメントを無効化する
WordPress管理画面 → 設定 → ディスカッション → 「新しい投稿へのコメントを許可する」のチェックを外す → 変更を保存
既存記事のコメントを無効化する
この設定は新規投稿にのみ適用されます。既存の記事は個別に対応が必要です。
投稿一覧 → 各記事の編集画面 → 右サイドバー「ディスカッション」→「コメントを許可」のチェックを外す → 更新
トラックバック・ピンバックも無効化する
コメントと同様に、トラックバック・ピンバックもスパムの温床になります。
WordPress管理画面 → 設定 → ディスカッション →「新しい投稿に対し他のブログからの通知(ピンバック・トラックバック)を受け付ける」のチェックも合わせて外しておきましょう。
まとめ|導入すべきセキュリティ対策3つ
- CloudSecure WP Securityでサイト全体の不正アクセスを防ぐ
- Cloudflare Turnstileでお問い合わせフォームへのスパム送信をブロックする
- コメント欄を無効化してスパムの入口を塞ぐ
ホームページのセキュリティ対策は、公開後すぐに対応することが重要です。いずれも無料で導入できるため、まず3つを設定してから運用をスタートしましょう。
WordPressテーマにSWELLをおすすめする理由が気になる方はこちらもご覧ください。
→親業訓練インストラクターのホームページにWordPressテーマ「SWELL」をおすすめする5つの理由
