WordPressを利用して会員制サイトを作る際の問題点とその対策
WordPressは、会員制サイトを構築することも可能だ。
ところが、セキュリティ面でそれほど強くないWordpressは、個人情報はおろかログイン情報を扱うのは不向きだ。もし、Wordpressで会員制サイト(オンラインサロン)を構築する場合は、かなり高度なセキュリティ対策が必要となる。
今回は、Wordpressを利用して、会員制サイト(オンラインサロン)を作る際の問題点とその対策についてお伝えする。
- WordPressには、会員制サイト(オンラインサロン)を作るためのプラグインが存在する
- WordPressは、個人情報やログイン情報を保持するのは不向き
- WordPressで会員制サイト(オンラインサロン)を構築する場合、高度なセキュリティ対策が必要
WordPressに会員制サイトを作る
WordPressには、会員制サイトを作るためのプラグインがいくつかある。その中でも代表的なプラグインはSimple Membershipだ。
Simple Membership
このプラグインを導入すれば、
- ログインページ
- マイページ
- 会員登録
- 会員退会
等、会員制サイトやオンラインサロンを構築するための機能を一通り提供可能だ。
そもそも、Wordpressはセキュリティ的安全ではない
WordPressは、セキュリティ面で協力なソフトウェアではない。
そもそも、個人情報を扱う管理画面は、以下の2点をクリアした仕組みにする必要がある。
- 必要最小限の担当者のみがアクセスできるようになっていること
- 操作ログ、監査ログが残るようになっていること
この2点は、IPA(情報処理推進機構)にも同様の注意が喚起されている。
しかしながら、上記のSimple Membershipを導入しても、上記2点に対応できるわけではない。
さらに、追加で以下の対応を行う必要がある。
アクセス元IPを制限する
一番最初にすべき対策は、個人情報を取り扱う管理画面に対して、アクセス制限をかけることだ。
管理画面に対してIP制限をかけることで、あらゆる場所からのサイバー攻撃を防ぐことができる。
IP制限は、.htaccessファイルを以下の様に編集し、Wordpress直下のフォルダにアップロードすることで実施できる。
<FilesMatch "wp-login.php|wp-admin"> Order deny, allow Deny from all Allow from xxx.xxx.xxx.xxx </FilesMatch>
管理者のパスワードは、非常に難解なパスワードにしておく
さらに、個人情報を参照、変更できる管理者のパスワードは、以下の様にパスワードを強化しておいたほうが良い。
- 半角英数字で16文字以上
- 記号を混ぜる
- ユーザー名に含まれる文字列を使わない
SiteGuard WP プラグインを導入する
次に行うべき施策は、Wordpressのセキュリティをさらに強化するプラグインを導入することだ。
SiteGuard WP Plugin
SiteGuardは、以下の点でWordpressのセキュリティレベルを上げることができる。
- 不正ログイン
- 管理ページ(/wp-admin/)への不正アクセス
- コメントスパム
最後に
WordPressは、このように個人情報を扱うサイトとして、様々な施策を事前に実施しておく必要がある。
さらに、最近では、EU一般データ保護規則(EUいっぱんデータほごきそく、英: General Data Protection Regulation; GDPR)という、EU独自のセキュリティ対策法案が施行されている。
会員制サイトやオンラインサロンを構築する場合、Wordpressのセキュリティ対策に詳しいエンジニアにアドバイスをもらったほうが良いだろう。