WordPressの修正やカスタマイズの案件を請け負った際、お客様のWordpressにログインして管理画面を見ると、意外とデフォルト状態で使っている会社が多いです。

会社のホームページにWordpressを使っている会社も多いと思います。

WordPressはデフォルトの状態でも使えますので、ただ使えればいいという場合はデフォルト状態でも問題ないのですが、デフォルト状態だと様々なデメリットもあります。

デフォルト状態のデメリットの中でも特に重要なのはセキュリティで、Wordpressのアカウントの権限を適切に管理することで、内部のセキュリティを高め、それと同時にヒューマンエラーも防ぐことができますので、ご紹介したいと思います。

WordPressのアカウントの権限とは

まず、Wordpressのアカウント(Wordpressでは『ユーザー』と呼びます)には「権限」というものがあって、「ダッシュボード」→「ユーザー」→「ユーザー一覧」→「編集」と辿っていくと、アカウントの権限を確認することができます。

wordpress 権限グループ
ピンクの枠で囲っている部分が、アカウントの権限です

アカウントの権限は、上から「管理者」「編集者」「投稿者」「寄稿者」「購読者(権限なし)」の5つの権限があって、Wordpressを構築した際に作成されるアカウント(デフォルトの状態)は「管理者」です。

アカウントの権限は、管理者は社長、編集者は部長、投稿者は課長、購読者は平社員といった形で、会社の役職をイメージしていただくとわかりやすいかと思います。上の権限になればなるほど、操作できる項目が多くなり、下の権限になればなるほど操作できる項目が少なくなります。

WordPressのデフォルトの権限は「管理者」で、管理者のダッシュボード(管理画面)は次のように通りです。

管理者権限
管理者権限のダッシュボード

ピンクで囲ってる部分が管理者権限で操作できる項目で、管理者権限はトップの権限なので、全ての項目の操作ができます。

デフォルト状態の管理者権限を使うデメリット

多くの会社は、日常業務でブログの更新以外ほぼ使わないことが多いので、ブログを更新する「投稿」、コメントがあった時の「コメント」、画像を管理する「メディア」の3つくらいしか使いません。つまり、普段使わない項目まで操作ができる状態になっています。

そして、その普段使わない項目が、システム本体の設定を操作したり、ホームページのデザインを編集したり、サブページの編集をするなど、Wordpressにとって非常に重要な部分で、トップの権限である管理者にしか操作できない項目なのです。

会社でWordpressを使うのはWEB担当者の方が行うことが多いかと思いますが、これを先程の会社の役職の例に当てはめると、トップである社長の権限をWEB担当者に与えるということです。ですから、デフォルト状態の管理者権限のままだと、内部セキュリティに問題があるのです。

セキュリティに関して詳しくない会社も多いですし、ホームページ制作会社でもセキュリティがほとんどわからない会社も多いので、意外とこの内部セキュリティの脆弱性がそのままになっている会社が多いです。

また、余計な操作まで可能だと、誤った操作をしてしまう可能性もあるので、ヒューマンエラーにも繋がります。

WordPressのアカウントの権限を適切に管理する

先程書いた通り、日常業務ではブログを投稿するのが多いかと思いますので、「投稿」「コメント」「メディア」の3つくらいしか使いません。この3つの項目を操作するのにちょうどいいのが「投稿者」の権限です。

投稿者権限
投稿者権限のダッシュボード

会社の役職を分けているのと同じように、デフォルト状態の管理者権限のアカウントの他に、日常業務で使う投稿者権限のアカウントを新たに作り、「システムを操作する時にしか使わない管理者権限のアカウント」と「普段使う日常業務用の投稿者権限のアカウント」といった形で分けることで、内部セキュリティを高めることができます

また、投稿者権限では、「外観」「プラグイン」「ユーザー」「設定」の項目がなくなり、システムに影響を及ぼす項目の操作ができなくなるため、ヒューマンエラーを防ぐことができます

その他にも、万が一システムに不具合が起こった場合、管理者権限を使っていなければ、ヒューマンエラーの可能性がなくすことができ、原因の究明がスムーズになるので、復旧にかかる費用も抑えることができます。

投稿者権限のアカウントを追加する方法は次の通りです。

投稿者権限のアカウントを追加する方法

投稿者権限のアカウントの追加は、管理者権限を持ったアカウントでログインして、「ユーザー」→「新規追加」から行います。

wordpressユーザー追加
ユーザー追加画面
  1. ユーザー名は半角英数字で記入し、追加するユーザーのメールアドレスを入力します。
  2. パスワードは、ランダムな英数字になってますので、変更する場合は「パスワードを表示」から、任意のパスワードを入力します(簡単なパスワードの場合「非常に脆弱」または「脆弱」と出ますので、「脆弱なパスワードの使用を確認」にチェックを入れてください)
  3. 権限グループはデフォルトでは「購読者」になっていますので、「投稿者」を選択します(ピンクの枠で囲ってる部分)
  4. 「新規ユーザーを追加」をクリックします。

以上で、投稿者権限のアカウントを新たに追加することができます。

あとがき

「日常業務用のアカウントを追加する」というちょっとした工夫をすることで、Wordpressの内部セキュリティを向上させ、より安全に使うことができるようになりますので、ぜひお試しいただければと思います。

ホームページの制作・リニューアル、Wordpressの構築、WEBコンサルティングは、ハルリにお任せください。