ブログを始めたり、HPを作成したりするときに、WordPressは無料で使えて様々なカスタマイズもできて超便利!のようにオススメされているのを見て、WordPressを使い始めたという人も多いはずです。
WordPressのセキュリティ、気にしていますか?
私はWordPressならセキュリティ対策も有る程度問題ないでしょと思って、とりあえず見切り発車で初めたのですがそんなことはなく、WordPressにもしっかりとしたセキュリティ対策が必要でした。
ここで紹介するセキュリティ対策はすべてWordPressのプラグインにて実現可能です。サーバーとかWordPressに対しての深い知識も特には必要ないでしょう。
セキュリティ対策もしっかりとして、安心安全なサイト運営をしたいものですね。
・プラグインよりも先に気にすべきこと
・これだけは入れておいたほうがいいプラグイン
1、SiteGuard WP Plugin
2、All in one WP Security & Firewall
・定期的にバックアップは取りましょう
・最後に
プラグインよりも先に気にすべきこと
まずは、当たり前かもしれませんがプラグインよりも大事なセキュリティ対策が以下です。
・WordPressの更新
この2つは何よりも重要です。どれだけプラグインを入れても、そもそもセキュリティホールがあるようでは格好の攻撃対象となってしまいます。
ログインパスワードの設定
ログインパスワードは最低でも8桁推奨が多いですが、10桁がいいかなと思いますね。
パスワードはパソコンからの総当り攻撃によって突破されてしまうことが多いです。人間が攻撃してくるようであれば、英数字、記号混合などが有効となるのですが、機械相手にはあまり関係ありません。できるだけ長いものにしましょう。
また、どこでも言われていますが誕生日や名前、推測しやすいもの(12345678)などは避けたほうが無難です。
ちなみに、現在の主流のOSで4桁のパスワードを突破するのにかかる時間は10分、8桁だと数日以上は持つそうです。機械の性能は今後とも上っていく一方でしょうから、完璧なパスワードというものは難しいかもしれませんが、しっかりと対策しておいたほうがいいでしょう。
パスワードを考えることが難しいという人は、無料でランダムなパスワードを作成してくれるサービスもあるので、利用するといいと思います。
WordPressの更新
脆弱性というものは毎日のように生まれています。生まれているというよりかは発見されてしまっています。
あんまり緊急性の高くない脆弱性から、すぐに対応しないといけないような脆弱性まで様々ですが、残しておくのはやっぱり危険ですね。
ありがたいことにボランティア有志によるアップデートが適宜公開されていますので、WordPress、プラグインどちらのアップデートもしておいたほうがいいです。
WordPressはアップデートすると動作しなくなるなどのバグもあるので、なるべくバックアップは取っておいたほうがいいでしょう。
使っていないプラグインは停止・削除をしたほうがいいです。
更新が有る場合は、WordPressのダッシュボード、更新のタブに吹きだしが表示されるのこまめに対応していきましょう。
1、SiteGuard WP Plugin
このプラグインの特徴
・ログイン試行回数制限
・ログインURLの変更
・ログイン履歴
・画像認証
このプラグインを入れることで、上記の機能などが利用できるようになります。
インストール、設定方法
プラグインから新規追加を選択
検索窓に「SiteGuard WP Plugin」を入力。
「今すぐインストール」をクリック→「有効化」を忘れずに。
有効化が完了すると、左メニューに「SiteGuard」が追加されています。
これをクリックすると現在の設定が出てきます。緑色のチェックがついているものが現在有効化されているということですね。
基本的にチェックについてはこのままでいいと思います。
ちなみに、画像認証によってこのような感じになります。
文字の入力認証が追加されていますね。ロボットはこの微妙な文字を認識できないようなので、そういったロボットなどによる不正ログインを防ぐことができますね。
このプラグインで変更する部分は「ログインページ変更」です。
基本的にログインページは「http(s)://[サイトURL]/wp-admin/」となっています。このままだとログインページに誰でもアクセスできてしまうので、これを変更しましょう。
「ログインページを変更」をクリックすると、以下のページへ移動します。
「変更のログインページ名」のところに好きな文字を入力しましょう。そうすると「http(s)://[サイトURL]/(入力した文字)」が新しいログインURLになります。
※ブックマークなどして変更したことを忘れないようにしておきましょう。
また、どのバージョンから対応しているのかはわかりかねますが、オプションがあります。
実はWordPressの仕様として「http(s)://[サイトURL]/wp-admin/」と入力すると、新しく設定したログインURLのほうに自動でリダイレクトされてしまうんですよね。
せっかくログインURLを変更したのにアクセスできてしまっては意味がありません。
このオプションにチェックを入れることで「http(s)://[サイトURL]/wp-admin/」にアクセスしたとき、以下のように404エラーが出るようになります。このチェックも忘れずにしておきましょう。
ログインアラートとか更新通知でメールが結構飛んできますが、不正を検知するには有効ですね。
2、All in one WP Security & Firewall
このプラグインの特徴
・バージョン番号非表示
・設定ファイルを守る
このプラグインを入れることで、上記の機能などが利用できるようになります。
設定ファイルを守るというのは結構重要なことですが、日本語対応していないという点があるため、英語が苦手な人は無理してこのプラグインを入れなくてもいいかもしれません。最悪FTPソフトなどでファイルの権限を変更して守れるようにすればいいので。
インストール、設定方法
プラグインから新規追加を選択
検索窓に「All in one WP Security」を入力。
「今すぐインストール」をクリック→「有効化」を忘れずに。
有効化が完了すると、左メニューに「WP Security」が追加されています。
メニューから「Settings」を選択。
「WP Version Info」のタブを選択すると以下のような画面になります。
チェックを入れて「Save Setting」を押しましょう。
こうすることで、サイトのHTMLソースのバージョン情報が暗号化された状態となります。
次に、設定ファイルを守るためファイルのパーミッションを確認します。パーミッション(Permission)とはファイルを操作することのできる権限のことで、読むことはできるけど、書き込むのは禁止。読むのも書くのも禁止などを設定しているものです。
基本的に、外の人からは読むことも書くことも禁止するということが大事です。難しいかもしれませんが、このプラグインを使えばボタンを押すだけで完了するので大丈夫だと思います。
「File System」を押します。
「File Permissions」タブを確認します。
画像がうまく貼れないです。すみません・・・
ここで、各項目の背景色を見てください。緑ならば安全で対応する必要はなし。赤や黄色であれば「Set Recommended Permissions」のボタンをクリックすると、推奨のパーミッションである640に変更されます。
定期的にバックアップは取りましょう
セキュリティ対策とはまた別の話となるのですが、バックアップは定期的に取ることにしましょう。
プラグインで取ることも可能ですが、これに関して私はFTPソフトを使っての方法をオススメいたします。FTP接続って何だ?という人は、過去にそれについて書いているのでご覧ください。
筆者はXSERVERを使っているので、それの手順となります。
>XSERVERとFTPソフトでSFTP接続してファイル転送する手順
ドメインの下にある「public_html」をすべてコピーすれば問題ないです。
そこそこ時間はかかりますが、いざというときを考えると取っておいたほうがいいですね。
バックアップから復元する場合は、この「public_html」で上書きしてあげればいいだけとなります。
最後に
WordPressは世界的にも広く使われています。
そのため攻撃の対象となりやすくなってしまうため、適切にセキュリティ対策を施していきましょう。
WordPressが素晴らしいものであることに間違いはありませんので、安心安全に運営できるようにしたいものですね。
そして、やっておいたほうがいいセキュリティ対策もあります。
>【WordPress】やっておいたほうがいいセキュリティ対策!
以上。ありがとうございました!