WordPress

WordPress セキュリティ強化 プラグインで対策


WordPressのセキュリティ強化

プラグインで行うセキュリティ強化対策

WordPressのサイトが乗ったられたとか、データを壊されたという被害の話をときどき聞きます

多くの場合、WordPressサイトに対するセキュリティ対策を行っていなかったことで起こっていることなので、WordPressサイトのセキュリティ強化対策で行うことを考えます


WordPress セキュリティ強化 テーマ・プラグインの更新

WordPress セキュリティ強化 テーマ・プラグインの更新アップデート

WordPressのバージョン、使用しているテーマのバージョン、プラグインのバージョンは新しいものに都度アップデートしておくことが重要です

不具合、セキュリティホールがあった場合など、更新されます

WordPressにログインすると、更新の通知が表示されますから、都度アップデートしましょう

パソコンでもスマホでもWordPressでも、セキュリティの基本は最新のバージョンを利用するようにアップデートしておくことです

プラグインは余計なものを入れない、必要最低限に絞り、最新版にしておくのがよいです

WordPress セキュリティ強化 SiteGuardプラグインによる更新通知メール

SiteGuardプラグインには、WordPress、テーマ、プラグインの更新版が出るとメールで更新を通知する機能があります

SiteGuardプラグインの設定で、更新通知メールのON/OFF設定、テーマとプラグインは、有効にして使っているものだけを通知対象とするか、インストールしているものすべてを対象にするかの設定ができます

WordPress セキュリティ強化 Jetpackによるプラグイン自動更新

Jetpack by WordPress.comには、インストールしているプラグインを自動でアップデートする機能があります

無料プランでできます

セキュリティ設定に「プラグインを自動でアップデート」項目があり、自動アップデートするプラグインを選択することができます

WordPress セキュリティ強化 プラグインでできる対策

不正アクセスされないことが最重要のセキュリティ対策になるわけですが、自分で使用しているプラグインについてまとめておきます

WordPress セキュリティ強化 SiteGuardプラグイン

SiteGuardプラグインは、ロリポップ!サーバーの場合は、WordPressを簡単インストールすると最初から入っています

もっとも利用されているプラグインなのでしょう

更新通知メールの他にも下記のような対策ができます

ログインページの名前の変更

総当たり攻撃などの不正にログインを試みる攻撃を受けにくくします

ログインページ(wp-login.php)が初期値のままだと、攻撃をかけるページがわかりますが、変更することでわかりにくくできます

画像認証

ログインする際やコメントする際など画像認証をしなければできないようにし、不正ログイン攻撃やコメントスパムを受けにくくします

ログインするためには、IDとパスワードと画像認証(ひらがなか英数字)が必要になるわけです

ログインロック

機械的なログインの攻撃から防御する機能で、ログインの失敗を繰り返す接続元を指定時間ブロックしてくれます

ログインアラート

ログインがあったことをメールで通知する機能で、見に覚えのないログインがあったことを検知できます

ログインアラートで送られてくるメールの題名と本文は自分で変更できますから、わかりやすく変えておくとよいと思います

XMLRPC防御

サーバーにXMLRPCの海外からの使用を防止する機能がありますが、ピンバックできなくしたり、XMLRPCを使用できなくしたりすることができます

外部アプリから投稿するなどXMLRPCを利用する場合は利用できるようにしておく必要があります

WordPress セキュリティ強化 Edit Author Slugプラグイン

WordPressではログインIDを類推されにくいIDに設定することが可能です

しかし、特になにもしていないと、WordPressでは投稿者アーカイブのスラッグでログインIDがわかってしまいますのでログインIDを隠しておきたいときには、Edit Author Slugプラグインが使えます

ログインする場所をわからなくする、パスワード総当たり攻撃をできなくする、認証を増やす、接続元IPを限定しておくといった対処が重要なわけですが、IDも隠しておいたほうが安心ですね

ユーザーのプロフィール設定で設定できるようになります

でも、一般のネット上のサービスではメールアドレスをIDに使う場合が多いと思います

メールアドレスは人に教えたりすることも多いので、IDでガードするより、パスワードや認証を二段階認証にするなどでもセキュリティ強化をはかります

IDが漏れてもログインを突破されないように対策しておくことが必要ですね

WordPress セキュリティ強化 All In One WP Securityプラグイン

SiteGuardでできることは多いのですが、SiteGuardがマルチサイト化すると使えないプラグインだったので、マルチサイトの場合は、All In One WP Sequrityを使用するようにしていました

SiteGuard同様にセキュリティ強化の設定をすることができるプラグインですが、セキュリティの状況診断もしてくれるプラグインです

主なできることは以下です
・アカウント名をadminなどわかりやすいものにしないようにアカウント名を変更
・ログインロックの設定
・データベース名をわかりやすい名称から変更
・WordPressのファイルのパーミッション設定
・.htaccessファイルへのアクセス拒否設定
・XMLRPC制御の設定
・ログインページURLの変更
などです

WordPress セキュリティ強化 プラグインでできる2段階認証

WordPress セキュリティ強化 2段階認証プラグイン

2段階認証もWordPressのプラグインで可能です

セキュリティ強化に有効な2段階認証です

例えば、Two Factorプラグインを入れるとプロフィール設定で2段階認証の設定ができるようになります

2段階認証の方法もメール認証など複数の認証方法から選ぶことができます

WordPress セキュリティ強化 ID・パスワード漏洩防止などなど

WordPress セキュリティ強化 ID・パスワード

IDとパスワードを漏らしてしまわないようにメールアドレスや個人情報をむやみに登録しないというのも有効だと思います

でも、利用したいサービスはいろいろありますし、ときには、どこかから漏れて、迷惑メールが来ます

フィッシングサイトへの誘導メールがくることがあります

アマゾンや楽天などの有名ショッピングサイト、LINEなどもありますね

正規のサイトを装って巧妙なメールを送ってきますから、クレジットカード番号を入れてしまったり、ID・パスワードを入れてしまったりする人があとをたちません

だれでも使えるフリーのWiFiを使うのも注意が必要です

アカウント情報をいろいろなサービスで使い回すのは避けないとなりません

パスワードを類推できない強固なものにして、使い回さないことが必要です

メールアドレスを登録するサービス専用にしてサービスごとに変えるのも有効だと思います

アマゾンに登録したメールに楽天からメールが届くことはないはずです

なので、もしアマゾンに登録したメールに、楽天やLINEからメールが来たら、不正なフィッシング詐欺メールが来たということがわかります

同じメールアドレスを使いまわしていなければ、ショッピングサイトに登録したメールに、銀行やクレジット会社からメールが来るわけがありません

ドメインとサーバーを借りている人なら、登録用のメールはほぼ無制限同等に簡単につくれます

WordPress セキュリティ強化 サーバーで行う対策

サーバーのセキュリティ強化もしっかり行っておきましょう

セキュリティ対策
WordPress サーバーで行うセキュリティ対策について調べてみたWordPress レンタルサーバーで行うセキュリティ対策について調べてみた...