WordPressのセキュリティ強化
プラグインで行うセキュリティ強化対策
WordPressのサイトが乗ったられたとか、データを壊されたという被害の話をときどき聞きます
多くの場合、WordPressサイトに対するセキュリティ対策を行っていなかったことで起こっていることなので、WordPressサイトのセキュリティ強化対策で行うことを考えます
Contents
WordPress セキュリティ強化 テーマ・プラグインの更新
WordPress セキュリティ強化 テーマ・プラグインの更新アップデート
WordPressのバージョン、使用しているテーマのバージョン、プラグインのバージョンは新しいものに都度アップデートしておくことが重要です
不具合、セキュリティホールがあった場合など、更新されます
WordPressにログインすると、更新の通知が表示されますから、都度アップデートしましょう
パソコンでもスマホでもWordPressでも、セキュリティの基本は最新のバージョンを利用するようにアップデートしておくことです
プラグインは余計なものを入れない、必要最低限に絞り、最新版にしておくのがよいです
WordPress セキュリティ強化 SiteGuardプラグインによる更新通知メール
SiteGuardプラグインには、WordPress、テーマ、プラグインの更新版が出るとメールで更新を通知する機能があります
SiteGuardプラグインの設定で、更新通知メールのON/OFF設定、テーマとプラグインは、有効にして使っているものだけを通知対象とするか、インストールしているものすべてを対象にするかの設定ができます
WordPress セキュリティ強化 Jetpackによるプラグイン自動更新
Jetpack by WordPress.comには、インストールしているプラグインを自動でアップデートする機能があります
無料プランでできます
セキュリティ設定に「プラグインを自動でアップデート」項目があり、自動アップデートするプラグインを選択することができます
WordPress セキュリティ強化 プラグインでできる対策
不正アクセスされないことが最重要のセキュリティ対策になるわけですが、自分で使用しているプラグインについてまとめておきます
WordPress セキュリティ強化 SiteGuardプラグイン
SiteGuardプラグインは、ロリポップ!サーバーの場合は、WordPressを簡単インストールすると最初から入っています
もっとも利用されているプラグインなのでしょう
更新通知メールの他にも下記のような対策ができます
ログインページの名前の変更
総当たり攻撃などの不正にログインを試みる攻撃を受けにくくします
ログインページ(wp-login.php)が初期値のままだと、攻撃をかけるページがわかりますが、変更することでわかりにくくできます
画像認証
ログインする際やコメントする際など画像認証をしなければできないようにし、不正ログイン攻撃やコメントスパムを受けにくくします
ログインするためには、IDとパスワードと画像認証(ひらがなか英数字)が必要になるわけです
ログインロック
機械的なログインの攻撃から防御する機能で、ログインの失敗を繰り返す接続元を指定時間ブロックしてくれます
ログインアラート
ログインがあったことをメールで通知する機能で、見に覚えのないログインがあったことを検知できます
ログインアラートで送られてくるメールの題名と本文は自分で変更できますから、わかりやすく変えておくとよいと思います
XMLRPC防御
サーバーにXMLRPCの海外からの使用を防止する機能がありますが、ピンバックできなくしたり、XMLRPCを使用できなくしたりすることができます
外部アプリから投稿するなどXMLRPCを利用する場合は利用できるようにしておく必要があります
WordPress セキュリティ強化 Edit Author Slugプラグイン
WordPressではログインIDを類推されにくいIDに設定することが可能です
しかし、特になにもしていないと、WordPressでは投稿者アーカイブのスラッグでログインIDがわかってしまいますのでログインIDを隠しておきたいときには、Edit Author Slugプラグインが使えます
ログインする場所をわからなくする、パスワード総当たり攻撃をできなくする、認証を増やす、接続元IPを限定しておくといった対処が重要なわけですが、IDも隠しておいたほうが安心ですね
ユーザーのプロフィール設定で設定できるようになります
でも、一般のネット上のサービスではメールアドレスをIDに使う場合が多いと思います
メールアドレスは人に教えたりすることも多いので、IDでガードするより、パスワードや認証を二段階認証にするなどでもセキュリティ強化をはかります
IDが漏れてもログインを突破されないように対策しておくことが必要ですね
WordPress セキュリティ強化 All In One WP Securityプラグイン
SiteGuardでできることは多いのですが、SiteGuardがマルチサイト化すると使えないプラグインだったので、マルチサイトの場合は、All In One WP Sequrityを使用するようにしていました
SiteGuard同様にセキュリティ強化の設定をすることができるプラグインですが、セキュリティの状況診断もしてくれるプラグインです
主なできることは以下です
・アカウント名をadminなどわかりやすいものにしないようにアカウント名を変更
・ログインロックの設定
・データベース名をわかりやすい名称から変更
・WordPressのファイルのパーミッション設定
・.htaccessファイルへのアクセス拒否設定
・XMLRPC制御の設定
・ログインページURLの変更
などです
WordPress セキュリティ強化 プラグインでできる2段階認証
WordPress セキュリティ強化 2段階認証プラグイン
2段階認証もWordPressのプラグインで可能です
セキュリティ強化に有効な2段階認証です
例えば、Two Factorプラグインを入れるとプロフィール設定で2段階認証の設定ができるようになります
2段階認証の方法もメール認証など複数の認証方法から選ぶことができます
WordPress セキュリティ強化 ID・パスワード漏洩防止などなど
WordPress セキュリティ強化 ID・パスワード
IDとパスワードを漏らしてしまわないようにメールアドレスや個人情報をむやみに登録しないというのも有効だと思います
でも、利用したいサービスはいろいろありますし、ときには、どこかから漏れて、迷惑メールが来ます
フィッシングサイトへの誘導メールがくることがあります
アマゾンや楽天などの有名ショッピングサイト、LINEなどもありますね
正規のサイトを装って巧妙なメールを送ってきますから、クレジットカード番号を入れてしまったり、ID・パスワードを入れてしまったりする人があとをたちません
だれでも使えるフリーのWiFiを使うのも注意が必要です
アカウント情報をいろいろなサービスで使い回すのは避けないとなりません
パスワードを類推できない強固なものにして、使い回さないことが必要です
メールアドレスを登録するサービス専用にしてサービスごとに変えるのも有効だと思います
アマゾンに登録したメールに楽天からメールが届くことはないはずです
なので、もしアマゾンに登録したメールに、楽天やLINEからメールが来たら、不正なフィッシング詐欺メールが来たということがわかります
同じメールアドレスを使いまわしていなければ、ショッピングサイトに登録したメールに、銀行やクレジット会社からメールが来るわけがありません
ドメインとサーバーを借りている人なら、登録用のメールはほぼ無制限同等に簡単につくれます
WordPress セキュリティ強化 サーバーで行う対策
サーバーのセキュリティ強化もしっかり行っておきましょう