WordPressのサイトが乗ったられたとか、データを壊されたという被害の話をときどき聞きます
多くの場合、WordPressサイトに対するセキュリティ対策を行っていなかったことで起こっていることなので、WordPressサイトのセキュリティ強化対策で行うことを考えます
WordPress・テーマ・プラグインの更新
WordPress・テーマ・プラグインの更新アップデート
WordPressのバージョン、使用しているテーマのバージョン、プラグインのバージョンは新しいものに都度アップデートしておくことが重要です
不具合、セキュリティホールがあった場合など、更新されます
WordPressにログインすると、更新の通知が表示されますから、都度アップデートしましょう
パソコンでもスマホでもWordPressでも、セキュリティの基本は最新のバージョンを利用するようにアップデートしておくことです
プラグインは余計なものを入れない、必要最低限に絞り、最新版にしておくのがよいです
SiteGuardプラグインによる更新通知メール
SiteGuardプラグインには、WordPress、テーマ、プラグインの更新版が出るとメールで更新を通知する機能があります
SiteGuardプラグインの設定で、更新通知メールのON/OFF設定、テーマとプラグインは、有効にして使っているものだけを通知対象とするか、インストールしているものすべてを対象にするかの設定ができます
Jetpack by WordPress.comによるプラグイン自動更新
Jetpack by WordPress.comには、インストールしているプラグインを自動でアップデートする機能があります
無料プランでできます
セキュリティ設定に「プラグインを自動でアップデート」項目があり、自動アップデートするプラグインを選択することができます
プラグインでできるWordPressセキュリティ強化
不正アクセスされないことが最重要のセキュリティ対策になるわけですが、使用しているプラグインについてまとめておきます
SiteGuardプラグインできるWordPressセキュリティ強化
SiteGuardプラグインは、ロリポップ!サーバーの場合は、WordPressを簡単インストールすると最初から入っています
もっとも利用されているプラグインなのでしょう
更新通知メールの他にも下記のような対策ができます
ログインページの名前の変更
総当たり攻撃などの不正にログインを試みる攻撃を受けにくくします
ログインページ(wp-login.php)が初期値のままだと、攻撃をかけるページがわかりますが、変更することでわからなくできます
画像認証
ログインする際やコメントする際など画像認証をしなければできないようにし、不正ログイン攻撃やコメントスパムを受けにくくします
ログインするためには、IDとパスワードと画像認証(ひらがなか英数字)が必要になるわけです
ログインロック
機械的なログインの攻撃から防御する機能で、ログインの失敗を繰り返す接続元を指定時間ブロックしてくれます
ログインアラート
ログインがあったことをメールで通知する機能で、見に覚えのないログインがあったことを検知できます
XMLRPC防御
サーバーにXMLRPCの海外からの使用を防止する機能がありますが、ピンバックできなくしたり、XMLRPCを使用できなくしたりすることができます
外部アプリから投稿するなどXMLRPCを利用する場合は利用できるようにしておく必要があります
Edit Author SlugでできるWordPressセキュリティ強化
特になにもしていないと、WordPressでは投稿者アーカイブのスラッグでログインIDがわかってしまいますのでログインIDを隠しておきたいときに使えます
ログインする場所をわからなくする、パスワード総当たり攻撃をできなくする、認証を増やす、接続元IPを限定しておくといった対処が重要なわけですが、IDも隠しておいたほうが安心ですね
ユーザーのプロフィール設定で設定できるようになります
でも、一般のネット上のサービスではメールアドレスをIDに使う場合が多いと思います
メールアドレスは人に教えたりすることも多いので、IDでガードするより、パスワードや認証を二段階認証にするなどでセキュリティ強化をはかります
IDが漏れてもログインを突破されないように対策しておくことが必要ですね
All In One WP Security
SiteGuardでできることも多いのですが、SiteGuardがマルチサイト化すると使えないプラグインだったので、All In One WP Sequrityを使用するようにしていました
SiteGuard同様にセキュリティ強化の設定をすることができるプラグインですが、セキュリティの状況診断もしてくれるプラグインです
主なできることは以下です
・アカウント名をadminなどわかりやすいものにしないようにアカウント名を変更
・ログインロックの設定
・データベース名をわかりやすい名称から変更
・WordPressのファイルのパーミッション設定
・.htaccessファイルへのアクセス拒否設定
・XMLRPC制御の設定
・ログインページURLの変更
などです
2段階認証
2段階認証もWordPressのプラグインで可能です
セキュリティ強化に有効な2段階認証ですが、試用・調査中
ID・パスワード漏洩防止などなど
IDとパスワードを漏らしてしまわないようにメールアドレスや個人情報をむやみに登録しない
でも、どこかから漏れて、迷惑メールが来ます
フィッシングサイトへの誘導メールも来ます
アマゾンや楽天などの有名ショッピングサイト、LINEなどもありますね
正規のサイトを装って巧妙なメールを送ってきますから、クレジットカード番号を入れてしまったり、ID・パスワードを入れてしまったりする人があとをたちません
だれでも使えるフリーのWiFiを使うのも注意が必要です
アカウント情報をいろいろなサービスで使い回すのは避けないとなりません
パスワードを類推できない強固なものにして、使い回さないことも必要です
メールアドレスを登録するサービス専用にして変えるのも有効だと思います
アマゾンに登録したメールに楽天からメールが届くことはないはずです
なので、もしアマゾンに登録したメールに、楽天やLINEからメールが来たら、不正なフィッシング詐欺メールが来たということがわかります
ショッピングサイトに登録したメールに、銀行やクレジット会社からメールが来るわけがありません
ドメインとサーバーを借りている人なら、登録用のメールはほぼ無制限同等に簡単につくれます
クレジットカードやID・パスワードの不正利用・不正アクセスはたいていの場合は、利用する側の対応不足で起こっています
サーバーで行うセキュリティ対策
