多くの方がWordpressを使用してブログを開設していると思いますが、セキュリティ対策はしていますか?
- セキュリティ対策はしたほうが良いのか
- どんな対策方法があるのか知りたい
今やネット時代と言われており、なんでもネットで解決できる一方、不正ログインなどで個人情報が抜き取られてしまう可能性もあります。
そ、それは恐ろしい・・・
危険な目に合わないためにも対策はしたほうが良いね
ここで紹介する対策は、プラグインをインストールして設定するという簡単なものですので、ぜひ導入して見てください。
- セキュリティ対策していない場合の危険性
- プラグインによるセキュリティ対策方法
では、早速見ていきましょう。
WordPress初期状態では危険
WordPressはセキュリティ対策が不十分で、初期状態のままでは危険です。
- 不正ログインによるサイト崩壊
- 記事改ざんや個人情報抜き取り など
作ったサイトを悪意のある第三者によって壊されたり、記事を改ざんされるなどの危険性が多く潜んでいます。
でもどうしてそんな危険が多いの?
ログイン時にユーザー名やパスワード入力あるのに
それだけではセキュリティ対策が不十分なんだよね
基本的にユーザー名やパスワードだけでは機械的なアクセスを排除することができません。
なのにも関わらず、WordPressではそれらを突破できてしまう危険要因があります。
- ログインURLが統一されている
- 世界中で利用している人が多い
では、1つずつ解説していきます。
ログインURLが統一されている
WordPressで最も危険度が高いものは、管理画面へのログインURLが統一されていることです。
https://(自分の決めたURL)/wp-admin/
自分のサイトURLに「wp-admin」を入力するだけで、簡単に管理画面のログインページへ到達してしまいます。
確かにこれは危険だ・・・
万が一、ユーザー名とパスワードが一致した場合、そのままサイトを操作されてしまう可能性が十分にあります。
世界中で利用している人が多い
WordPressは個人ブログだけではなく、企業サイトなどにも使われる有名なサイトです。
- 有料無料問わずテーマが豊富
- 簡単におしゃれなサイトを開設できる
- 高機能で使いやすい
こういった特徴から、初心者でも簡単に始めることができるのでよく使用されています。
その分利用者も多くなり、個人情報(名前やメールアドレス)が隠されているため、ターゲットにされやすいと言われております。
WordPressでのセキュリティ対策
作ったサイトが危険な目に会わないためには、セキュリティ対策は必須です。
WordPressで簡単に設定できる「パスワード強化」とプラグインを使用した「管理画面のURL」変更をしていきましょう。
パスワードの強化する
悪意のある第三者が管理画面へログインした場合、サイト崩壊や記事改ざんなどされてしまう可能性があります。
「ユーザー」から「プロフィール」をクリックするとパスワードを変更できますので、複雑なパスワードを設定しましょう。
強力と表示されるパスワードを設定しよう
管理画面URLの変更
悪意のある第三者にログインページへ到達されないようにするには、管理画面のURLを変更することが重要です。
https://(自分の決めたURL)/wp-admin/の「wp-admin」の部分を変更可能
しかしWordPressでは設定できないので、プラグインを使用して変更していきます。
プラグインでは、管理画面のURLだけではなく他にも設定できますので、同時に他のセキュリティも強化していきましょう。
セキュリティ対策できるプラグイン2選
セキュリティ対策できるプラグインはいくつか存在しますが、当サイトでも使用している(したことある)ものを紹介します。
- WP セキュリティ
- SiteGuard
どちらのプラグインもたくさんの設定項目がありますが、最低限設定してほしい部分のみ解説していきます。
WP セキュリティ
「All In One WP Security & Firewall」というプラグインで、総合的にセキュリティ対策することができます。
管理画面URLの変更
「総当たり攻撃」→上部のメニューバーで「ログインページの名称を変更」をクリックすると該当ページが表示されます。
赤線の引いた空白欄に、ご自身で好きな文字列を入力して設定を保存しましょう。
忘れるとログインできなくなるので、新しいログインURLはメモしておくことをおすすめします
Captchaを有効にする
ログインやパスワード変更する際に、文字認証を追加することで機械的なアクセスを排除することができる機能
「総当たり攻撃」→上部のメニューバーで「ログインCaptcha」をクリックをクリックすると該当ページが表示されます。
ログインページ、パスワード再設定で使用することができるので、両方設定しておくと良いでしょう。
設定後にログインページへ行くと、パスワード欄の下に数字で答えを入力する項目が追加されました。
答えなければログインできないので、機械的なアクセスを排除するには効果的と言われております。
ファイアーウォールを設定する
インターネットを通して侵入してくる不正なアクセスから守るための壁のようなもの
ここではファイアーウォールと遠隔操作を無効にする設定をします。
「基本的なファイアーウォール保護を有効化」と「XML-RPCへのアクセスを完全にブロック」にチェックを入れましょう。
サイト外からでも遠隔で管理画面を操作できる機能
両者をブロックしておくことで、悪意のある外部侵入を減らすことができます。
SiteGuard
「SiteGuard WP Plugin」というプラグインで、主に管理画面を守る強力な対策が豊富です。
管理ページアクセス制限
管理ページにログインできるIPアドレスを制限することで、記録のないIPアドレスからの侵入を防ぐことができます。
初期設定ではOFFになっていますので、ONにしましょう。
IPアドレスが変わると自分でもログインできなくなります
別のWi-Fiやキャリア通信ではIPアドレスが変わるので、ログインしようとすると404エラーの画面になってしまいます。
複数回線でログインする方は、回線ごとにログインして解除するようにしてください。
24時間以上ログインされていないIPアドレスは削除されるので注意
管理画面URLの変更
「ログインページの変更」をクリックすると、上記画像のページが表示されます。
赤線の引いた空白欄に、ご自身で好きな文字列を入力して変更を保存しましょう。
不安な人はメモして忘れないように
文字認証の追加で強化する
先程「WP セキュリティ」紹介したCaptchaと同様の機能を「SiteGuard」でも設定することができます。
「WP セキュリティ」との違いはコメントやユーザー登録にも使用でき、尚且つ入力する暗号を選べる点です。
設定後にログインページへ行くと、パスワード欄の下に表示された文字を入力する項目が追加されました。
ここではひらがなを採用していますが、文字列はその都度変更されランダムで表示されます。
2つのプラグインのまとめ
どちらのプラグインも設定できる内容については大きな差はありません。
ただ2つの違いをあげるとするなら、設定のしやすさはあるかなと感じました。
「WP セキュリティ」の設定画面ですが、白枠で囲った左側のメニュー項目の言葉が少し難しいのが印象です。
確かに真ん中あたりは難しい言葉が多いね
初めて設定する方ですと、どんな対策ができてどこで何を設定するのか少し難しいかもしれません。
「SiteGuard」は設定画面ですが、どんな設定ができるのか記載されているので初心者でも簡単に設定しやすいです。
WP セキュリティよりもわかりやすいね
一覧にて表示されて、設定していない項目は灰色のチェック、設定済みの項目は緑色のチェックになります。
設定した項目が見やすいのも「SiteGuard」の特徴と言えるでしょう。
まとめ
プラグインなどを使用せずWordPressのみで運営するのは、危険な状態であることを解説してきました。
ログインページのURLが統一なのはびっくりした
私も最初は知らなかったからね
まずはプラグインを使用していない方は、インストールして早めにログインURLは変更することをおすすめします。
プラグインを使用することでログイン履歴も見れるので、より安全性を高めることができるでしょう。
これは私がログインした履歴ですが、時間やIPアドレスなども確認することができます。
いつどこで不正ログインされるかわかりませんので、プラグインを活用してセキュリティ対策を強化していきましょう。
