ワードプレスでブログを始める上で気を付けておくべき自分のブログを守るのはもはや必須です。
とくにワードプレスは世界中で多くの利用者がいるので、あなたのブログを乗っ取られる可能性だってあります。
そこで自分のブログを守るためのセキュリティを強化するための方法についてご紹介しようと思います。
セキュリティが必要な理由とは?
ワードプレスは世界中で利用されているという定番のブログ作成ツールですが、その一方で多くのハッカーがあなたのブログ乗っ取りを試みようとセキュリティーを破ろうとしています。
パソコンに詳しくない人だとこういったセキュリティーが甘くなりがちなので、乗っ取られる可能性は非常に高いです。
ブログを運営してアクセスも集まり、収益が発生し始めた頃に悪意あるハッカーがあなたのブログを荒らされてしまうとどうなるでしょう。
記事や画像が削除されたり、ファイルにウイルスを仕込まれるかもしれません。
こうなってしまうと復元するのはとても大変で、今まで積み重ねてきた努力が水の泡と化してしまいます。
そうならないためにも最大限のセキュリティーを施すのはブログ運営者として必ずやっておかなくてはならない作業とも言えます。
初期状態のままでは危険!
必ずワードプレスパスワードの変更をしよう
レンタルサーバーにはワードプレスを簡単にインストールできる機能が備わっており、ここからワードプレスを使えるようになります。
設定段階でアカウント名とパスワードを設定するんですが、このままのパスワードだと覚えにくい不規則な羅列なので一見安全そうに見えますが、これだけだとセキュリティーとしては不十分です。
もちろん簡単に破られるものではありませんが、パスワードを総当たりで試そうとするツールが存在しているので、いずれは侵入される可能性はあります。
そうならないためにもアカウント名・パスワード以外にも設定しておくべきセキュリティーは必要です。
セキュリティを強化するプラグイン『Site Guard』
アカウント名とパスワード以外にも設定するべき部分はまだあります。
たとえばワードプレスのログイン画面へのURLアドレスは(ドメイン+wp-admin)で簡単にアクセスすることができるようになっています。
例えるならあなたの家の庭に鍵をかけずに自由に出入りできるようになっているようなものです。
だれでも敷地内に入れるのは非常に危険なので、簡単には入れないようにするための【門】を設置します。
ワードプレスでセキュリティを強化するために必要なプラグイン『Site Guard』をインストールすることであなたのブログをハッカーから守ることが出来ますので、ぜひ使ってみてください。
Site Guardで設定できるセキュリティー一覧
Site Guardの機能は以下の通りです。
セキュリティー一覧
- 管理ページアクセス制御
- ログインページ変更
- 画像認証
- ログイン詳細エラーメッセージの無効化
- ログインロック
- ログインアラート
- フェールワンス
- XMLRPC防御
- 更新通知
- WAFチューニングサポート
- 詳細設定
- ログイン履歴
これらがSite Guardで設定できます。
セキュリティーで必要な設定を紹介していきましょう。
ログインページ変更
ログインページ名を変更します。
ブルートフォース攻撃、リスト攻撃等の、不正にログインを試みる攻撃を受けにくくするための機能です。
ログインページの名前を変更します。
初期値は、「login_<5桁の乱数>」ですが、お好みの名前に変更することができます。
初期状態では【サイトURL/wp-admin】で誰でもログイン画面に行き着くことが出来ます。
なのでログイン画面のURLも暗証化してしまえば、不正アクセスされる可能性が大幅に下がります。
https://www.jp-secure.com/siteguard_wp_plugin/howto/rename_login/
画像認証
ログインページ、コメント投稿に画像認証を追加します。
ブルートフォース攻撃・リスト攻撃等の不正にログインを試みる攻撃や、コメントスパムを受けにくくするための機能です。
画像認証の文字は、ひらがなと英数字が選択できます。
ひらがなに設定しておけば、海外から不正アクセスされる可能性がなくなるので(海外の人は日本語がわからない)、若干面倒ですがひらがなにしておいたほうがセキュリティ上安心です。
https://www.jp-secure.com/siteguard_wp_plugin/howto/captcha/
ログイン詳細エラーメッセージの無効化
ログインエラー時の詳細なエラーメッセージに変えて、単一のメッセージを返します。
ユーザー名の存在を調査する攻撃を受けにくくするための機能です。
ログインに関するエラーメッセージがすべて同じ内容になります。
ユーザー名、パスワード、画像認証のどれを間違えても同じエラーメッセージを表示します。
https://www.jp-secure.com/siteguard_wp_plugin/howto/same_error/
ログインロック
ログイン失敗を繰り返す接続元を一定期間ロックします。
ブルートフォース攻撃、リスト攻撃等の不正にログインを試みる攻撃を受けにくくするための機能です。
特に機械的な攻撃から防御するための機能です。
ログインの失敗が指定期間中に指定回数に達した接続元IPアドレスを指定時間ブロックします。
ユーザーアカウント毎のロックは行いません。
https://www.jp-secure.com/siteguard_wp_plugin/howto/login_lock/
ログインアラート
ログインがあったことを、メールで通知します。
不正なログインに気づきやすくするための機能です。
ログインすると、ログインユーザーにメールが送信されます。
ログインした心当たりがないのにメールを受信した場合は、不正なログインを疑ってください。サブジェクトとメール本文には、次の変数が使用できます。
(サイト名:%SITENAME%、ユーザ名:%USERNAME%、日付:%DATE%、時刻:%TIME%、IPアドレス:%IPADDRESS%、ユーザーエージェント:%USERAGENT%、リファラー:%REFERER%)
XML-RPCによるアクセスは通知されません。
あくまでも設定したメールアドレスにログインされたことを通知するだけの機能なので、セキュリティが強化されるわけではありません。
使うのであれば他の機能を同時に使用したほうがいいでしょう。
https://www.jp-secure.com/siteguard_wp_plugin/howto/login_alert/
フェールワンス
正しい入力を行っても、ログインを一回失敗します。
正しいログイン情報を入力しても1回だけログインが失敗します。
5秒以降60秒以内に再度正しいログイン情報を入力すると、ログインが成功します。
この設定だけでもかなり強力なセキュリティですが、使い勝手が悪くなってしまいますので注意してください。
https://www.jp-secure.com/siteguard_wp_plugin/howto/fail_once/
おすすめの設定
どれを設定しておけばいいのかわからないという方は以下のセキュリティを設定しておけばいいでしょう。
- ログインページ変更
- 画像認証
- ログイン詳細エラーメッセージの無効化
- ログインロック
最低限この4種類をONにしておけば、簡単に侵入されることがなくなるのでオススメです。
不安であれば【フェールワンス】もいれておけばカンペキでしょう。
(使い勝手は悪くなりますが…)
ワードプレスブログは財産という認識をしておくこと
ブログを趣味でやっている方だとあまり大きく考えていないかもしれませんが、あなたがこれまで時間をかけてきたブログはこれから成長してお金を生み出す可能性がある資産です。
その資産を守るためにセキュリティを施すのは必然なので、甘く考えずにセキュリティを強化しておきましょう。
セキュリティを後回しにしてしまった結果、不正アクセスを許してしまいブログが使えなくなってからでは遅いです。
そうならないためにもバックアップと同様にセキュリティを忘れずにやっておきましょう。
