- 2019年8月20日
- セキュリティについて
WordPressセキュリティ被害に合わない為の予防対策
「Wordpressのセキュリティ対策って?まだはじめたばかりで何から手をつけて良いのかわからない…。」
そんな方の為に、WordPressのセキュリティ対策で最低限やっておくべきことを一通りお伝えします。
WordPress初心者の方にご参考になれば幸いです。
予測しやすいユーザー名を使わないようにする
ユーザー名が予測されやすいと、不正ログインの被害に遭う恐れがあります。
あなたが使用しているWordPressのユーザー名は予測されにくいでしょうか?
念のために、以下のチェックリストで安全性を確認してみてください。
・英字/数字/記号が混在した組み合わせになっている
・意味のある単語を使っておらず、英数字は羅列になっている ・ユーザー名は初期設定の「admin」から変更している ・ユーザー名が長い |
上記の条件に当てはまる数が多いほど、セキュリティの強さは高まります。
どれか一つでも不足している箇所が見つかったら、その点を踏まえて変更しましょう。
IPアドレス制限をかける
IPアドレスというのは、インターネットを使用する際にパソコンやスマホに割り振られる住所のようなものです。
ネットワーク上に繋がっているあらゆる機器の中から、通信の送信先を間違えないように特定する為に使用されます。
お使いのIPアドレスだけがログインできるように設定をすれば、それ以外のIPアドレスからはログイン画面にアクセスができないようになります。
つまり、ブラウザ上で攻撃できないように大きな壁を作ることができるのです。
– WordPress上のIPアドレス制限のかけ方 –
(1).htaccessを開く
「.htaccess」というファイルでIPアドレス制限を設定できます。
.htaccessはwp-login.phpと同じ階層に存在します。
※.htaccessが見当たらない場合は、隠しファイルの状態になっている可能性があります。
お使いのパソコン端末やFTPソフトの設定で、隠しファイルが非表示なるように設定されていないかチェックしてみてください。
(2).htaccessのバックアップを取っておく
.htaccessはサーバーに関する設定が記述されているとても大事なファイルです。
編集中に誤ってファイル自体を消去したり、中身の重要な記述を消してしまったということが無いようにコピーしてバックアップを取っておきましょう。
(3).htaccessを編集する
先頭に以下を追記します。
Order deny,allow
Deny from all Allow from xxx.xxx.xxx.xxx |
xxx.xxx.xxx.xxxをご自身でお使いのIPアドレスに変更しましょう。
これでIPアドレスを制限できました。
補足になりますが、今自分の使っているIPアドレスは以下のサイトで確認もできます。
https://www.ugtop.com/spill.shtml
【!】IPアドレス制限を設定する上での注意点
お使いのIPアドレスが固定IPアドレスでないとこの方法は使えません。
動的IPアドレスの場合はIPアドレスがいつ変わるか分からない為です。
制限をかけた後にIPアドレスが変わってしまうと、ログインができなくなってしまいます。
ですので、制限をかける前にお使いのIPアドレスが固定IPアドレスか確認する必要があります。
公式のテーマやプラグインを使用する
WordPressのテーマとプラグインは無数に存在します。
その分、セキュリティ上危険なものも少なくありません。
公式のものであればセキュリティに関して厳しくチェックされているので安心して使用できます。
公式のテーマやプラグインはWordPressの公式サイトに登録されています。
詳しくは下記をご覧ください。
公式テーマの確認はこちら
→https://ja.wordpress.org/themes/
公式プラグインの確認はこちら
→https://ja.wordpress.org/plugins/
WordPress本体やテーマのアップデートをする
バージョンのアップデートをして最新の状態にするようにしましょう。
セキュリティ的に危険な箇所が見つかると、プログラムが修正されてアップデートできるようになります。
ですので、バージョンが古いままですとセキュリティ上の問題を抱えたままの状態で利用していることになるかもしれません。
WordPressのアップデート方法は2種類あります。
「メジャーアップデート」と「マイナーアップデート」です。
両者の大きな違いは手動か自動かです。
メジャーアップデートは手動でボタンを押して更新する必要があります。
こちらは主に機能面や画面のレイアウトが変わります。
気をつけたいのが、メジャーアップデートの場合は古いプラグインですと更新後に使えなくなるリスクがあります。
一方、マイナーアップデートは自動で更新してくれます。
ですので管理者は特に何もしなくても、勝手にアップデートされた状態になります。
こちらは主にセキュリティ上の不具合を修正する為に行われます。
WordPressセキュリティ対策のためのおすすめプラグイン
WP初心者にオススメ「SiteGuard WP Plugin」
主に不正ログインを防ぐ為のプラグインです。
具体的な機能としては、以下になります。
・ログインページのURL変更
→ デフォルトのwp-login.phpにアクセスできないように、名前を変更することができます。
・管理ページアクセス制限
→ログインしていない攻撃者がURLを直接打ち込んで、対象の管理画面にアクセスできないようにする機能です
・画像認証
→不正なプログラムを使ってログインするのではなく、人間がしっかり入力してログインしていることを確かめられる機能です
初心者でも簡単にできるような設定になっています。
セキュリティの診断ができる「Wordfence Security」
あなたのWordpressのセキュリティの強度を診断できるプラグインです。
WPに脆弱性が発見されたら、それの詳細を表示してくれます。
また、WPの訪問者をリアルタイムで解析できるLiveTrafficという機能があります。
これにより、悪意のあるユーザーを探すことができます。
全体的なセキュリティ対策ができる「All In One WP Security & Firewall」
さまざまな種類のセキュリティに対策を打てるのがこのプラグインの特徴です。
具体的な機能としては以下になります。
・データベースや.htaccessファイル、wp-config.phpファイルをバックアップできる
・管理者ログインに使用するユーザー名を変更できる
・お使いのパスワードを解読するのにかかる時間を表示できる(パスワードの安全性を確認)
・ブラックリストに指定したユーザーをWPにアクセスできないようにする
・予測しやすいログイン画面のURL(…/wp-login.php)を変更できる
・ログインしているユーザー以外はサイトを閲覧できないようにする(メンテナンス中などに便利)
・WPサイト内でコピーや右クリック、テキストの選択ができないようにする
・外部からの攻撃を遮断できる
このように、包括的にセキュリティ対策に対応できるので安心です。
まとめ
以上、WordPressの基本的なセキュリティ対策についてご紹介しました。
今回の内容をまとめると以下になります。
・予測されにくいユーザー名やパスワードを設定する
(単語になっておらず、英字数字記号が混在したもの) ・お使いのIPアドレス以外でアクセスできないようにすることにより、セキュリティを強化できる ・テーマやプラグインは公式のものを使用し、常にアップデートをしておく ・セキュリティ対策用のプラグインを導入しておく |
基本的なセキュリティ対策を打っておくことで、あなたとあなたのWPのユーザーを守ることができます。
このようにWPセキュリティの予防方法を知っておくのは大切なことです。
ですが、万が一セキュリティ被害に合った場合はどのように対応すべきかまで知っておくと、何かあってもすぐに動くことができ、被害の拡大を防ぐことができますよね。
ということで、次回は「セキュリティ被害で個人情報漏洩に合った時の対応方法」についてお伝えしていきたいと思います。
参考URL:
【要注意!!】WordPressのセキュリティ対策プラグイン6選
WordPressの不正ログイン対策8つと誤った対策方法について
【2019年最新】WordPressのセキュリティ対策は万全?6つのサイト防衛策
SiteGuard WP Pluginの設定方法と使い方!無料で使える画像認証でWordPressのセキュリティをアップしよう