本記事では、以下の内容を解説します。
本記事の内容
・WordPressのセキュリティ対策とは?
・プラグインは何がおすすめ?
・具体的な対策とは?
この3つを中心に解説してみます。
1.セキュリティの大切さが分かります。
2.おすすめのプラグインが分かります。
この記事を書いている人
やっと50記事書けた駆け出しブロガーです。雑記形式で、日々勉強になったことをブログを通じて共有しています。一生懸命記事を執筆しています。
目次
セキュリティ対策は万全?もう一度見直そう!
それだと、海外からWordPressの乗っ取りの被害にあうことになります。せっかく時間をかけ、苦労してサイト運営をしていても、乗っ取られてしまったら全てが水の泡です…。
こちらは、僕が運営している当サイトの2019年1月のアクセスです。もともとアクセス自体は多くなく…(T_T)一日で2~3アクセスしかありません。
そんな時に急激にアクセスが増えていて、「わー!ついに日の目を浴びるのか!!」と喜んでいたら大間違いでした。
結果としては、海外からのワードプレス管理画面へのアクセスが集中しているような状況でした。あとちょっとで乗っ取りにあっていた可能性があります。
昨年、注意喚起したサイバー攻撃者のWordpressへの不正ログイン試行などで収集されてしまったメールアドレスとパスワードのセットは、Wordpressの乗っ取りだけでなく、闇サイトにて高額で取引されます。
面倒でもパスワードの変更、ログインページURLの変更などやっておくことをおすすめします。
— 上林賢司@Genussmittel (@SmartphoneLifeK) 2019年1月18日
上林賢司@Genussmittel @SmartphoneLifeK
こちらの方も昨年から注意喚起をしてくださっていました。
なんと、乗っ取りに合うと、これまで労苦を共に過ごしてきたブログとサヨナラすることになり、挙句の果てには高額で売りに出されてしまうそうです。
そんなことになったら、悔やんでも悔やみきれません。
最悪に事態に備えて、もう一度セキュリティを見直しましょう!
WordPressのセキュリティ対策とは?
手っ取り早い方法はプラグインに頼ることです。安全には変えられません。
導入すべき最低限のプラグインはこれです。
プラグインを入れれば、一生安全性が確保されるという訳ではありません。残念ながら人が作ったものなので欠陥やシステムのバグなどの隙間を縫って、悪い人はあの手この手で侵入を試みてきます。
日ごろからバックアップを行い、パスワードは他人に予測されない安全性の高いものを使用しましょう。
乗っ取りにあってしまったら、めんどくさいなんて言っていられないくらい大変です。悔しくて泣いちゃうし、次の日何もできなくなってしまいます。
SiteGuard WP Plugin
SiteGuard WP Pluginという、「管理ページとログインへの攻撃からの保護に特化したプラグインです。」説明にもあるように、このプラグインを導入します。
WordPressは全世界でも使用されていて、初心者の僕でも問題なく運営できるほど素晴らしいソフトです。
もしWordPressのログインURLを変更していないよ!という方は、この記事は3分くらいで読めるので最後まで見て行ってください。
WordPressのログインURLって、大体以下のようになっていると思います。
「 http://○○○.com/wp-admin/ 」
WordPressのログインURLは、取得した独自ドメインのURLの末尾に「wp-login.php」をつけたURLで、プラグインなどを入れて変更しない限りはみんな一緒です。
この〇〇〇に入る部分は独自ドメインなので、サイトを見れば誰だって分かってしまいます。なので〇〇〇を入力すれば、誰でも他人のWordPressのログイン画面に行けてしまうんです!
あとは、IDとパスワードを適当に入力するか、解析ツールを使用したり、サイトを読み込むなどすればアッと言う間にログインからの、乗っ取りの完了です!
誰かが苦労して積み上げてきた苦労を、一瞬にして奪い取る泥棒行為です!!
本当に酷いです。
そうならないように、ダッシュボードのログインURLを変更してしまいましょう。
やり方
先ずは、SiteGuard WP Pluginをインストールして有効化します。
続いて、プラグイン→SiteGuard→ログインページ変更に進みます。
①ONでOK!
②この部分の白い枠の中を任意のURLに変更します。
※ここは絶対誰にも教えちゃダメです!
③後は設定変更を忘れずにポチッと押して完了です!
とっても簡単なので、WordPressでブログを始めたよ!という方は、必ずこのプラグインを入れておきましょう。
あと、このプラグインを導入するとログイン画面がこんな感じになります。
上のように「ひらがな」を入力しないとログインできないようになります。
乗っ取りは海外からの被害が多く、対策としては日本語のひらがなすら理解できない人向けになってしまう為、決してセキュリティが高いか?と言われると、万全ではありませんが現状十分な気はします。
SiteGuardを使って、①ログインURLの変更、②ログイン画面にひと手間加える、これだけでなかなかセキュリティが向上すると思います(‘◇’)ゞ
もし、もっといろいろ追加して鉄壁で誰も突破させんぞぉ!!という方は、ここをいじってみてください。
ダッシュボードからは、「他にどんな機能を追加するか」ということが決められます。
更に、画像認証も追加できるので心配な方はここもいじっておくことをおすすめします。
ただ、ログインする際にちょっとだけ手間が増えるので、そういったことがめんどくさいなと思っているかたは、一度ログインURLを変更してアクセスの様子を見てみてください。
Edit Author Slug
二つ目は、Edit Author Slugです。
こちらは、投稿者アーカイブを別の名前に変えることができるプラグインです。
投稿者アーカイブとは?
投稿者アーカイブとは、簡単に言うと「ユーザー名」です。
一つ上のプラグインでもセキュリティ、特にログインについて説明しましたが、ログインする際にユーザー名を使っているという人も多いのではないでしょうか。
もしそうだった場合に、この投稿者アーカイブを変更しておかないとログインのIDやパスワードを予測されやすくなってしまうことになります。
WordPressではこの投稿者アーカイブ(ユーザー名)が様々な所に出てしまいます。
ここを見ると確認できます。
このページを見て、恐らくほとんどの人は①と②の文字が同じだと思います。
これだと危ない状態です。
理想は①と②の名前を違うものに変更することです。
①は特性上変更できないので、②を①と違う名前に変更すればOK!!
意識して変更していない人は、恐らく予測されやすい、または外部に個人情報を漏洩していることになります。
まずプラグインでこの投稿者アーカイブを変更してしまいましょう。
やり方
先ず、Edit Author Slugをインストールします。
次に設定→Edit Author Slugとクリックして進みます。
①の文字列を変更して②で確定すれば終了です!
これで、投稿者アーカイブ(ほぼユーザー名)が外部に露出しなくなりました。
WordPressは特性上、他人に知られては困る個人情報が丸出しになっています。
これで悪意を持った第三者からの乗っ取りに、また一つ対策を講じることができました。
もしも乗っ取られてしまった時
乗っ取られると何もできなくなってしまいます。ただ、乗っ取りがWordPressだけだったらまだ救いがあるようです。
サーバーにログインし、そこから全データを消去し、復旧するという方法があります。
ただ、バックアップは残しているか?ということが大変大前提になります。
日ごろからの小まめなバックアップを行いましょう。
BackWPup
念のため、こちらも載せておきます。
ご存知、BackWPup – WordPress Backup Pluginです。
WordPressでブログ運営をされている方であればご存知だと思いますが、つい最近お知り合いになった方にお話を伺っていたら「バックアップのプラグインは落としているけど、落としただけ」という人に出会いました。
僕も最初、すごく勝手なのですが、このプラグインは落としておけば自動的に全てやってくれるものだと思い込んでいましたw
僕のようにトンチンカンな人はいないと思いますが、プラグインは落としただけでは働いてくれないのできちんと初期設定してくださいね。
やり方
まずダッシュボードのサイドメニューから、BackWPup – WordPress Backup Pluginを選択します。
表示は、BackWPupと出ています。
まず手動でバックアップする設定をします。
「新規ジョブを追加」という箇所をクリックします。
「このジョブの名前」という箇所については、『これからバックアップ用のデータ作るけど、なんて名前にする?』と聞かれている状況です。
自分が保存するデータが何なのか分かればOkなので、名前を付けましょう。
「バックアップファイルの作成」も、上と同じように名前を付けますがそのままでもOKです。
僕は、運営サイトの名前をデフォルト(最初から入力されていた文字列)の文字列の前に追加して使っています。
次に、「アーカイブ形式」ですがWindowsであればZip、MacであればTar GZipを選択します。
「バックアップファイルの保存方法」については、フォルダーへバックアップを選びます。
最後に「ログファイル」です。ここは、デフォルト(最初から入力されている文字列)でOKです。
(そのまま公開すると僕の個人情報がダダ洩れになっちゃうので、上の画像では変更しています。)
最後に設定を保存を押して終了です。
続いて、自動でバックアップをしてくれるよう設定します。
自動でバックアップの設定
次に「スケジュール」というシートを選択して設定をします。
こちらはすぐ終わります。
「ジョブの開始方法」は、 WordPress の cronというところにチェックを入れます。
続いて、自動でいつバックアップをしてもらうかを決めます。
「スケジューラーの種類」はそのまま基本にしておきます。
下の「スケジューラー」ですが、ここでいつバックアップをお願いするか決めます。
理想は毎日ですが、毎日バックアップをとっているとどうしても重くなってしまうので、月に一度か、週に一度のどちらかがおすすめです。
バックアップは大事な作業なので、管理者が寝ていたり、作業しない時間帯を選んで時間を決めましょう。
次に「宛先:フォルダー」のシートまで飛びます。
DBバックアップ、ファイル、プラグインは触らなくてOKです。
上の図を見ながら必要項目を入力します。
「ファイルを消去」は、説明にもありますが、フォルダーに保存するファイルの数なので上の図のように「15」と入力すると「15回まではバックアップを保存しておいてやるぜ。ただし、古くなった奴から消していくからな!」ということです。
何故か僕は15回保存しといてくれや!
とお願いしています。10くらいを入力しておけば大丈夫です。
これで、設定が終わりました。次は実際に初のバックアップの作成を手動で行います。
先ほど「どうやって、どこにバックアップを作成するか」ということを決めました。
次は決めた設定通りに手動でポチッとバックアップを作成します。
先ほど作ったジョブにカーソルを合わせると「今すぐ実行」という項目が出てきます。
そこをポチッとクリックすればOK!!
すると、左から右にバックアップが開始されます。画像の赤枠の様に100%になっていればOKです。
これで決めた設定に従ってバックアップが完了しました。
次に、今保存したバックアップをPCやハードディスク、USBなどにダウンロードします。プラグインのバックアップだけでも十分ですが念のため他の場所にも残しておきましょう。
ただ、悪戯に保存するところを増やすのは嫌だ!
と言う方は、やらなくてもOKです。保存した外部メモリなど紛失したら意味がありませんからね。そういう意味では、保存先を増やすのは確かにリスクです。
「バックアップ」を選択します。
後は、任意の保存場所に「ダウンロード」をクリックして保存すればOKです。
これで、プラグインと、任意の保存先にバックアップを取ることができます。
他にもっと簡単なプラグインや、やり方があると思います。「バックアップ?ナニソレ?」という人は参考にしてみてください。
もし乗っ取りが発覚したら…サーバーのデータを消去する(全て)
もし乗っ取られてしまったら、WordPressのダッシュボードにログインできない場合がほとんどです。
乗っとる悪い奴は、セキュリティを突破して乗っ取りが成功すると取り返されないように対策をすると言われています。
なので契約しているサーバー側でやれることをやります。
僕が説明するより、詳しくサーバー側での基本のバックアップ方法や流れが解説されています。
サーバーにログインして、全てを消し、それからバックアップから復旧するという手順を行う他ないのです。
無事に復旧出来たら、今度はセキュリティを強化します。プラグインの導入や、パスワードを変更しましょう。
そうしないとイタチごっこになり兼ねません。また乗っ取られたらしんどすぎます。
逆に、サーバー側が乗っ取りに合う可能性も有る為、パスワードはめんどうでもちょっと複雑なパスワードにした方が無難だということになります。
大文字、小文字、数字を組み合わせ、かつ10文字以上にしておくと安心です。
おさらい
記事のポイントをまとめます。
・アクセスが多くても少なくても、必ずセキュリティを強化しましょう。
・海外からのアタック(攻撃)の可能性があるので、定期的にアナリティクスを見てどの地域、言語からのアクセスが多いのか注意しましょう。
・バックアップも必要になるので、定期的にバックアップして最悪の事態に備えましょう。
Twitterなどでも注意喚起をしてくださっている人が多くいらっしゃいます。
そう仰らず、見直すだけで良いのでやってみてください。
それでは、皆さんの素敵なブログライフがあらんことを…。
【おわり】
