こんにちは、ひつじ先輩 (@baacash_)です。
この記事では、WordPressのリスクと不正ログイン対策について書きます。
無料ブログと比べて、WordPressなら余計な広告は入らないし、カスタマイズも細かくできます。
そんなWordPressのデメリットは、セキュリティ面のリスクでしょう。
企業が運営するサービスであれば、そうした管理はプロがやってくれます。
しかし、個人のWordPressではセキュリティを自分で確保しないといけません。
そこでこの記事では、月間5万PV規模の当ブログで行っているリスク対策を書きます。
特別な知識はいらない内容です。
ぜひ、読んでみてください。
WordPressのリスク
WordPressのリスクは、不正ログインされやすいことです。
通常、ログインするためのページがインターネットから誰でも見れるようになっています。
ID・パスワードがバレると、ログインされてしまいます。
ログインさえしてしまえば、サイトの内容を変え放題です。
- 勝手に広告を入れられる
- ドメインを勝手に売られる
- 迷惑メールの送信に使われる
といった被害が考えられます。
不正ログイン対策
- 更新する
- ログインIDを隠す
- パスワードを複雑に
- ログイン試行を制限
- WAFを有効に
- IP制限
の6つです。
すべてやるのがベストですが、最低でも4まではやることおすすめします。
1.更新する
WordPress自体に脆弱性があると、攻撃されるかもしれません。
- WordPress
- プラグイン
- WordPressテーマ
を最新の状態に更新します。
わたしは週に1度、アップデートをチェックするようにしています。
2.ログインIDを隠す
WordPressでは、最初はログインIDが公開されています。
IDとパスワードが分かるとログインされるため、まずIDを隠します。
ニックネームを設定
まず、投稿した記事の下の方。
コメント欄のあたりに書いた人が表示されますが、これがログインIDになっています。
「ダッシュボード」→「ユーザ」→「あなたのプロフィール」で変えられます。
ニックネームを設定し、「プロフィールを更新」をクリック。
「ブログ上の表示名」でニックネームを選び、さらに「プロフィールを更新」で完了です。
著者のアーカイブページ
自分が書いた記事の一覧ページのURL。
ここで、ログインIDが表示されてしまいます。
画像の「n_fx」というところです。
Edit Author Slugというプラグインで変えられます。
インストール後、「ダッシュボード」→「ユーザ」→「あなたのプロフィール」へ。
「カスタム設定」をえらび、適当な名前にしましょう。
「プロフィールを更新」をクリックすれば、完了です。
3.パスワードを複雑に
言葉を組み合わせる、などではなくランダムな長い文字列がベスト。
他のサービスで使っているパスワードは使わず、
- WordPress
- レンタルサーバ
それぞれに、別のパスワードを設定します。
パスワードを作るのには、このページが便利です。
このページが100%絶対安全!とは言い切れません。
出てきた文字列を、さらにいじくってから設定しましょう。
4.ログイン試行を制限
ログインに何度か失敗すると、ログインできないようにするプラグインを2つ紹介します。
ブルートフォースアタック※への対策になります。
SiteGuard WP Plugin
ログイン制限については、シンプルです。
この画像の場合、5秒以内に3回ログインに失敗すると1分間ログインできなくなります。
このプラグインには、他にもセキュリティ面の機能がたくさんあります。
とくに、ログインに画像認証を追加する機能がすばらしいです。
文字を読んで入力しないといけないので、自動化がむずかしいです。
また、日本語の「ひらがな」なので海外のハッカーはやる気をなくすでしょう。
Login LockDown
こちらは、ログイン試行の制限に特化したプラグイン。
英語ですが、SiteGuardより自由度は高いです。
設定できることは6つで、
- Max Login Retries→ログインできなくなるまでの失敗回数
- Retry Time Period Restriction (minutes)→失敗回数を何分記録するか
- Lockout Length (minutes)→何分間ログインできなくするか
- Lockout Invalid Usernames?→無効なユーザ名の失敗をカウントするか
- Mask Login Errors?→ログイン失敗理由を表示させないようにするか?
- Show Credit Link?→Login LockDownの使用を明示するか?
という意味です。
5.WAFを有効に
Webサーバの前面に配置して通信を解析し、Webアプリケーションの脆弱性を突いた攻撃からWebサイトを守るためのセキュリティ対策(引用元)
です。
WordPressそのものに脆弱性があったとしても、アクセスをはじくことができます。
設定は、レンタルサーバからできます。
設定したほうがいいのですが、デメリットも。
WAFのせいで、設定が保存できない!
ということがたまにあるのです。
- ウィジェットでHTMLコードを保存できない
- テーマの設定が保存できない
などが起きたときは、WAFが原因のことが多いです。
一時的に外しましょう。
外れるのには、数分かかります。
少しめんどうですが、セキュリティのためならやむなしです。
6.IP制限
特定のIPアドレス(接続元)からのアクセスだけを、許可します。
ログイン以外にも、WordPressの構成ファイルへの直接のアクセスを防ぎます。
サーバーにあるWordPressのファイルのうち、「.htaccess」というファイルを編集します。
「.htaccess」の一番上(# BEGIN WordPress より上)に、以下のコードを貼ります。
<Files ~ “^\.(htaccess|htpasswd)$”>
deny from all
</Files>Options -Indexes
<Files wp-login.php>
Order deny,allow
Deny from all
Allow from 00.00.00.00
</Files>Order deny,allow
Deny from all
Allow from 00.00.00.00<FilesMatch “^(wp-config\.php|wp-cron\.php)”>
order allow,deny
deny from all
</FilesMatch><IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^xmlrpc\.php$ “http\:\/\/0\.0\.0\.0\/” [R=301,L]
</IfModule>
(引用元:WordPressのセキュリティを高める.htaccessの設定)
00.00.00.00のところは、自分のIPアドレスに書きかえましょう。
これで、自分のIPアドレスからはアクセス可能になります。
自分のIPアドレスが変わったときは、「.htaccess」を忘れずに書きかえます。
自分のIPアドレスは、こちらで見られます。
セキュリティ対策まとめ
WordPressのリスク
ID・パスワードがバレてしまうと、ログインされてしまうこと。
- 勝手に広告を入れられる
- ドメインを勝手に売られる
- 迷惑メールの送信に使われる
といった被害が考えられる。
不正ログイン対策
- 更新する
- IDを隠す
- パスワードを複雑に
- ログイン試行を制限
- WAFを有効に
- IP制限
の6つ。
最低でも4まではやるのがおすすめ。
Evernoteで、画像の編集をすることができます。
とても便利なのですが、使い方が悪いと隠したつもりの部分が見えてしまうリスクも。
ぜひ、読んでみてください。
ワードプレスブログを作ったばかりの人に読んで欲しい記事リストは、この記事にあります。
