あなたのWordPress、大丈夫? 初心者向けWordPressセキュリティ設定

セキュリティ
  1. ホーム
  2. セキュリティ
  3. あなたのWordPress、大丈夫? 初心者向けWordPressセキュリティ設定

WordPressは、
世界で1番人気のあるCMS(ブログ用ソフト)です。

そのため・・・残念ですが、
悪意のある人から

攻撃される場合があります。

安全対策、していますか?

 

WordPressは、セキュリティが弱い?

こちらは、2017年2月のニュースですが
WordPressの乗っ取りが150万件を超えたそうです。

WordPressサイトの改ざん被害は150万件超に
http://www.itmedia.co.jp/enterprise/articles/1702/13/news045.html

 


あび

うわー、150万件も!?
WordPressってそんなにあぶないの?


村重

それだけWordPressを使ってる人が多いってことだよ。
リスクはどのブログシステムでも同じだよ。

 

この時は、WordPressに弱点が見つかったので
バージョンアップが行われたのですが、

バージョンアップをしていない人が改ざんの被害に遭いました。

最新バージョンにしておけば、防げたということなんですね。

 

対策1 常に最新にバージョンアップしておく

 

WordPress本体のバージョンアップ

バージョンアップには
セキュリティの更新が含まれることが多いので、
常に最新の状態にしておくことが、やはり大切なんですね。

WordPress本体は、セキュリティの更新は
自動的に行ってくれるようになっているので、心配はいりませんよ。

 

プラグインのバージョンアップ

本体は良いのですが、
プラグインは自動的に更新されません。

更新のお知らせが出ていたら、早めにバージョンアップしたいですね。

ただ、プラグインのバージョンアップでトラブルが起こる可能性もあります。
念のため、定期的にバックアップをとる設定をしておいてくださいね。

バックアップのやり方はこちらの記事をどうぞ

 ↓ ↓ ↓

WordPressを無料でバックアップする方法【BackWPup】&【Dropbox】

※追伸

プラグインを、最新にするのも大切なのですが、
古いプラグインは気がついたら何年も更新されていないものがあります。

目安として、2年以上更新されていないプラグインは、
残念ですが使わないほうが良いですね。

 

どんな被害に備えたらいいの?

実際に、どんな攻撃がされて
どんな被害が出ているのか少し調べてみました。

 

コンピュータウイルス・不正アクセスの届出状況および相談状況
https://www.ipa.go.jp/security/txt/2018/q1outline.html

不正アクセスの原因は
ID/パスワード管理不備、というのが多いようです。

 

2017年の不正アクセス、最多原因は「管理の甘さ」 警察庁調べ
https://is702.jp/news/3298/

ID・パスワードの管理の甘さが指摘されていました。

 

 

IDとパスワード、しっかり管理していますか?

愛猫:しま
しま

ちゃんと覚えてるよ!


村重

そういうことじゃない(笑)

 

ちゃんとメモしてますか?ではなくて
推測されやすいものにしていませんか?ということです。

ログインIDにニックネームを使ったり
数字とアルファベットだけの単純なパスワードにしたり
さらには、他のサイトと同じID・パスワードだったり。

(私やってました・・・)

単純なパスワードを使っていると、
セキュリティ設定がいくらしっかりしていても

片っ端からいろんなパスワードを試す 、
「辞書攻撃」「総当たり攻撃」などで
ログインされてしまう場合があるんです。

 

対策2 IDとパスワードを複雑なものに変える。

そのため、簡単に推測されないパスワードにするだけで
大半の攻撃を防ぐことができるようになります。

難しいパスワードの作り方は、

・アルファベット・数字・記号まで使った長いもの
・意味のある英単語は使わない

などがポイントです。

複雑なパスワードを作ってくれる
こんな便利なサイトもありますよ。
http://www.luft.co.jp/cgi/randam.php

総当たり攻撃に使われるのはほぼ英語なので、
日本語をアルファベット表記するのもいいんだとか

例:nekoとかkawausoとか

ただ、海外ではポケモン人気らしいのでsatoshiはよくないそうです
(ポケモンの主人公の男の子がサトシなので(笑))

 

対策3 サイトをSSL化する

あとは、何度かお話していますが
サイトの通信を暗号化する「SSL化」も必ずしておいてくださいね。

SSL化についてはこちらをご覧ください。
 ↓ ↓ ↓

SSLって何?「https」になっていますか?必ず設定しておきたいセキュリティ【エックスサーバー編】

 

 

 

この3つができたら、あとは
レンタルサーバーの力を借りちゃいましょう。

 

レンタルサーバーのセキュリティ設定

ぜひご利用いただきたい、おすすめの機能がこちらです^^

いろんなセキュリティのプラグインもあるのですが、
レンタルサーバーでも用意してくれているので
どんなサービスがあるか、確認してぜひそれを活用しましょう!

海外からの(主要ファイルへの)アクセス禁止

悪質なアクセス・攻撃は海外からがほとんどですので
海外からはWordPressの主要なデータに
アクセスできなくする機能があるんです。あ

これは、サーバー会社によって名称が異なります。
お使いのサーバー会社のサイトを確認してみてくださいね。

例)

エックスサーバー・・・国外IP アクセス制限
ロリポップ・・・海外アタックガード
さくらサーバー・・・国外IPアドレスフィルタ

※この設定は、大事なファイルの書き換えを防止するだけで、
サイトは海外からもちゃんと見れますのでご安心ください^^

 

サーバーのセキュリティには、あともう一つあるのですが、
こちらは必要な機能まで制限することがあるので
あまり使わないほうがいいかもしれません。

一応ご紹介しておきますね。

WAF(ウェブアプリケーションファイアーウォール)

不正アクセスを遮断してくれる機能なのですが・・・

初期設定ではOFFになっています。


※画像はエックスサーバーの画面です

 

試しにONにしてみたら、ブログ記事の「更新」が
できなくなったこともありました。

セキュリティを高くしすぎると
いろいろトラブルになる可能性もありますね。

【注意点】

この機能をONにすると、反映するまで1時間ほどかかります。
そのため、トラブルが起きても気づくのに時間がかかります。

トラブルに気づいて、OFFに戻したら、これも反映するのに1時間ほどかかります。
すぐに治りません。キビシーです。

よほどセキュリティ対策でお困りの場合に、
時間のあるときに他に影響がないか、テストしてみないといけませんので
ちょっとおすすめしづらいです。

こちら、私ももっと研究してみたいと思います。

 

さて、最後のは余談でしたが、

・最新の状態にする
・2年以上更新されていないプラグインは使わない
・IDとパスワードを複雑なものにする
・SSL化する
・海外アクセスを遮断する

ということから、初めてみてくださいね。

もし、パスワードの変更や、
最新の状態にする、という対策が難しい方は
セキュリティのプラグインを使う方法もあります。

合わせてこちらの記事もご覧ください。

WordPressセキュリティを強化したい方へ 設定はこれ1つでOK! プラグインSiteGuardサイトガード