WordPress でサイトを作り公開すると、世界中からの攻撃にさらされます。
家の防犯対策が必要なように、WordPress のサイトも防犯対策が必要 です。
ポイント
本記事では、
WordPress を利用する場合の、より良いセキュリティ対策方法を紹介します。
正しく守れば恐くない!
「アフィリエイトの始め方とブログの作り方を完全解説!」はこちら
目次
セキュリティは家を守ること
家(玄関)には「カギ」が必要なように、サイト管理画面も、カギ(アカウントとパスワード)が必要です。
怪しい人がうろついていたら監視カメラをつけるように、玄関ピンポン(ログインしようとした人)の記録(ログ)を取ります。
(WordPress の)サイト運営に必要なセキュリティ対策を紹介します。
やっておきたいセキュリティ対策5選
必ず実施したい5種類の対策です。
| 対策 | 概要 |
|---|---|
| セキュリティ強化プラグインを使う | 総合的なセキュリティ強化プラグインを最低限1個使います。 |
| WordPress のテーマ、プラグインは公式のみ使う | 必ず【公式】のソフトウエアを、公式のサイトからダウンロードして使います。 |
| WordPress、テーマ、プラグインは最新版に更新する | セキュリティ対策は日々更新されていますので、最新版を使います。 |
| admin ユーザを削除する | みんな知ってるアカウント名 admin は削除します。 |
| wp-config.php のアクセス権限を変更する | 重要な情報が乗っているコンフィグファイルへのアクセスを制限します。 |
■ セキュリティ強化プラグインを使う
WordPress には数多くのセキュリティ強化プラグインが存在しますが、プラグイン1個で総合的にセキュリティを強化してくれるものを選び、導入するのがよいでしょう。
おすすめは 「SiteGuard」 プラグインです。
ポイント
「SiteGuard」 プラグインは、WordPress 管理ページとログインに対する攻撃から守るセキュリティプラグインです。
「SiteGuard」プラグインは日本製で設定画面が日本語で使いやすく、機能が充実しているのが特徴です。
セキュリティ対策のプラグインを複数設置した場合、機能が競合する可能性があります。
機能n重複を避けるためにも、統合的に多くの機能を提供しており、重要な機能が補完されている、「SiteGuard」 プラグインをおすすめします。
「SiteGuard」 プラグインを一つ導入することで、12種類の対策 をすることが可能です。
| 機能 | 概要 |
|---|---|
| 管理ページアクセス制限 | ログインしていない接続元から管理ディレクトリへのアクセスを制限します。 |
| ログインページ変更 | ログインページ名を変更します。 これは目に見えて対策できるので、かなり安心します。 |
| 画像認証 | ログインページ、コメント投稿に画像認証を追加します。 ロボットなどの自動アタックを防止する有効な手段です。 |
| ログイン詳細エラーメッセージの無効化 | ログインエラー時の詳細なエラーメッセージに変えて、単一のメッセージを返します。 解析させません。自分でもログイン失敗理由がわかりません。 |
| ログインロック | ログイン失敗を繰り返す接続元を一定期間ロックします。 マジでミスった時の待っている間は、すこし困りますが無差別攻撃に対して有効な防御手段となります。 |
| ログインアラート | ログインがあったことを、メールで通知します。 自分がログインしたメールがたくさん来ます。 |
| フェールワンス | 正しい入力を行っても、ログインを一回失敗します。 ロボットの無差別(総当たり)アタック対策としてはかなり有効。 |
| XMLRPC防御 | XMLRPCの悪用を防ぎます。 |
| 更新通知 | WordPress、プラグイン、テーマの更新が必要になった場合に、管理者にメールで通知します。 メール通知は更新を気づくトリガ(きっかけ)になります。 |
| WAFチューニングサポート | WAF の除外ルールを作成します。 |
| 詳細設定(IPアドレスの取得方法を設定) | IPアドレスの取得方法を設定します。 ・リモートアドレス ・X-Forwarded-For レベル:1 ・X-Forwarded-For レベル:2 ・X-Forwarded-For レベル:3 |
| ログイン履歴 | ログインの履歴(過去10000件)を保持し、管理画面で参照できるようにします。 |
特に、「ログインページ変更」機能は「ログインするためのURL」を変えることができるので、通常のログインURLからの無差別アタックを防止でき非常に強い対策となります。
「画像認証」はロボットによるアタック防止に強い効果を発揮しますので、必ず設定しておきたい機能です。
\ 必見!セキュリティ対策プラグイン! /
-
-
【必須】セキュリティ対策「SiteGuard」の使い方!和製プラグイン!@WordPress
WordPress セキュリティ対策プラグインはたくさんありますが、和製プレグイン 「SiteGuard」 がめっちゃおすすめです。何と言っても設定画面が日本語です。そこ大事!「SiteGuard」 プラグインの効果的な使い方を解説します。ぜひご一読、お試しくださいませ。
続きを見る
セキュリティ対策を実施し、安全安心な WordPress 運用を!
■ WordPressの テーマ、プラグイン は公式のみ使う
WordPress のテーマ、プラグインは、チェックを受けて合格したもののみ公式認定されています。
非公式のテーマ、プラグインは、最新のセキュリティ対策がとられていない(更新がない)可能性もあり、また、悪意のあるコードが埋め込まれている可能性も否定できません。
そのため、テーマ、プラグインは かならず公式のものを使います。
ポイント
非公式のテーマ、プラグインの利用は、自宅の住所とカギを見ず知らずの他人に預けるようなもの です。
かららず公式のテーマ、プラグインを使いましょう。
■ WordPress、テーマ、プラグインは最新版に更新する
悪意のあるアタッカーは常に製品の不具合(バグ)や脆弱性を狙っています。
公式のテーマ、プラグインはセキュリティ対策頻度が高く、新しい脆弱性に対しても比較的速やかにの対策されますので、できるだけ細かい頻度で最新版に更新しておくことが セキュリティ対策として重要 です。
古いバージョンを使っている場合、製品不具合や脆弱性が残っているプログラムを使い続けている可能性があるため、WordPress 本体、テーマ、プラグインは常に最新に更新しておく必要があります。
ポイント
公式のテーマ、プラグインの場合、バージョンアップが必要になると、WordPress の管理画面(ダッシュボードなど)にアラートが出ます。
定期的にチェックして、常に最新化しておきましょう。
■ admin ユーザを削除する
WordPress のディフォルト(初期)の管理者アカウントの admin は削除(利用不可)にして、別の管理者アカウントを作成して利用するようにします。
ログインするための認証には、「アカウント名」と「パスワード」が必要ですが、「アカウント名」で「admin」が有効な場合、アタッカーはパスワードのみ解析すればよくなりセキュリティレベルが下がります。
標準実装のアカウント名「admin」は 利用不可にすることをおすすめ します。
ポイント
次のレンタルサーバーサービスは、標準設定で「admin」が削除されていることを確認済みです(対策不要です)
- お名前.com
- Xserver(エックスサーバー)
- ConoHa WING
- mixhost
\ おすすめのレンタルサーバーをお探しならこちら /
-
-
IT技術者が厳選した初心者にも安心なブログ向けおすすめレンタルサーバーを比較・紹介します
ブログを始めるにあたって、適切なレンタルサーバーを選ぶことは非常に重要です。しかし、数あるレンタルサーバーの中からどれを選ぶべきか迷ってしまう方も多いのではないでしょうか。そこで、IT技術者が徹底比較検証した中から、初心者でも使いやすくコストパフォーマンスに優れたおすすめのレンタルサーバーをご紹介します。
続きを見る
IT技術者が本当におすすめのレンタルサーバーを紹介します。
■ wp-config.php のアクセス権限を変更する
「wp-config.php」 は WordPress の設定ファイルの一つである、ここには、データベースのアカウントとパスワードが記入されています。
こちらにアクセスできる権限を管理者のみ(ファイルの所有者のみ)に限定します。
ディフォルトのアクセス権限は【644】となっていますので、【600】に変更しましょう。
644って何ですか?
644 とは
- 1個目の数字は所有者の権限を示し、「6」は、Read(読み)、Write(更新)を許可しています
- 2個目はグループ、3個目はその他の権限を示し、「4」は、Read(読み)を許可しています
- 権限「0」は権限なしとなりますので、ファイルの所有者のみ読み書きができるように、権限を【600】に変更します
変更方法はレンタルサーバの提供サービス元によって変わりますが、一般的にはレンタルサーバのサービスが提供している管理画面、ファイルマネージャなど、または FTPソフト等で変更します。
ポイント
次のレンタルサーバーサービスは、標準設定で「600」になることを確認済みです(対策不要です)
- お名前.com
- Xserver(エックスサーバー)
- ConoHa WING
- mixhost
\ おすすめのレンタルサーバーをお探しならこちら /
-
-
IT技術者が厳選した初心者にも安心なブログ向けおすすめレンタルサーバーを比較・紹介します
ブログを始めるにあたって、適切なレンタルサーバーを選ぶことは非常に重要です。しかし、数あるレンタルサーバーの中からどれを選ぶべきか迷ってしまう方も多いのではないでしょうか。そこで、IT技術者が徹底比較検証した中から、初心者でも使いやすくコストパフォーマンスに優れたおすすめのレンタルサーバーをご紹介します。
続きを見る
IT技術者が本当におすすめのレンタルサーバーを紹介します。
セキュリティ対策は日々進化していますので、上記5点のみで安心せず、常に新しい情報にアンテナを張り、新しい対策を取り入れるようにしてください。
まとめ
WordPress ではセキュリティ対策が重要です。
家にカギをかけるように、WordPress のセキュリティ対策をしていきましょう!
ブログの作り方などについてココナラにて「支援作業」を販売しております。
よかったらご利用くださいませ。
Presented By Boon Boon Blog .Com
広告の設置・収入について
当サイトは Amazonのアソシエイトとして、適格販売により収入を得ています。
当サイトは Google アドセンスを利用し、広告により収入を得ています。
当サイトは ASP が提供するサービスを利用し、広告、適格販売により収入を得ています。
を紹介します。あとで困ることが無いように、一読してしっかり対策してくださいね。){kind=link}