MENU

【2020年版】WordPressのセキュリティを強化しよう!

2020 4/30
【2020年版】WordPressのセキュリティを強化しよう!

にゃんばんわ、ぽじねこです。

今年のGWは外出自粛モードなので
家にいる間にブログのセキュリティについて
見直してみるというのはいかがでしょうか。

この記事はWordPressでブログ運営している人向けです

まず、WordPressでブログ運営していると
どういったセキュリティリスクに晒されるのか

おさらいしていきましょう。

ぽじねこのアイコン画像ぽじねこ

あまり難しくならないように解説していくよ!

目次

WordPressのセキュリティリスク

WordPressはオープンソースのプログラムなので
基本的に素のままで使っていると構造がバレます

ぽじねこのアイコン画像ぽじねこ

管理画面のURLとかも変えないとバレバレだよ!

脆弱性がある部分に対して
不正ログインなどの攻撃を受けやすく

これに対して運営者は対策を打っていく必要があります。

まずはセキュリティ診断を使って
自分のブログに脆弱性がないか確認しましょう。

ぽじねこのアイコン画像ぽじねこ

WPSECならURLを入れるだけで診断できるよ~

WordPressのセキュリティを強化する

WordPressのログインページのURLを変更する

真っ先にやるべき対策としてはこれです。

なぜなら、デフォルトの状態では
ブログにログインするURLがバレバレなので
ブルートフォースアタックの入り口はこちら
という感じで、攻撃してくれと言ってるようなものだからです

https://自分のブログドメイン/wp-admin

ぽじねこのアイコン画像ぽじねこ

デフォルトだとURLが必ずこうなってるから
めっちゃ危ないのがわかるよね!

そこで、以下のプラグインを導入して
ログインURLを変更しておきましょう。

ぽじねこのアイコン画像ぽじねこ

英単語や数字の推測しやすいものはダメ!
ランダムな英数字の配列とかにしておこうね~

【ブルートフォースアタックとは】
別名「総当たり攻撃」
ログインページでIDとパスワードを
順番に入力していくことで強引にログイン試行する
古典的だが侮れないサイバー攻撃のこと。

プラグイン「SiteGuard WP Plugin」を使う

まずはWordPressにインストールするだけで
セキュリティ向上できるお手軽プラグイン
「SiteGuard WP Plugin」を使ってみましょう。

ぽじねこのアイコン画像ぽじねこ

実際に使える機能はこちら!

  • 管理ページアクセス制限
  • ログインページ変更
  • 画像認証(ログインページに画像認証追加)
  • ログイン詳細エラーメッセージ無効化
  • ログインロック(失敗を繰り返すとログインロック)
  • ログインアラート
  • フェールワンス(正しい入力をしても一回失敗を出力)
  • XMLRPC防御
  • 更新通知
  • WAFチューニングサポート(WAF除外ルールの作成)
  • 詳細設定(IPアドレス取得方法の設定)
  • ログイン履歴

フェールワンスはデフォルトではOFFですが
二段階認証などを導入しないのであれば
これをONにしておくことで総当たり攻撃を
弱体化できる
ところもポイントです。

WordPressのアップデートを定期的に行う

管理画面のダッシュボードに行くと
サイドバーに「更新」という欄がありますが
更新情報があるときには数字アイコンがつきます。

ぽじねこのアイコン画像ぽじねこ

これは2種類の可能性があって
プラグインかワードプレスそのものの
アップデートがあるんだよ~ってお知らせなの!

レイアウト崩れやエディタの違いなどから
アップデートをためらう人もいるかもしれませんが
WPのバージョンアップは脆弱性対策も含まれますので

しっかりとアップデートを定期的に行いつつ
不便になってしまう部分が発生してしまうのであれば
そこはカスタマイズやプラグインで補いましょう。

ユーザー名を「admin」のままにしない

WordPressはデフォルトでは
アカウントのユーザー名が「admin」となっており
このまま利用することはとても危険です。

ユーザー名は変更ができないため
以下の手順でユーザー名を取り替えておきましょう

ユーザー⇒新規作成⇒古いユーザーの削除

ぽじねこのアイコン画像ぽじねこ

でも、ちょっと待った!
この操作をする前に
次に話すことをやってからにしてね!

投稿者アーカイブを無効化しておく

ユーザー名を変えたところで
投稿者アーカイブが公開されていた場合
やっぱりユーザー名はバレてしまいます

ぽじねこのアイコン画像ぽじねこ

これを入力するとURLにがっつり名前が…
自分のページで試してみて!

サイトURL/?author=1

無対策の場合は記事の最後に
ユーザー名が書かれてしまうこともあり
こちらの対策を先に行ってから
新しいIDに変える手順がおすすめです

ぽじねこのアイコン画像ぽじねこ

このプラグインだとスラッグそのものを編集出来て
ユーザー名と別のものにできるからお手軽だよ~

ここまでしないとパスワード総当たりだけの
ブルートフォースアタックによって
不正ログインされる可能性がグッと高まるので
面倒だとは思いますが我慢して設定しましょう。

「Google Authenticator」で二段階認証にする

WordPressにログインする際に
「Google Authenticator」を導入して
既存のIDとパスワードの入力だけではなく
スマホアプリ上のワンタイムパスワードを入力しないと
ログインができなくなる
という設定です。

ぽじねこのアイコン画像ぽじねこ

このプラグインで実現できるよ!
金融系のサービスなんかは二段階認証が常識だし
オンラインゲームでもよくあるでしょ~
やっぱりこれくらいしないとアカウントは守れないよね!

まとめ:基本的なことはここまで

他にもデータベースの不正操作をする
「SQLインジェクション」などの攻撃も有名ですが
WAF対策をするとブログに不具合がでるケースも多く
ここから先はサーバ環境など含め個々の対策となります

ぽじねこのアイコン画像ぽじねこ

ぶっちゃけ突き詰めていくと
ブログって複雑なこと多いんだ~
それの対策も楽しめる人ならいいんだけど…!

あとは、自分のPC自体にバックドアを仕込まれるなど
不正アクセスの入り口を与えないように
身近なところから対策を打っていきましょう

  • 常に最新化されたセキュリティソフトを入れる
  • IDとパスワードは同じものを絶対に使わない
  • 怪しいメールには触らない
ぽじねこのアイコン画像ぽじねこ

こういうのって自分がやられてからじゃないと
実感がわかないと思うんだけど
ブログのっとられたりしたら悲しいから
初心者のうちからでも絶対に対策した方がいいよ!

かしこ。

  

この記事が気に入ったら
フォローしてね!

この記事を書いた人

バーチャルブロガー2年生。
自分のブログだから「この記事を書いた人」は全部私です!
仮想通貨をはじめとするプロモーション記事にも対応中。
執筆依頼など、各種お問い合わせはフォームからどうぞ。

目次
閉じる