MENU

【2020年版】WordPressのセキュリティを強化しよう!

ブログノウハウ
2020.04.30
  1. ホーム
  2. オウンドメディア
  3. ブログ
  4. ブログノウハウ
  5. 【2020年版】WordPressのセキュリティを強化しよう!
ワードプレスのセキュリティを強化していく!

にゃんばんわ、ぽじねこです。

今年のGWは外出自粛モードなので
家にいる間にブログのセキュリティについて
見直してみるというのはいかがでしょうか。

この記事はWordPressでブログ運営している人向けです

まず、WordPressでブログ運営していると
どういったセキュリティリスクに晒されるのか
おさらいしていきましょう。

あまり難しくならないように解説していくよ!

目次

WordPressのセキュリティリスク

WordPressはオープンソースのプログラムなので
基本的に素のままで使っていると構造がバレます

管理画面のURLとかも変えないとバレバレだよ!

脆弱性がある部分に対して
不正ログインなどの攻撃を受けやすく
これに対して運営者は対策を打っていく必要があります。

まずはセキュリティ診断を使って
自分のブログに脆弱性がないか確認しましょう。

WPSec.com
WPSec.com | Online WordPress Security Scan for Vulnerabilities
WPSec.com | Online WordPress Security Scan for VulnerabilitiesWPSec.com is an online WordPress security scan for detecting and reporting WordPress vulnerabilities.

WPSECならURLを入れるだけで診断できるよ~

WordPressのセキュリティを強化する

WordPressのログインページのURLを変更する

真っ先にやるべき対策としてはこれです。

なぜなら、デフォルトの状態では
ブログにログインするURLがバレバレなので
ブルートフォースアタックの入り口はこちら
という感じで、攻撃してくれと言ってるようなものだからです

https://自分のブログドメイン/wp-admin

デフォルトだとURLが必ずこうなってるから
めっちゃ危ないのがわかるよね!

そこで、以下のプラグインを導入して
ログインURLを変更しておきましょう。

WordPress.org 日本語
Login rebuilderThis plugin will create a new login page for your site. The new login page can be placed in any directory. You can also create separate login pages fo …

英単語や数字の推測しやすいものはダメ!
ランダムな英数字の配列とかにしておこうね~

【ブルートフォースアタックとは】
別名「総当たり攻撃」
ログインページでIDとパスワードを
順番に入力していくことで強引にログイン試行する
古典的だが侮れないサイバー攻撃のこと。

プラグイン「SiteGuard WP Plugin」を使う

まずはWordPressにインストールするだけで
セキュリティ向上できるお手軽プラグイン
「SiteGuard WP Plugin」を使ってみましょう。

あわせて読みたい
SiteGuard WP Plugin – WebセキュリティのEGセキュアソリューションズ

実際に使える機能はこちら!

  • 管理ページアクセス制限
  • ログインページ変更
  • 画像認証(ログインページに画像認証追加)
  • ログイン詳細エラーメッセージ無効化
  • ログインロック(失敗を繰り返すとログインロック)
  • ログインアラート
  • フェールワンス(正しい入力をしても一回失敗を出力)
  • XMLRPC防御
  • 更新通知
  • WAFチューニングサポート(WAF除外ルールの作成)
  • 詳細設定(IPアドレス取得方法の設定)
  • ログイン履歴

フェールワンスはデフォルトではOFFですが
二段階認証などを導入しないのであれば
これをONにしておくことで総当たり攻撃を
弱体化できるところもポイントです。

WordPressのアップデートを定期的に行う

管理画面のダッシュボードに行くと
サイドバーに「更新」という欄がありますが
更新情報があるときには数字アイコンがつきます。

これは2種類の可能性があって
プラグインかワードプレスそのものの
アップデートがあるんだよ~ってお知らせなの!

レイアウト崩れやエディタの違いなどから
アップデートをためらう人もいるかもしれませんが
WPのバージョンアップは脆弱性対策も含まれますので

しっかりとアップデートを定期的に行いつつ
不便になってしまう部分が発生してしまうのであれば
そこはカスタマイズやプラグインで補いましょう。

ユーザー名を「admin」のままにしない

WordPressはデフォルトでは
アカウントのユーザー名が「admin」となっており
このまま利用することはとても危険です。

ユーザー名は変更ができないため
以下の手順でユーザー名を取り替えておきましょう

ユーザー⇒新規作成⇒古いユーザーの削除

でも、ちょっと待った!
この操作をする前に
次に話すことをやってからにしてね!

投稿者アーカイブを無効化しておく

ユーザー名を変えたところで
投稿者アーカイブが公開されていた場合
やっぱりユーザー名はバレてしまいます

これを入力するとURLにがっつり名前が…
自分のページで試してみて!

サイトURL/?author=1

無対策の場合は記事の最後に
ユーザー名が書かれてしまうこともあり
こちらの対策を先に行ってから
新しいIDに変える手順がおすすめです

WordPress.org
Edit Author Slug
Edit Author SlugAllows an admin (or capable user) to edit the author slug of a user, and change the author base.

このプラグインだとスラッグそのものを編集出来て
ユーザー名と別のものにできるからお手軽だよ~

ここまでしないとパスワード総当たりだけの
ブルートフォースアタックによって
不正ログインされる可能性がグッと高まるので
面倒だとは思いますが我慢して設定しましょう。

「Google Authenticator」で二段階認証にする

WordPressにログインする際に
「Google Authenticator」を導入して
既存のIDとパスワードの入力だけではなく
スマホアプリ上のワンタイムパスワードを入力しないと
ログインができなくなるという設定です。

WordPress.org 日本語
miniOrange's Google Authenticator – WordPress Two Factor Authentication – 2FA , Two Factor, OTP SMS ...
miniOrange's Google Authenticator – WordPress Two Factor Authentication – 2FA , Two Factor, OTP SMS …Google Authenticator is a user-friendly plugin that allows you to add two-factor authentication – 2FA for your users to secure your site’s login page.

このプラグインで実現できるよ!
金融系のサービスなんかは二段階認証が常識だし
オンラインゲームでもよくあるでしょ~
やっぱりこれくらいしないとアカウントは守れないよね!

まとめ:基本的なことはここまで

他にもデータベースの不正操作をする
「SQLインジェクション」などの攻撃も有名ですが
WAF対策をするとブログに不具合がでるケースも多く
ここから先はサーバ環境など含め個々の対策となります

ぶっちゃけ突き詰めていくと
ブログって複雑なこと多いんだ~
それの対策も楽しめる人ならいいんだけど…!

あとは、自分のPC自体にバックドアを仕込まれるなど
不正アクセスの入り口を与えないように
身近なところから対策を打っていきましょう

  • 常に最新化されたセキュリティソフトを入れる
  • IDとパスワードは同じものを絶対に使わない
  • 怪しいメールには触らない

こういうのって自分がやられてからじゃないと
実感がわかないと思うんだけど
ブログのっとられたりしたら悲しいから
初心者のうちからでも絶対に対策した方がいいよ!

かしこ。

  
ブログノウハウ
ワードプレスのセキュリティを強化していく!

この記事が気に入ったら
フォローしてね!

よかったらシェアしてね!

この記事を書いた人

ぽじねこのアバター ぽじねこ

バーチャルブロガー2年生。
自分のブログだから「この記事を書いた人」は全部私です!
仮想通貨をはじめとするプロモーション記事にも対応中。
執筆依頼など、各種お問い合わせはフォームからどうぞ。

関連記事

目次
閉じる