おはようございます。じぇいかわさきです。
初心者ブロガーのあなたが、wordpressでブログ
を始めた時にセキュリティ対策として絶対に実施する3つのことについてお話します。
なぜなら、レンタルサーバーを使用してブログを運用するに当たり、不正アクセスを受けて内容を改竄されたりすることを防ぐのは運用している人の義務になると思います。
セキュリティ対策だけは、始めたばかりで何も分からないとも言っていられませんので、最低限の対策を一緒に実施していきましょう。
wordpressセキュリティ対策として必ず実施すること

wordpressにてブログを運営していくにあたり、最低限必ず実施しておくべきことが3つあります。
それは
-
wordpress及びインストールしているプラグイン
は常に最新版にしておく
-
不要なプラグインを削除する
-
設定ファイルへのアクセスを制限する
この3つについては、特殊な設定も何も必要がなく常識的な事です。
wordpress及びインストールしているプラグインは常に最新版にしておく(MUST)
Windowsだって、macOSだって最新版に常にしているでしょう。全く同じことですね。
レンタルサーバーのOSはLinuxなどが使用されていると思ますが、そちらはレンタルサーバー会社が常にメンテナンスをして最新の状態を維持してくれていると思います。
しかし、そのうえで使用するアプリケーションについては、使用者が管理していかなければなりません。
古いものを使用していると、セキュリティホールが残ったままで、そこを悪気の有る人達は狙ってきますから、常に最新状態を保ちましょう。
不要なプラグインを削除する (推奨)
こちらも基本的な考え方は同じです。
使用しようと考えてインストールしたプラグインですが、他のプラグインとの相性が悪かったり、思った性能を発揮してくれなかったりすると、そのまま使用停止にしていると思います。
悪意のある人は、何か穴が開いていないかを常にチェックして、針の穴でも見つければそこを突いて攻撃してきます。
従って、使用していないので稼働はしていませんが、万が一のことに備えて使用していないプラグインについては削除しておいた方が良いでしょう。
設定ファイルへのアクセスを制限する (MUST)
wordpressをインストールしたときに使用したファイルと、wordpress全体の設定を行うファイルの2つについては、ファイルのアクセス権を変更して外部からアクセスしても変更ができないようにする。
対象のファイルは、wordpress全体の設定をしている.htaccessと、wordpressをインストールしたときに使用したwp-config.phpの2つです。
wordpressセキュリティ対策で実用的な物 (MUST)

それでは、更に高度で実用的な物を紹介していきます。
プラグインを1つ入れる事により、幾つものガードを設定することができます。

そのプラグインは、JP-Secureが作成している「SiteGurad WP Plugin」になります。
日本製のために、説明内容も分かりやすく信頼がおけるプラグインだと思っております。
過去にサラッとですが、こちらで紹介しております。
https://daini-no-jinsei.jp/blog/wordpress-setup/
このプラグインの良いところと使うべき機能としては以下になります。
-
ログインURLを変更できる
-
ログインの失敗回数を制限できる
-
ログイン画面に画像認証を追加できる
となります。
1.ログインURLを変更できる
wordpressのログインURLは、実は固定となっておりますのでwordpressをちょっと調べればURLは分かってしまいます。
そうすると、一斉攻撃の対象になりやすくなるので、URLを変更することによりそのリスクを軽減することができるのです。
操作もとっても簡単で、SiteGuardにマウスを合わせると、メニューが開きますので、その中でログインページ変更を選ぶだけで完了です。
こんな簡単な2アクションで、自動的にログインページが変更されます。
オリジナルのログインURLにアクセスすると、404表示により見えなくなっております。

これは簡単にログインページを隠せるね!
2.ログインの失敗回数を制限できる
そもそも、SiteGuardをインストールしただけでこの機能は有効になっているんです。
初期値としては5秒間の間に3回入力を間違えると、1分間の間ログイン状態がロックされてログインできなくなります。
これもSiteGuardのメニューからログインロックを選ぶことにより、設定値の変更ができるようになるんです。
変更できるのは
ログインロック期間 : 1秒、5秒(初期値)、30秒
ログインロック回数 : 3回(初期値)、10回、100回
ロック時間 : 30秒、1分(初期値)、5分
この組み合わせでいろいろと変更が可能です。

組み合わせが多くて安心だよね。
3.ログイン画面に画像認証を追加できる
画像認証を追加することにより、ログイン時にロボットなどの機械による入力を防御することができるようになり、これも設定をONするだけで直ぐ使用できます。
この画像認識を追加できるのは、ログインページだけでなく全部で4つのページで使用可能です。
- ログインページ
- コメントページ
- パスワード確認ページ
- ユーザー登録ページ
以上の4つになりますが、各々のページでひらがな、英数字、無効の3つから選択が可能です。
wordpressセキュリティ対策まとめ

実は、wordpressはセキュリティが弱いと言われている部分もあるようですが、それは対策がされていない素の状態で使用しているからなんです。
どんなに頑丈に作られているOSやアプリと言っても、所詮は人間が作成した物である限り、間違いや忘れは必ず存在しております。
その存在が有る事を前提にして考える必要があり、今回は初心者のあなたでも最低限実施しておけば、大きな問題に直面することは無いという設定を選んで紹介しました。
もう一度繰り返しになりますが、wordpressを使用したブログ初心者は、まず最初に以下の3つを実行する。
-
wordpress及びインストールしているプラグインは常に最新版にしておく
-
不要なプラグインを削除する
-
設定ファイルへのアクセスを制限する
そして、SuiteGuardのプラグインだけは絶対にインストールし、以下の3つを最低限有効にする。
-
ログインURLを変更できる
-
ログインの失敗回数を制限できる
-
ログイン画面に画像認証を追加できる
それ以外の設定については、JP-Secureのサイトで説明書をよく読んでから、機能をONにしていきましょう。
上記の3つについては、まず問題は発生しないと思っております。
※ほかの項目では、ONにより変な不具合が発生する可能性もあり、初心者の場合には対応が難しい項目も有りますので、最低限上記3つでも大丈夫だと思います。
折角始めたブログで、乗っ取りに有ったり改竄されたり、攻撃の踏み台になったりしては心が折れてしまい、ブログは楽しくないなってなってしまいます。
これはブログと言うより、ネットワークリテラシーの問題なのですが、実行している人から見たら同じですね。
気分よく日頃の運営を実行していくためにも、上記のセキュリティ対策は必ず実行するようにしましょう。
