今回の記事は以下の内容になります。
- ワードプレスを運用するのであればセキュリティ関係の対策は必須です。まずは基本的な不正ログイン対策から始め、慣れてきたところで順に強化していくことをお勧めします。
- プラグイン「Login LockDown」を使用することで、不正ログインに遭った際に自動でロックをかけることができます。
このカテゴリー(独学ワードプレス)では、ウェブマガジン『GOKUI』編集長の渡辺が独学でワードプレスを学びながら、ウェブマガジン『GOKUI DIY - Creative and Minimum Life -』を構築していく過程や、その後のサイト運営について紹介しています。
僕がこのウェブマガジンの運営を始めるにあたり、最初に取り組んだことは以下の3つです。
ワードプレスでサイトやブログを始めるために決めなければならない3つのこと
| 【1】 | サイト名を決めて、それに合わせた独自ドメインを決めること |
| 【2】 | レンタルサーバーを決めること |
| 【3】 | ワードプレスのテーマを決めること |
その次は、以下の5ステップによってワードプレスを使ったサイトの基礎を構築しました。
WordPressでサイト&ブログを始める5ステップ
| 【1】 | 独自ドメインを取得する |
| 【2】 | レンタルサーバーと契約する |
| 【3】 | 独自ドメインとレンタルサーバーを紐づける |
| 【4】 | レンタルサーバーにワードプレスをインストールする |
| 【5】 | ワードプレスにテーマをインストールする |
今はこの段階ですね。
そしてここからは、インストールしたワードプレスに対して初期設定を進めていきます。
設定項目はたくさんあるので、初期設定の概念とか分類分けについては難しいところではあるのですが、あくまでも独断と偏見で以下の12項目に絞り、以後数回に分けて記事にしていこうと考えていますのでよろしくお願いします。
ワードプレスをインストール後、最初にやるべき12のこと
| 【1】 | サイトアドレスの設定 |
| 【2】 | サイトタイトルの設定 |
| 【3】 | キャッチフレーズの設定 |
| 【4】 | フロントページの設定 |
| 【5】 | パーマリンクの設定 |
| 【6】 | スパム対策 |
| 【7】 | サイトマップの設定 |
| 【8】 | サーバー容量節約対策 |
| 【9】 | 不正ログイン対策 |
| 【10】 | googleインデックス対策 |
| 【11】 | スカイクレイピング対策 |
| 【12】 | Ping送信の設定 |
前回までに【1】~【8】まで終了しましたので、今回は【9】不正ログイン対策をしていきます。
ワードプレスは狙われやすい
ワードプレス(WordPress)は非常に優れたプログラムですが、オープンソースであることや世界中に多くのユーザーがいることから、悪意のあるハッカーから攻撃を受けやすい傾向にあります。
攻撃を受けサイトの内容を勝手に改ざんされると、元の状態に復旧するために相当の時間や労力が奪われるだけでなく、サイトそのものの信用まで失われてしまいます。
またマルチウエアを仕込まれたり個人情報が漏らされるといった被害者になるだけでなく、場合によっては犯罪の加害者に仕立て上げられる可能性も無いとは言えません。
自分でワードプレスを運用するのであれば、その辺りも全て自己責任ではありますが、取り返しのつかないことにならないように、運用開始直後から最低限のセキュリティ対策はしておきましょう。
基本的な不正ログイン対策を6つ紹介します
不正ログインへの対策は数多くありますが、余りに複雑すぎると自分でも管理できなくなってしまうので、ワードプレス運用開始時は基本的な対策から始めておき、慣れてきたら順に対策を強化していくと良いと思います。
今回は基本的な対策6つを紹介します。
①IDを特定されないようにする
ワードプレスをインストールした直後は、ログイン用のユーザー名とブログ上の表示名が同一になっているため、見る人が見ればログイン用のユーザー名を簡単に割り出せてしまいます。
ログイン用のユーザー名は変更出来ませんが、ブログ上の表示名は簡単に変更できるので、最初の記事を投稿する前に変更してしまいましょう。
1)ワードプレス管理画面>ユーザー>変更したいユーザーを選択>編集と進むと名前を変更するところがあります。
2)デフォルトではユーザー名、ニックネーム、ブログ上の表示名に同じ文字列が入っています。
3)ユーザー名は変更できないのでそのままにしておき、ニックネームのところに好きな名前を入力します。
4)するとブログ上の表示名のところで、3)で入力した名前を選択できるようになるので変更して終了です。
②特定されにくい強力なパスワードを設定する
1)ワードプレス管理画面>ユーザー>変更したいユーザーを選択>編集と進むとパスワードを設定するところがあります。
2)「パスワードを生成する」をクリックすると、下の画像のようにパスワードを入力する画面が出てきます。
入力したパスワードは「非常に弱い」「弱い」「普通」「強力」の4段階で評価してくれるので、忘れない程度に強力なパスワードを設定しておきましょう。
③ワードプレスのインストール先のサブディレクトリ名を工夫する
ワードプレスをインストールするディレクトリは、ドメイン直下 (ルートディレクトリ)だとWordPressの脆弱性を利用した不正アクセス攻撃を受けやすいとも言われているので、サブディレクトリがおすすめです。
またサブディレクトリの名称についても、レンタルサーバー会社がデフォルトで設定しているwpとかWordPressといった分かりやすいものは避けた方が良いと思います。
サブディレクトリへのインストール方法等についてはこの記事で紹介しています。
④プラグイン「Login LockDown」を導入する
プラグイン「Login LockDown」を導入することで、悪意のある攻撃を受けた際に自動でロックを掛ける等、サイトを守る体制を構築することができます。
まずはプラグイン「Login LockDown」をワードプレスにインストールします。
1)ワードプレスの管理画面から、プラグイン>新規追加と進み、プラグインを追加する画面を表示させます。
キーワード右の空欄に「Login LockDown」と入力すると、Login LockDownが表示されるので、「今すぐインストール」をクリックしてインストールします。
2)インストールが終わったら「有効化」をクリックします。
3)ワードプレスの管理画面から設定>Login LockDownに進むと、「Login LockDown」 の細かな設定ができます。
基本的にデフォルトの状態でOKですが、セキュリティを高めたい場合には以下を参考に設定してみて下さい。
【Max Login Retries】
ログインをトライできる回数を設定できます。
数字を小さくするほどセキュリティが高まります。
【Retry Time Period Restriction (minutes)】
ログインに失敗した回数がリセットされるまでの時間を設定できます。
時間を長くするほどセキュリティが高まります。
【Lockout Length (minutes)】
万が一ロックがかかってしまった場合に、解除されるまでの時間を設定できます。
時間を長くするほどセキュリティが高まります。
【Lockout Invalid Usernames?】
ユーザー名の間違いも失敗回数に含むかどうかを設定できます。
YESを選択した方がセキュリティが高まります。
【Mask Login Errors?】
ログインに失敗した理由がユーザー名なのかパスワードなのかを表示します。
NOの方がセキュリティが高まります。
【Show Credit Link?】
Login LockDownを使用していることを表示するかどうかを設定できます。
NOを選択することでセキュリティが高まります。
⑤ワードプレスやプラグインを常に最新の状態にしておく
ワードプレスはオープンソースとして運営されているため、世界中の悪意のあるハッカーが常に脆弱性を探り、それを利用した不正行為を企んでいます。
ワードプレスの開発者は常にそうした不正行為に目を配り、脆弱性を無くすためのアップデートを繰り返しています。
古いバージョンのままワードプレスを使うことは、悪意のあるハッカーのために入り口の扉を開放しているのと同じことを意味するので、常に最新の状態を保つように心がけましょう。
プラグインも同じ理由で最新の状態を保つ必要があります。
⑥定期的にバックアップをとる
上記①~⑤で不正ログイン対策をしたものの、不正なログインを必ず防止できるとは限らないので、万が一のためにもバックアップは定期的にとっておきましょう。
バックアップ用のプラグインを使用してスケジュールを組み自動でバックアップをとることもできますが、安定性がイマイチだと良く耳にするので、僕は確実性を求めて手動で行っています。
手動バックアップする際には「サーバーデータ」と「データベース」の2つのデータを取る必要があります。
「サーバーデータ」にはWinSCP等のFTPソフトから、「データベース」にはレンタルサーバー会社の管理画面からアクセスすることができます。
順に説明します。
「サーバーデータ」のバックアップ方法
「サーバーデータ」のバックアップ方法は、僕が使っている WinSCP というFTPソフトで説明します。
WinSCPの設定についてはこちらの記事で紹介しています
1) WinSCP にログインしてサーバーデータにアクセスします。
2)左側がローカル環境(PC)で右側がサーバーデータになります。
右側のサーバーデータの中からバックアップしたいディレクトリを探し、左側のローカル環境(PC)にドラッグアンドドロップでコピーするだけでサーバーデータのバックアップは完了です。
「データベース」のバックアップ方法
「データベース」のバックアップは、僕のサイトを管理しているエックスサーバーを例に説明します。
基本的にどのレンタルサーバーでも似たような方法だと思います。
1)エックスサーバーのサーバーパネルにログインしてデータベース> MySQLバックアップをクリックします。
2)手動バックアップのタブを選択し、バックアップしたいデータベースの圧縮形式を指定したら「エクスポート実行」をクリックします。
3)自動でダウンロードが始まり、PCのローカルフォルダ(ダウンロードフォルダ等)に保存されます。
4)ダウンロードされたファイルを分かりやすい場所に分かりやすい名前を付けて保管しておきましょう。
まとめ
セキュリティ対策は「ここまでやれば安心」というラインはありませんが、今回はワードプレス運用における基本的な対策を6つ紹介しました。
当サイトでもセキュリティ対策は最重要項目だと考えているので、今後強化していく過程も含めて紹介していきたいと考えています。
次回は【10】googleインデックス対策を紹介する予定です。