世界中で使われているWordPressはサイバー攻撃の標的になりやすいため、誰でも攻撃される可能性があります。
攻撃されるまでは軽く考えている人が多いのですが、わりと頻繁に起こることです。
改ざんや乗っ取り、不正アクセスなどの被害にあったり、最悪の場合、サーバーまで破壊されてしまいます。
セキュリティのすべてを理解することは難しいですが、可能な範囲でセキュリティ対策をしておくことが重要になってきます。
サーバーのセキュリティ設定
セキュリティ対策には、サーバー側で設定するものもあります。
IDS/IPS
IDSは「侵入探知システム」、IPSは「侵入防止システム」です。どちらも不正アクセスによる侵入を防ぐための仕組みです。
Firewall
内部のネットワークに不正アクセスが入らないよう防御するための仕組みです。ポートスキャンなどの攻撃に有効な対策です。
WAF
Web アプリケーションの脆弱性を突く不正な攻撃を防御するセキュリティシステムです。SQL インジェクションやクロスサイトスクリプティング(XSS)に対応できます。
レンタルサーバーであれば、IDS/IPS や Firewall は、レンタルサーバー業者が設定しているはずです。
WAF については、ユーザーが設定する必要がある場合が多いので、レンタルサーバーの設定を確認してください。
日々の更新作業
WordPressの新しいバージョンが見つかると、「更新」に赤丸が表示されます。数字は更新対象の数です。
左メニューの[ダッシュボード]-[更新]から、WordPress本体、テーマ、プラグインの更新ができるようになっています。
更新作業を行わないと、脆弱性を放置したままの状態になってしまいます。
更新の通知に気づいたら、早めに更新作業を行ってください。
これは、テーマの新しいバージョンが届いた時の画面です。
更新する項目にチェックをつけて、「テーマを更新」ボタンをクリックすると、自動で更新作業が開始されます。
更新の規模や通信状態にもよりますが、更新作業は、数秒から数十秒くらいで終わることがほとんどです(待っているだけです)。
WordPress本体やプラグインの更新も同様の作業になります。
セキュリティ対策用プラグイン
プラグインの中には、セキュリティ対策用のプラグインもあります。
絶対的に入れておきたいのは「ログインURLの変更」機能です。
セキュリティといってもいろいろな方法があるので、自分に必要なものを選んでください。
一部を紹介します(他にも様々なプラグインがあるので探してみてください)。
SiteGuard WP Plugin
「ログインURLの変更」「画像認証」「ログインロック」「ログインアラート」「フェールワンス機能」「ユーザー名漏洩防止機能」などの機能を備えています。おすすめです。
Login rebuilder
「ログインURLの変更」「管理者権限以外のユーザーに違うログインページを作る」「ログイン履歴の表示」「ログイン履歴にないIPからログインがあった場合に通知」「ピンバックの無効化」などの機能を備えています。
XO Security
「ログインURLの変更」「ログインのログ保存」「ログイン試行回数の制限」「ログインアラート」「画像認証」「メールアドレスでのログイン禁止」など多数の機能を備えています。
コメント