WordPressセキュリティ強化中。対策内容とおすすめセキュリティプラグイン紹介
このブログではアフィリエイト・アドセンス広告を利用しています
当ブログでは、アドセンス・アフィリエイト広告を掲載しています。
消費者庁が発表しているルールに沿って記事を作成していますが、問題のある表現を見つけた際にはご連絡ください。
世界中で多くのユーザーに利用されているWordPressだからこそ、弱小ブログだろうが日夜関係なく悪質な攻撃を受け続けてしまいます。
セキュリティプラグインで攻撃ログを確認してみたところ、不安になる攻撃が目立ったため、WordPressのセキュリティをさらに強化するための対策を追加したところです。
実施中のセキュリティ対策や、実際に利用しているWordPressセキュリティプラグインの特徴をまとめてみました。
目次(読みたいところへジャンプ!)
WordPress最大のデメリット
利用者が多いWordPressだからこそ、毎日世界中から攻撃をされている記録を目にします。こんな小さな小さな個人ブログにも関わらず。
攻撃してくる相手は、プログラムで自動実行されるbotだから、アクセスの少ない個人ブログとか関係ないんですよね。機械的にWordPressを利用しているサイトを徘徊しながら攻撃しているだけ。
セキュリティ対策プラグインが攻撃を防御したログなのですが、攻撃を受けているのは事実であり、気持ちが良いものではありません。
WordPressのセキュリティ対策は万全ですか?
攻撃を受けた時に、弱い部分(セキュリティホール)があると、サイトが改竄されてしまったり、乗っ取られてしまう危険性もあります。
WordPressのセキュリティを高めるための手段は複数あり、私が実際に取り入れている方法は、この15点です。
- WordPressのバージョンを最新に保つ
- プラグインのバージョンを最新に保つ
- テーマのバージョンを最新に保つ(未使用テーマも)
- 何年も更新されていないプラグインを使用しない
- 使わなくなったプラグインはすぐに削除する
- 脆弱性が発見されたプラグインの使用を再検討する
- セキュリティ対策プラグインの設定をキツめに
- セキュリティ対策プラグインで日々の攻撃をチェックする
- 重要なWordPressファイルの直接アクセスを禁止する(wp-config.php, .htaccess, user.ini, xmlrpc.php他)
- レンタルサーバーのセキュリティ対策機能を設定する
- 複数箇所にバックアップを取る
- 管理画面にログインできるIPアドレスを制限する
- ログイン画面を2段階認証にする
- ユーザー名とニックネームを別にしてニックネーム表示にする
- .htaccessファイルでHTTPセキュリティヘッダー設定する
これだけ対策をしていても、十分とは言えません。
攻撃してくるクラッカーの方が私よりも何枚も上手なので、ブログを書く前に直近の攻撃パターンやIPアドレスをチェックして、対策をさらに追加しているような状況です。
WordPressのセキュリティ対策プラグイン
WordPressでブログ運営しているなら必須のセキュリティプラグイン。
あなたが利用中のプラグインはどれでしょうか?
無料の範囲でも充分に使えるおすすめWordPressセキュリティプラグインを4つ紹介します。
どのプラグインを選んでも、最低限のセキュリティ対策ができます。
SiteGuard WP Plugin
- 管理ページIPアクセス制限
- ログイン試行制限
- ログインURL変更
- ログイン画面画像認証追加
- ログインエラーメッセージの無効化
- /?author=N禁止
- XML-RPC無効化
- REST API無効化
全体的にカバーしてくれるプラグイン。
日本企業が作ったプラグインのため、英語が苦手な方に特におすすめ。
All In One WP Security & Firewall
- IP アドレスブロック、ユーザーブロック
- ファイルのパーミッション設定
- ログイン画面制限(IPアドレス、時間)
- 監視ログ(ユーザー名、IP アドレス、ログイン・ログアウト日時)
- データベースプレフィックス変更
- .htaccessファイル設定
- ログインURL変更
- ログイン画面 CAPTCHA
- コピー制限
全体的にカバーしてくれるプラグイン。
右クリックでのコピーを制限できるのが他にないため、無断転載や複製が気になるサイトにおすすめ。
iThemes Security
- 悪意のあるトラフィックを識別してブロック(ネットワーク・ブルートフォース保護)
- ファイル変更の検出
- ファイルのパーミッション設定
- 常時SSL化(httpsリダイレクト)
- IP アドレスブロック
- ログインエラーメッセージ非表示
- ログイン2段階認証
- データベースプレフィックス変更
- User=1をランダムな数字へ変更
- ログインURL変更
- XML-RPC無効化
全体的にカバーしてくれて攻撃を自動でブロックしてくれるプラグイン。
攻撃対策を強化したい人におすすめ。
Wordfence Security
- 悪意のあるトラフィックを識別してブロック
- 悪質なコードやコンテンツを含むリクエストをブロック
- ファイル変更の検出
- リアルタイム監視ログ(発信元、IPアドレス、時間帯、サイト滞在時間)
- IP アドレスブロック
- ログインエラーメッセージ非表示
- ログイン試行制限
- ログイン2段階認証
- ログイン画面 CAPTCHA
- /?author=N禁止
攻撃を自動でブロックしてくれて攻撃ログもチェックできるプラグイン。
WordPressコアファイルやプラグイン書換えを検知してくれるので改竄対策を強化したい人におすすめ。
WordPressのセキュリティを見直してみませんか
攻撃してくる相手は、24時間365日休まずに攻撃をしてきます。
攻撃方法も進化しているため、WordPressをインストールした時に設定したまま放置では、安心してブログ運用はできません。
WordPressのセキュリティプラグインの設定を定期的に見直したり、最新の脆弱性情報をチェックするようにすると、乗っ取りや改竄といった最悪な状況が発生する可能性を少しでも減らすことができます。
記事を更新することがブログ運営では一番大切なことではありますが、たまには安全対策チェックもしてみてはいかがでしょうか。