つり橋を叩いて渡るタイプの少し頼りない
ぶるろまんです(笑)
あなたのWordPress、セキュリティ対策されていますか?
昨今パスワードや指紋認証、顔認証、
こういったセキュリティ対策に需要があるということは?そう。
あなたの血と涙の結晶であるWordPressが、
データを破壊されたり…
ドメインを乗っ取られたり…
プログラムを仕込まれたり…
非常に恐ろしいですよね。資産が一瞬で消えてしまったら…。
こんな事が無いように、事前に安全な対策をしておこうよ!
ただWordPress初心者は『セキュリティ対策』というと、
大丈夫!
初心者でも、簡単で万全にセキュリティ対策できるプラグインがありますの
目次
不正アクセスってどんな悪質な手口なのか?
不正アクセスは、どういった手口で攻撃してくるのか?
このあらゆる方法を知っておきましょう。もうね、驚愕ですよ!気をつけて!!
1. ブルートレインフォースアタック(総当たり攻撃)
こんなキッチリ名前がある事にもびっくりしましたが…。
ブラックなツールやソフトを使い、IDやパスワー
使われているツールは様々でしょうけど、
世も末。マトリックスの世界ですよ!
2. リスト攻撃
ハッカーが、あらかじめ入手しているIDやパスワードでログインを試みる手法。入手先は不明ですけど、実際に使用されているID、パスワードですので・・危険であることは間違いなし!
3. セッションハイジャック
乗っ取りからの『なりすまし』によって、
4. ウィルス攻撃
この方法は様々です。代表的なのは、
5. DDoS攻撃
不正ログインに成功した後の話。相手は、
恐ろしい…。
もうね、ホンマのイタチごっこ。
でもそうは言ってられないでしょ!?
僕がオススメするセキュリティ対策プラグインは一択!
WordPressセキュリティ対策プラグイン「SiteGua
最初に言っておきますが、
ですが、無料なうえに数々の安全対策は施されていて『設定が簡単』
WordPress初心者は、「まずコレ!」
SiteGua
実際にプラグインSiteGuard WP Pluginをインストールしましょう。
①WordPress管理画面の「プラグイン」をクリック。
②下メニューにある「新規追加」をクリック。
③プラグイン名検索キーワードへ「SiteGuard WP Plugin」と入力。
④SiteGuard WP Pluginを「今すぐインストール」でインストール完了。
インストール完了後、「有効化」をクリックしましょう。
WordPress管理画面に「SiteGuard」とあるので、マウスオン。すると、右にメニューが表示されるので、「ダッシュボード」をクリックします。
「SiteGuard WP Plugin」ダッシュボードの設定方法
ダッシュボードのデフォルト画面。ここから9つのセキュリティーを細かく設定できますので、1つずつ解説していきます。
管理ページアクセス制限
推奨:ON
管理ページ(/wp-admin/以降)に対する攻撃から防御するための機能です。
ログインが行われていない接続元IPアドレスに対して、管理ページのアクセスを404(Not Found)で返します。
ログインすると、接続元IPアドレスが記録され、当該ページのアクセスを許可します。
24時間以上ログインが行われない接続元IPアドレスは、順次削除されます。この機能を除外するURL(/wp-admin/以降)を指定することができます。
WordPress管理画面のURL「http(s):あなたのドメイン/wp-admin/」ですが、ここへの不正ログインを防止する。一番推奨できるセキュリティー設定ですね。
ログインページ変更
推奨:ON
ブルートフォース攻撃、リスト攻撃等の不正にログインを試みる攻撃を受けにくくするための機能です。
ログインページ(wp-login.php)の名前を変更します。初期値は、「login_<5桁の乱数>」ですが、お好みの名前に変更することができます。
WordPressのログインページのURLは「http://ドメイン/wp-login.php」ですが、このURL自体を変更します。変更後は「http://ドメイン/login_●●●●●」(●は5ケタ数字)
万が一、この5ケタ数字を忘れてしまいログインできなくなった場合。以下フォーラムを参照してみてください。書き留めておくのが一番ですね。
[btn]SiteGuard WP Pluginヘルプ[/btn]
画像認証
推奨:ON
ブルートフォース攻撃、リスト攻撃等の不正にログインを試みる攻撃や、コメントスパムを受けにくくするための機能です。
画像認証の文字は、ひらがなと英数字が選択できます。
WordPressログイン画面は、通常ユーザー名・パスワードのみですけど、ひらがな入力を追加します。スパム対策ですね。
ログイン詳細エラーメッセージの無効化
推奨:ON
ユーザー名の存在を調査する攻撃を受けにくくするための機能です。
ログインに関するエラーメッセージがすべて同じ内容になります。ユーザー名、パスワード、画像認証のどれを間違えても同じエラーメッセージを表示します。
ログインエラーメッセージは通常、原因をきちんと究明するメッセージでくれます。が、このセキュリティーは「すべてのエラーメッセージが同じ」で表示。
本来のログインエラーが分からなくなるってわけ。すげえ!
ログインロック
推奨:ON
ブルートフォース攻撃、リスト攻撃等の不正にログインを試みる攻撃を受けにくくするための機能です。
特に、機械的な攻撃から防御するための機能です。ログインの失敗が指定期間中に指定回数に達した接続元IPアドレスを指定時間ブロックします。
ユーザーアカウント毎のロックは行いません。
指定回数でログインできないとロックをかけるセキュリティー。これも必要ですね。
ログインアラート
推奨:ON
不正なログインに気づきやすくするための機能です。ログインすると、ログインユーザーにメールが送信されます。
ログインした心当たりがないのにメールを受信した場合は、不正なログインを疑ってください。
管理画面にログインしたアラートを知らせてくれるセキュリティー。あなた以外にログインしていないのに通知が!?すばやく異常に気付けます。
フェールワンス
推奨:OFF
リスト攻撃を受けにくくするための機能です。正しいログイン情報を入力しても、1回だけログインが失敗します。
5秒以降、60秒以内に再度正しいログイン情報を入力すると、ログインが成功します。
正しいログイン方法であっても、1度必ず失敗するというセキュリティー。これはさすがに面倒。外していても良いかなと。
XMLRPC防御
推奨:ON
Pingback機能を無効化する、あるいはXMLRPC全体( xmlrpc.php )を無効化し、悪用を防止します。
XMLRPC全体を無効化すると、XMLRPCを使用したプラグインやアプリの使用ができなくなります。支障がある場合には本機能を使わないでください。
ウェブサイト内に、訳の分からないリンクが貼られないようにするセキュリティー。サーバーダウンを狙った攻撃。Pingbackへチェックを入れて、ONにしましょう。
更新通知
推奨:ON
セキュリティの基本は、常に最新のバージョンを使用することです。WordPress、プラグイン、テーマの更新が必要になった場合に、管理者にメールで通知します。更新の確認は、24時間毎に実行されます。
プラグイン自体の更新通知。これはありがたい。常に最新のプラグインで強力なセキュリティーを維持できますよね。
WAFチューニングサポート
推奨:OFF
WebサーバーにJP-Secure製のWAF ( SiteGuard Lite ) が導入されている場合に、WordPress内での誤検知(正常なアクセスなのに、403エラーが発生する等)を回避するためのルールを作成する機能です。
WAFは、Webサーバーに対する外部からの攻撃を防ぎますが、WordPressの機能や、プラグインの機能によっては、WAFが攻撃でないのに攻撃と判断して、その機能をブロックする場合があります。
除外ルールを作成することで、特定の機能での誤検知を防ぎつつ、全体としてのWAFの防御機能を活かすことができます。
このセキュリティーは、プラグイン開発元「JP-Secure」が提供しているWAFというサービスの付加設定機能セキュリティー。
WAFがなければOFFで。
まとめ
WordPressセキュリティーは大事。
だって、一瞬にして何年もの年月で資産にしてきたブログやウェブサイトが『無くなる』事だってあるわけだから。
設定を説明してきましたけど、簡単だったでしょ??
セキュリティー対策がまだなら、ぜひ活用してくださいね!