WordPressプラグイン

WordPressセキュリティ対策プラグイン!セキュリティホールとは?

WordPressは世界中で使われている
オープンソースのブログツールであり、
脆弱性が発見されやすいという問題点があります。

※オープンソース:中身・設計図である
ソースコードが公開
されているソフトウェア

※脆弱性:セキュリティホールとも呼ぶ

そのため、「ハッカーなどに侵入され
ソースコードを改ざんされた・・・」
という問題もあるようです。

もしかしたら、あなたのサイトも知らない間に
改ざんされてるかもしれません。

改ざんされる前にWordPressの
セキュリティ強化をしておきましょう。
今回はWordPressのセキュリティ対策
を紹介します。

WordPressの基本的なセキュリティ対策

まず、WordPressの基本的な
セキュリティ対策を2つ紹介します。

  • テーマ(テンプレート)やプラグインは
    信頼性の高いものを使用する。
    ※信頼性の高いものとは公式のものだったり、
    多くの人が使用しているもの。
  • WordPress、テーマ(テンプレート)、
    プラグインは常に更新(アップデート)
    最新版にする。

上の2つは基本的なことですので、
必ず行いましょう。

WordPressおすすめセキュリティ対策

WordPressへの侵入方法として
代表的なものはブルートフォースアタック
(総当り攻撃)と呼ばれる暗号解読手法です。

これは、ユーザーIDとパスワードを
片っ端から試して
ログインする手法です。
 

ブルートフォースアタックの対策として
以下の方法をおすすめします。

  • 国外IPからのログインを制限
    → サーバーで対応
  • ログイン入力間違い回数を制限
    → サーバーで対応
  • ユーザー名と投稿者名を変更
    → WordPressの設定変更で対応
  • ユーザー名のURLを変更
    → プラグインで対応 (Edit Author Slug)
  • アクセスログを確認
    → プラグインで対応 (Crazy Bone)

順番に説明していきます。

国外IPからのログインを制限

ブルートフォースアタックをしかけるIPは
主に国外IP(海外)であることが多いです。

あなたが海外に住んでいないのであれば
国外IPからのアクセスを制限しましょう。
 

このサイトでおすすめしているサーバーの
XSERVERを使用している場合は
デフォルトでアクセス制限がされています。

XSERVERはブルートフォースアタックが
多数発生した際に、いち早く対策をしたサーバーです。

その時の通知はこちら。
→ 「WordPress国外IPアクセス制限」機能の追加について
(https://www.xserver.ne.jp/news_detail.php?view_id=1633)

 

確認方法を紹介します。

XSERVERのホームページへアクセスします。
→ エックスサーバーのホームページ
(http://www.xserver.ne.jp/)

「ログイン」にマウスを合わせ
「サーバーパネル」をクリックします。
エックスサーバーのトップページ
 

「サーバーID」と「サーバーパスワード」を入力し、
「ログイン」をクリックします。
エックスサーバーのサーバーパネルのログイン
 

「WordPressセキュリティ設定」をクリックします。
エックスサーバーのWordPressセキュリティ設定
 

「ドメイン名」の「選択する」をクリックします。
エックスサーバーのドメイン選択
 

「ダッシュボード アクセス制限」と
「XML-RPC API アクセス制限」の
現在の設定がONになっていることを確認します。
エックスサーバーのアクセス制限
 

現在の設定がOFFになっている場合は
ONに変更しましょう。

この設定で国外IPからのアクセスを
制限することができます。

※海外旅行中にアクセスしたい時は
解除する必要があります。

ログイン入力間違い回数を制限

ブルートフォースアタックは
手当たり次第にログインを行いますので、

その対策として
ログインの入力間違いの回数を制限する
ことが有効です。
これもXSERVERであれば
デフォルトで設定されています。

国外IPアクセス制限設定と同じ画面にある
「ログイン試行回数制限設定」タブを
クリックします。
WordPressセキュリティ設定でログイン試行回数制限設定ONを確認
 

現在の設定がONになっていれば
問題ありません。

ユーザー名と投稿者名を変更

WordPressのデフォルトの状態では
投稿者名がユーザー名と同一のもの
になっています。

例え、記事内に投稿者名を
表示していない状態だったとしても

投稿者名とユーザー名は変えておきましょう。
以下に投稿者名とユーザー名を
別名にする方法を紹介します。

ダッシュボードの「ユーザー」
→「あなたのプロフィール」をクリックします。
WordPressのあなたのプロフィール
 

「ユーザー名」は変更できないので、
「ニックネーム」と「ブログ上の表示名」を
「ユーザー名」と異なる名前に設定します。
WordPressのニックネームの変更
 

編集が終わったら、
「プロフィールの更新」をクリックします。
WordPressのプロフィールを更新
 

以上で、投稿者名とユーザー名を
別名にすることができます。

ユーザー名のURLを変更

WordPressのユーザー名は
簡単に確認することができてしまいます。

あなたのサイトのURLの後ろに
/?author=1」と付けたページに
アクセスしてみてください。

デフォルト状態だと
「サイトURL/author/ユーザー名/
というURLが表示され、
ユーザー名が確認できてしまいます。

ユーザー名が分かってしまうと
後はパスワードさえわかえればログインできます。

パスワードはもちろんですが、
ユーザー名も他の人には
知られないように設定しましょう。

WordPressプラグインの
「Edit Author Slug」を利用すると簡単です。

Edit Author Slugの使い方

ダッシュボードの「プラグイン」
→「新規追加」をクリックします。
WordPressダッシュボードのプラグイン-新規追加をクリック
 

「Edit Author Slug」を検索して、
「今すぐインストール」をクリックします。
WordPressのEdit-Author-Slugの検索とインストール
 

「有効化」をクリックします。
WordPressのEdit-Author-Slugの有効化
 

次にユーザー名が分からないように
スラッグ(slug, URL)を変更します。

ダッシュボードの「ユーザー」
→「あなたのプロフィール」をクリックします。
WordPressのあなたのプロフィール
 

「投稿者スラッグ」の「カスタム設定」に
チェックを付け、slugを入力したら
「プロフィールを更新」をクリックします。

※「サイトURL/author/★/」の★に入る文字です。
WordPressのEdit-Author-Slugの設定
 

以上で、URLにユーザー名が表示されなくなります。

設定が完了したら、
「/?author=1」と付けたページに
再度アクセスして確認してみてください。
設定が完了したら、
「Edit-Author-Slug」は削除しても
問題ありません。

アクセスログを記録する

WordPressプラグイン「Crazy Bone」を利用し
ログイン試行履歴を確認することができます。

ただし、私のネット環境もそうなのですが
毎回IPアドレスが変わる場合は
「不正ログインがありました」と
警告が何度も出てしまいます。

※なので、私は使っていません。

インストールするかどうかは
使ってみて決めましょう。

ちなみにプラグイン名のCrazy Boneは
京極夏彦さんの小説「狂骨の夢」が由来のようです。

ダッシュボードの「プラグイン」
→「新規追加」をクリックします。
WordPressダッシュボードのプラグイン-新規追加をクリック
 

「Crazy Bone」を検索して、
「今すぐインストール」をクリックします。
WordPressのCrazy-Boneの検索とインストール1
 

「有効化」をクリックします。
WordPressのCrazy-Boneの有効化
 

「Crazy Bone」は特に設定は必要ありません。
では、ログイン履歴の確認方法を紹介します。

ダッシュボードの「ユーザー」
→「ログイン履歴」をクリックします。
WordPressダッシュボードのユーザー-ログイン履歴
 

以下のように
ユーザー名、日時、IPアドレスなど
を確認することが可能です。
WordPressのCrazy-Boneのログイン履歴
 

以上、今回は盛りだくさんになりましたが、
WordPressのセキュリティ対策に関して
紹介しました。
基本的にXSERVERであれば問題ないと思いますが、
一度設定しておけば後はすることはないので
これを機会に設定しておきましょう!