WordPress

【WordPress】セキュリティ対策!必ずやりたい5個の技!



WordPress でのセキュリティ対策、最低限、これだけはやっておきたい5個の技を紹介します。

セキュリティが甘く、襄王が盗まれた場合、サイトの改ざん、データの消去、個人情報の漏洩など大きい被害を被る可能性があります。

セキュリティ対策は必須事項のため、いますぐ対策おすすめします!

ポイント

セキュリティ対策は、どれだけ対策しても万全ということはありません。常に警戒を怠らず安全な対策をとり続ける必要があります。

本記事で紹介した5個の技は最低限実施するべき技ですので、(これ以外にも)更なるセキュリティ強化もご検討ください。

セキュリティ対策!かならずやりたい5個の技

かならずやりたい5個の技です!

セキュリティ強化プラグインを使う
総合的なセキュリティ強化プラグインを最低限1個使います。
WordPress のテーマ、プラグインは公式のみ使う
必ず【公式】のモノを、公式のサイトからダウンロードして使います。
WordPress、テーマ、プラグインは最新版に更新する
セキュリティ対策は日々更新されていますので、最新版を使います。
admin ユーザを削除する
みんな知ってるアカウント名 admin は削除します。
wp-config.php のアクセス権限を変更する
重要な情報が乗っているコンフィグファイルへのアクセスを制限します。

ひとつづつ見ていきましょう!

■ セキュリティ強化プラグインを使う

WordPress には数多くのセキュリティ強化プラグインが存在しますが、プラグイン1個で総合的にセキュリティを強化してくれるものを選び、導入するのがよいでしょう。

おすすめは 「SiteGuard」 プラグインです。

ポイント

「SiteGuard」 プラグインは、WordPress 管理ページとログインに対する攻撃から守るセキュリティプラグインです。「SiteGuard」プラグインは日本製で設定画面が日本語で使いやすく、機能が充実しているのが特徴です。

セキュリティ対策のプラグインを複数設置した場合、機能が競合する可能性があります。昨日重複を避けるためにも、統合的に多くの機能を提供しており、重要な機能が補完されている、「SiteGuard」 プラグインをおすすめします。

「SiteGuard」 プラグインひとつで、12種類の対策をすることができます。

管理ページアクセス制限ログインしていない接続元から管理ディレクトリへのアクセスを制限します。
ログインページ変更ログインページ名を変更します。
これは目に見えて対策できるので、かなり安心します。
画像認証ログインページ、コメント投稿に画像認証を追加します。
ロボットなどの自動アタックを防止する有効な手段です。
ログイン詳細エラーメッセージの無効化
ログインエラー時の詳細なエラーメッセージに変えて、単一のメッセージを返します。
解析させません。自分でもログイン失敗理由がわかりません。
ログインロックログイン失敗を繰り返す接続元を一定期間ロックします。
マジでミスった時の待っている間は、すこし困りますが無差別攻撃に対して有効な防御手段となります
ログインアラート
ログインがあったことを、メールで通知します。
自分がログインしたメールがたくさん来ます。
フェールワンス
正しい入力を行っても、ログインを一回失敗します。
ロボットの無差別(総当たりアタック対策としてはかなり有効。
XMLRPC防御XMLRPCの悪用を防ぎます。
更新通知
WordPress、プラグイン、テーマの更新が必要になった場合に、管理者にメールで通知します。
メール通知は更新を気づくトリガ(きっかけ)になります。
WAFチューニングサポート
WAF の除外ルールを作成します。
詳細設定(IPアドレスの取得方法を設定)
IPアドレスの取得方法を設定します。

・リモートアドレス
・X-Forwarded-For レベル:1
・X-Forwarded-For レベル:2
・X-Forwarded-For レベル:3
ログイン履歴
ログインの履歴(過去10000件)を保持し、管理画面で参照できるようにします。

特に、「ログインページ変更」機能は「ログインするためのURL」を変えることができるので、通常のログインURLからの無差別アタックを防止できますし、「画像認証」はロボットによるアタック防止に強い効果を発揮しますので、必ず設定しておきたい機能です。

【WordPress】セキュリティ対策プラグイン「SiteGuard」の使い方!和製プラグインで設定画面が日本語なのが使いやすい!

WordPress セキュリティ対策プラグインはたくさんありますが、和製プレグイン 「SiteGuard」 がめっちゃおすすめです。何と言っても設定画面が日本語です。そこ大事!「SiteGuard」 プラグインの効果的な使い方を解説します。ぜひご一読、お試しくださいませ。

続きを見る

■ WordPressの テーマ、プラグイン は公式のみ使う

WordPress のテーマ、プラグインは、チェックを受けて合格したもののみ公式認定されています。

非公式のテーマ、プラグインは、最新のセキュリティ対策がとられていない(更新がない)可能性もあり、また、悪意のあるコードが埋め込まれている可能性も否定できません。

そのため、テーマ、プラグインは かならず公式のもののみ使います。

ポイント

非公式のテーマ、プラグインの利用は、自宅の住所とカギを見ず知らずの他人に預けるようなもの です。

かららず公式のテーマ、プラグインを使いましょう。

■ WordPress、テーマ、プラグインは最新版に更新する

悪意のあるアタッカーは常に製品の不具合(バグ)や脆弱性を狙っています。

公式のテーマ、プラグインはセキュリティ対策頻度が高く、新しい脆弱性に対しても比較的速やかにの対策されますので、できるだけ細かい頻度で最新版に更新しておくことがセキュリティ対策として重要です。

古いバージョンを使っている場合、製品不具合や脆弱性が残っているプログラムを使い続けている可能性があるため、WordPress 本体、テーマ、プラグインは常に最新に更新しておく必要があります。

ポイント

公式のテーマ、プラグインの場合、バージョンアップが必要になると、WordPress の管理画面(ダッシュボードなど)にアラートが出ますので、定期的にチェックして、常に最新化しておきましょう。

■ admin ユーザを削除する

WordPress のディフォルト(初期)の管理者アカウントの admin は削除(利用不可)にして、別の管理者アカウントを作成して利用するようにします。

ログインするための認証には、「アカウント名」と「パスワード」が必要ですが、「アカウント名」で「admin」が有効な場合、アタッカーはパスワードのみ解析すればよくなりセキュリティレベルが下がります。標準実装のアカウント名「admin」は利用不可にすることをおすすめします。

ポイント

「お名前.com」のレンタルサーバでは、WordPress を設定画面からクリック操作でインストールできますが、この場合、自動で、「admin」 ユーザは削除されており、新規にランダムの管理者アカウントが発行されています。

「お名前.com」 申し込みはこちら

■ wp-config.php のアクセス権限を変更する

「wp-config.php」 は WordPress の設定ファイルの一つである、ここには、データベースのアカウントとパスワードが記入されています。

こちらにアクセスできる権限を管理者のみ(ファイルの所有者のみ)に限定します。

ディフォルトのアクセス権限は【644】となっていますので、【600】に変更しましょう。

644って何ですか?

1個目の数字は所有者の権限を示し、「6」は、Read(読み)、Write(更新)を許可しています。

2個目はグループ、3個目はその他の権限を示し、「4」は、Read(読み)を許可しています。

権限「0」は権限なしとなりますので、ファイルの所有者のみ読み書きができるように、権限を【600】に変更します。

変更方法はレンタルサーバの提供サービス元によって変わりますが、一般的にはレンタルサーバのサービスが提供している管理画面、ファイルマネージャなど、または FTPソフト等で変更します。

■ 以下のレンタルサーバーサービスは、標準設定で「600」になることを確認済みです(対策不要です)

  • お名前.com
  • Xserver(エックスサーバー)

ポイント

「お名前.com」のレンタルサーバの場合、「wp-config.php」 はインストール後の初期状態で 「600」 で設定されているので自分での変更は必要ありません。

「お名前.com」 申し込みはこちら

まとめ

WordPress ではセキュリティ対策が重要です。最低限、これだけはやっておきたい5個の技を紹介しました。

  • セキュリティ強化プラグインを使う
  • WordPress のテーマ、プラグインは公式のみ使う
  • WordPress、テーマ、プラグインは最新版に更新する
  • admin ユーザを削除する
  • wp-config.php のアクセス権限を変更する

ただし、セキュリティ対策は日々進化していますので、上記5点のみで安心せず、常に新しい情報にアンテナを張り、新しい対策を取り入れるようにしてください。

Enjoy!大事なものは自分で守る!

WordPress のおすすめテーマ



  • SEO に強く【集客力強化】が望める
  • かっこいい(かわいい)ホームページを作りやすい
  • 初心者でも使えて、上級者になっても満足できる


本気でブログアフィリエイトを戦うなら、使うテーマは「AFFINGER」!

WordPress ブログの最上級おすすめテーマ「AFFINGER」をお試しください。



AFFINGER の紹介はこちら




AFFINGER(アフィンガー)テーマは「ここ」がすごい!【WordPress 初心者必見!】

AFFINGER テーマを使うと「オシャレなサイト」を作りやすくなります。オシャレなサイトは、ユーザーの滞在時間が増え、サイト評価があがり、サイトの露出が増えて、さらにユーザ(読者)を呼び込む好循環を実現します。WordPressのテーマ「AFFINGER」を徹底紹介します。

続きを見る


WordPress の情報、テクニック一覧はこちらをクリック!










ブログランキング・にほんブログ村へ  




Presented By Irojiro Haraguro .Com