【WordPress / ワードプレス】 セキュリティー対策をする

WordPress(ワードプレス)のセキュリティー対策をする

危険なCMS(コンテンツ・マネジメント・システム)とは

GUIで記事の投稿、編集、そして削除、
デザインの変更から機能の拡張、
権限が別れたユーザー別ログインなど
色々と便利かつ自由度の高いWordpress(ワードプレス)です。

w3techs.com様からのデータですが、
2017年11月現在、
日本国内でWordpressの導入率が83%を超えており、
2位のAdobe Dreamweaverを圧倒しています。

CMS普及率グラフ - WordPress 83.9%
CMS普及率グラフ

当然のことながら導入されている割合が多ければ
攻撃される確率が多くなります。

では世界ではというと、
59.8%と2位のJoomlaを圧倒しており、
非常に高い導入率になっています。

世界のWordpress導入率
世界のWordpress導入率

しっかりとしたセキュリティー対策を施しておきたいですね。

 

セキュリティープラグイン「All In One WP Security」

セキュリティー対策ですが、数あるプラグインの中で「All In One WP Security」がオススメです。
ファイヤーウォール機能ブラックリスト管理機能ログイン履歴の確認機能ユーザ名・パスワード変更機能などがあり、これひとつで総合的にセキュリティ対策が可能です。

海外の英語プラグインですが、詳しく解説していきますので安心してくださいね。

現時点で60万インストール以上の人気プラグインです。

今すぐインストールをクリックして有効化しましょう。

プラグインを有効化すると左側に設定のボタンが配置されます。

WP Security > Dashboard で現在のセキュリティー状態を見ることが出来ます。

ダッシュボード画面を開くと目につくのが下記のメーターだと思います。

セキュリティー状態を表すメーターで緑の領域にメーターの針が入っていれば高い状態を表しています。
ようするに針を緑の領域に入るよう設定すればいいだけです。

では、詳しく解説していきます。

ダッシュボード画面

Security Strength Meter

今のセキュリティ状態を表すメーターです。セキュリティ対策が十分な状態に従い、針が赤エリアから黄色エリア、緑エリアへと移動していきます。この画面の針先を常に見ながら、緑エリアに来るように各種設定を変更していきましょう。

Get To Know The Developers

開発者の情報が知れます。無視して構いません。

Critical Feature Status

重要なセキュリティ対策されているか、の確認&変更ができます。ファイヤーウォールもここから有効化できます。

Maintenance Mode Status

メンテナンスモードのオンオフの切り替えをします。

Logged In Users

WordPressへログインしたユーザ数が表示されます。以下の「Last 5 Logins」と合わせて確認できます。

Security Points Breakdown

セキュリティ対策の内容です。どのセキュリティ対策が有効に機能しているかが分かります。

Spread the Word

本プラグインをSNSで宣伝&拡散するかどうかです。無視してかまいません。

Last 5 Logins

過去5回のWordPressへのログイン記録です。「ユーザ名」、「時刻」、「IP」が分かります。不審なログイン記録があれば特に要注意です。WordPressのログインパスワードを早急に変更しましょう。

Locked IP Addresses

ログイン時にロックされたIPの記録です。不正アクセスがあったか確認できます。

All In One WP Securityの設定

WordPressのバージョン情報の削除

WordPressのバージョン情報が知られる事で、バージョンごとの脆弱性を突いて狙われる場合があるので、バージョン情報を見られないようにします。

Settings」をクリックし設定画面を出します。右画面のタブにある「WP Version Info」をクリックし、さらにチェックボックスにチェックを入れます。最後に「Save Settings」をで設定完了です。

ユーザ情報の変更

WordPressは初期設定だとログインIDとユーザ名が同じものになっています。投稿されたコメントに返信すると、ユーザ名が表示されてしまい、これを元にログインIDが予測されます。そのため、表示するユーザ名を変更する必要があります。

まず「User Accounts」から「Display Name」をクリックします。さらに一番下のユーザ名をクリックします。

先に「ニックネーム」を入力、その下の「ブログ上の表示名」でニックネームを選択します。最後に「プロフィールを更新」をクリックします。

ログイン試行の回数を制限

WordPressでは、不正ログインを試みる際にパスワードを少しずつ変え、何百回もログインを試す、しまいには管理画面へ侵入できてしまいます。管理画面への不正侵入されるのを防ぐために、ログイン失敗時のログイン回数を制限する必要があります。

まず、「User Login」から「Login Lockdown」をクリックします。「Enable Login Lockdown Feature」のチェックボックスにチェックを入れ、「Max Login Attempts」、「Login Retry Time Period」、「Time Length of Lockout」に自由に数字を入力します。

※初期状態では、5分の間に3回ログインに失敗すると60分間そのユーザーをログイン拒否する、という設定になっています。特に変更する必要はありません。

最後に「Save Settings」をクリックします。

データベースの接頭辞変更

データベースの接頭辞は初期では「wp_」になっています。初期状態だと、データベースへ不正侵入されて情報が抜き取られたり悪用される可能性があるので、接頭辞を変更します。

私のサイトは複数のワードプレスサイトを所有しておりますので、最初から接頭辞を変更してあります。

何らかの事情で接頭辞が「wp_」以外に設定されていれば、10/10に最初からなっており設定不要です。

接頭辞を変更する場合はまず、「Database Security」から「DB Prefix」をクリックします。「Generate New DB Table Prefix」のチェックボックスにチェックを入れ、「Change DB Prefix」をクリックします。

ブラックリスト管理

特定のIPアドレスから繰り返し何度もスパムのコメントが来る場合があります。これにはスパムのコメントを判別するプラグインで別途対応しますが、過度ににしつこい場合は運用サイトに支障きたしますので、IPアドレスやユーザの情報をブラックリストとして保存&遮断し、ブログへのアクセスを停止する必要があります。

まず、「Blacklist Maneger」をクリックします。次に「Enable IP or User Agent Blacklisting」のチェックボックスにチェックを入れ、下の「Enter IP Addresses」および「Enter User Agents」の欄にIPアドレスやユーザ情報を入力します。最後に「Save Settings」をクリックします。

実際のIPアドレスやユーザー情報の入力はスパムのコメントが来てからになります。
間違っても自分の情報を入力してしまった場合、ログインできなくなるので気をつけましよう。

ファイアーウォール起動

ファイヤウォールを起動する事で不正な攻撃やアクセスの確率を引き下げることが必要です。

まず、「Firewall」から「Basic Firewall Rules」をクリックします。「Enable Basic Firewall Protection」と「Block Access to debug.log File」のチェックボックスにチェックを入れ、「Save Basic Firewall Settings」をクリックします。

ログインURLを変更

管理画面へログインする際にアクセスするURLを変更します。
初期状態では「http://~.com/wp-admin/」や「http://~.com/wp-login.php」からログインしますが、アクセスするURLそのものを変更することでセキュリティーを高める事ができます。

URLそのものを変更しますので、忘れてしまうと一切のアクセスが出来なくなります。
忘れないURLへ変更しましょう。

Brute Force」から「Rename Login Page」をクリックします。「Enable Rename Login Page Feature」のチェックボックスにチェックを入れ、「Login Page URL」に変更後のURLを入力します。「Save Settings」をクリックし設定完了です。

計算型認証コード入力

ログイン画面へアクセスした場合、ログインIDとパスワード以外の情報入力を求める項目の追加です。
表示の度に変更され正しい数字を入力しないとログインできなくなります。
よくある画像認証のようなものです。

数字と英語の組み合わせにになりますので、英語が苦手な方設定しないほうが良いでしょう。
上記で設定したログイン試行回数にカウントされ、1時間ログインできなくなります。

Brute Force」から「Login Captcha」をクリックします。「Enable Captcha On Login Page」のチェックボックスにチェックを入れ、「Save Settings」をクリックします。

最後に

以上が基本的ではありますが、「All In One WP Security」の設定になります。「Dashboard」の「Security Strength Meter」を確認して、針先が緑エリアに来ていればセキュリティーの高い状態を示しています。

お疲れ様でした。

フリーの画像素材をWordPressで簡単手軽に利用する

フリーで利用できる画像素材

フリーで利用できる画像素材には様々なものがあります。

ここでは「Pixabay」から入手できる画像を利用します。高画質・高解像度の画像が数多く手に入ることは勿論、全ての画像がCCOのライセンスとなっており、商用問わず、コピー、改変、そして再配布が認められています。著作者のクレジット表記やリンク等も必要ではありません。

そこで、プラグインを活用して、記事の編集画面からPixabayの画像を手軽に検索・活用できるように設定します。

プラグイン導入手順

  1. ダッシュボードの画面から、プラグイン→新規追加を選びます。
  2. 検索キーワードに「Pixabay」と入力、検索結果にPixabay Imagesが表示されます。
  3. 今すぐインストールを選択します。
  4. プラグインのインストールが終了すると、ボタンが有効化に変化します。有効化を選択します。
  5. プラグインの利用中を選択してPixabay Imagesが表示されてたら利用できるようになっています。お疲れ様でした。
  6. 投稿の編集を確認するとPixabayのボタンが増えてますね。