WordPressセキュリティ対策プラグイン!セキュリティホールとは?

※動画はパスワードで保護されています。



WordPressは世界中で使われている
オープンソースのブログツールであり、
脆弱性が発見されやすいという問題点が
あります。

※オープンソース:
 中身・設計図である
 ソースコードが公開

 されているソフトウェア。

※脆弱性:
 セキュリティホールとも呼ぶ
 

そのため、
「ハッカーなどに侵入され
ソースコードを改ざんされた…」
という問題もあるようです。
 

もしかしたら
あんたのサイトも知らない間に
改ざんされてるかもしれません。
 

改ざんされる前に
WordPressのセキュリティ強化を
しておきましょう。
 

今回は
WordPressのセキュリティ対策
を紹介します。

WordPressの基本的なセキュリティ対策

まず、WordPressの基本的な
セキュリティ対策を2つ紹介します。

・テーマ(テンプレート)やプラグインは
 信頼性の高いものを使用する。

※信頼性の高いものとは
 公式のものだったり、
 多くの人が使用しているもの。

・WordPress、テーマ(テンプレート)、
 プラグインは常に更新(アップデート)
 最新版にする。

 
上の2つは基本的なことですので、
必ず行いましょう。

WordPressおすすめセキュリティ対策

WordPressへの侵入方法として
代表的なものはブルートフォースアタック
(総当り攻撃)と呼ばれる暗号解読手法です。

これは
ユーザーIDとパスワードを片っ端から試して
ログインする手法です。
 

ブルートフォースアタックの対策として
以下の方法をおすすめします。

・国外IPからのログインを制限
→ サーバーで対応

・ログイン入力間違い回数を制限
→ サーバーで対応

・ユーザー名と投稿者名を変更
→ WordPressの設定変更で対応

・ユーザー名のURLを変更
→ プラグインで対応 (Edit Author Slug)

・アクセスログを確認
→ プラグインで対応 (Crazy Bone)

 
順番に説明していきます。

国外IPからのログインを制限

ブルートフォースアタックをしかけるIPは
主に国外IP(海外)であることが多いです。

あなたが海外に住んでいないのであれば
国外IPからのアクセスを制限しましょう。
 

このサイトでおすすめしているサーバーの
XSERVERを使用している場合は
デフォルトでアクセス制限がされています。

 
XSERVERはブルートフォースアタックが
多数発生した際に、いち早く対策をした
サーバーです。

その時の通知は以下。
「WordPress国外IPアクセス制限」機能の追加について(XSERVERニュースより)
 

確認方法を紹介します。

XSERVERのホームページへアクセス。
エックスサーバーのホームページ(http://www.xserver.ne.jp/)

【ログイン】をクリック。
XSERVERにログイン
 

「会員IDまたはメールアドレス」と
「パスワード」を入力して、
【ログイン】をクリック。
会員IDまたはメールアドレスとパスワードを入力してインフォパネルへログイン
 

ご契約一覧から
サーバーパネルへログインする。
ご契約一覧からサーバーパネルへログイン
 

【WordPressセキュリティ設定】
をクリック。
サーバーパネルのWordPressセキュリティ設定をクリック
 

ドメイン名を選択する。
WordPressセキュリティを設定するドメインを選択する
 

「ダッシュボード アクセス制限」と
「XML-RPC API アクセス制限」の
現在の設定がONになっていることを
確認する。
WordPressセキュリティ設定で国外IPアクセス制限設定ONを確認
 

現在の設定がOFFになっている場合は
ONに変更しましょう。

この設定で
国外IPからのアクセスを
制限することができます。

※海外旅行中にアクセスしたい時は
解除する必要があります。

ログイン入力間違い回数を制限

ブルートフォースアタックは
手当たり次第にログインを行いますので、

その対策として
ログインの入力間違いの回数を
制限する
ことが有効です。
 

これもXSERVERであれば
デフォルトで設定されています。

国外IPアクセス制限設定と同じ画面にある
「ログイン試行回数制限設定」タブを
クリックします。
WordPressセキュリティ設定でログイン試行回数制限設定ONを確認
 

現在の設定がONになっていれば
問題ありません。

ユーザー名と投稿者名を変更

WordPressのデフォルトの状態では
投稿者名がユーザー名と
同一のもの
になっています。

例え、
記事内に投稿者名を
表示していない状態だったとしても

投稿者名とユーザー名は
変えておきましょう。
 

以下に
投稿者名とユーザー名を
別名にする方法を紹介します。

ダッシュボードの「ユーザー」
→「あなたのプロフィール」をクリック。
WordPressセキュリティ設定-ダッシュボード-ユーザー-あなたのプロフィールをクリック
 

「ユーザー名」は変更できないので、
「ニックネーム」と「ブログ上の表示名」を
「ユーザー名」と異なる名前に設定します。
WordPressセキュリティ設定-あなたのプロフィールのニックネームとブログ上の表示名を変更
 

編集が終わったら、
【プロフィールの更新】をクリック。
WordPressセキュリティ設定-ユーザー-あなたのプロフィール-編集したらプロフィールを更新をクリック
 

以上で、
投稿者名とユーザー名を
別名にすることができます。

ユーザー名のURLを変更

WordPressのユーザー名は
簡単に確認することができてしまいます。

あなたのサイトのURLの後ろに
/?author=1」と付けたページに
アクセスしてみてください。

デフォルト状態だと
「サイトURL/author/ユーザー名/
というURLが表示され
ユーザー名が確認できてしまいます。

ユーザー名が分かってしまうと
後はパスワードさえわかえれば
ログインできます。

パスワードはもちろんですが、

ユーザー名も他の人には
知られないように設定しましょう。

WordPressプラグインの
「Edit Author Slug」を利用すると簡単です。

Edit Author Slugの使い方

ダッシュボードの「プラグイン」
→「新規追加」をクリック。
WordPressダッシュボードのプラグイン-新規追加をクリック
 

「Edit Author Slug」を検索して
【いますぐインストール】をクリック。
WordPressプラグインの追加でEdit Author Slugを検索していますぐインストールをクリック
 

【プラグインを有効化】をクリック。
WordPressプラグインEdit Author Slugを有効化
 

次にユーザー名が分からないように
スラッグ(slug, URL)を変更します。

ダッシュボードの「ユーザー」
→「あなたのプロフィール」をクリック。
WordPressセキュリティ設定-ダッシュボード-ユーザー-あなたのプロフィールをクリック
 

「Edit Author Slug」の「Custom」に
チェックを付け、slugを入力します。

※「サイトURL/author/★/」の★に入る文字です。
WordPressプラグインEdit Author SlugでAuthor slogをcustom設定
 

編集したら、
【プロフィールを更新】をクリック。

以上で、
URLにユーザー名が表示されなくなります。

設定が完了したら、
「/?author=1」と付けたページに
再度アクセスして確認してみてください。
 

設定が完了したら、
「Edit-Author-Slug」は削除しても問題ありません。

アクセスログを記録する

WordPressプラグイン「Crazy Bone」
を利用しログイン試行履歴を確認することが
できます。

ただし、
私のネット環境もそうなのですが
毎回IPアドレスが変わる場合は
「不正ログインがありました」と
警告が何度も出てしまいます。

インストールするかどうかは
使ってみて決めましょう。

ちなみにプラグイン名のCrazy Boneは
京極夏彦さんの小説「狂骨の夢」が由来のようです。

ダッシュボードの「プラグイン」
→「新規追加」をクリック。
WordPressダッシュボードのプラグイン-新規追加をクリック
 

「Crazy Bone」を検索して
【いますぐインストール】をクリック。
WordPressプラグインCrazy Boneを検索していますぐインストール
 

【プラグインを有効化】をクリック
WordPressプラグインCrazy Boneを有効化
 

「Crazy Bone」は
特に設定は必要ありません。

では、
ログイン履歴の確認方法を紹介します。

ダッシュボードの「ユーザー」
→「ログイン履歴」をクリック。
WordPressダッシュボードのユーザー-ログイン履歴
 

以下のように
ユーザー名、日時、IPアドレスなど
を確認することが可能です。
WordPressプラグインCrazy Boneのログイン履歴
 

以上、
今回は盛りだくさんになりましたが、
WordPressのセキュリティ対策に関して
紹介しました。
 

基本的に
XSERVERであれば問題ないと思いますが、
一度設定しておけば後はすることはないので
これを機会に設定しておきましょう!

最後まで読んで頂いてありがとうございました。

記事が価値あるものだと思われたら、
下のボタンからシェアをして頂けると嬉しいです。

ブログの始め方・稼ぎ方をまとめたガイドブックをプレゼント中!
(PDFとサイト版の両方をプレゼント)
AFFIKATSUGuideBook

>> メルマガ登録はこちら <<

無料メールマガジン登録フォーム

メルマガ登録フォーム

苗字 (漢字で)
メールアドレス

※私からお送りする全てのメールに解除リンクを付けていますので、いつでもメルマガ解除をすることが可能です。




コメントを残す



コメントはサイト管理者が確認するまで表示されません。
他の読者さんにも有益だと判断した場合のみコメント対応を致します。

個別の問い合わせは【こちら】からお願いします。

CAPTCHA