不正アクセスってそんなにあるの?
セキュリティ対策はどうすれば?
WordPressでブログを始める方が増える中、その裾野が広がってネットリテラシーが必ずしも高くないユーザーも増えてきたようです。
私もその一人でした。
どこぞで見聞きしたプラグインを入れて取り敢えず有効化して安心していましたが、不正アクセスがあって初めて『しっかり設定しておかなければ』と認識を改めました。
この記事では、私の経験に基づいてWordPressのセキュリティにオススメのプラグイン『All In One WP Security』の設定について紹介します。
- ブロガー・投資家・医学博士・個人事業主
- 毎日更新 250記事/8ヶ月達成(2021.9〜)
- Cocoon→SWELLに乗り換え
- 本業/副業/子育ての合間でブログ作成
- FIRE可能な資産あり、好きで働いてます
All In One WP Securityの設定
『All In One WP Security and Firewall』はWordPressのセキュリティ対策が手軽に確実に出来る人気プラグインです。
更新頻度も高く利用者数も多い(100万件超え)、ネット上にも情報がたくさんあることから安心感もあります。
実際にその機能を見てみると、必要十分なものが揃っています(一部過剰とも指摘を受けることがあるほどです)。
設定項目が多岐に渡りますし、インストールして有効化しただけだとOFFになっている機能がとても多いので、オススメの設定項目を紹介します。
設定とユーザーアカウント
設定項目を上から順番に見ていきます。
『設定』の項目のうち、特に重要なのは『WP バージョン情報』です。
このメタ情報を削除することで、外部からWordPressのバージョンを確認出来なくなります。
原則としてWordPressは常に最新のバージョンで使用していることと思いますが、もし自動更新設定などをせずに、或いは何らかのこだわりがあって古いバージョンを使用しているなどの場合には、その脆弱性が露呈することになりますので、それを防止します。
『ユーザーアカウント』は管理者ユーザー名と表示名を変更しておくことで、簡単に類推されにくくなります。
ここから写真付きで項目ごとに紹介していきます。
それぞれの項目にはレベル(基本/中級/高度な設定)と点数が設定されていますので目安にして下さい。
ユーザーログイン
『ユーザーログイン』の項目では、ロックダウン時間を設定することが出来ます。
ログインしたらしっ放しではなく、一定時間経過ごとに強制的にログアウトするように設定出来ます。
あまりに短い時間に設定してしまうと作業効率に悪影響を及ぼしますので、ほどほどに。
ユーザー登録
これは新規にユーザーを登録する際の設定です。
基本的には手動承認としておきます。
Captchaはロボットによる操作を防ぐシステムで、ハニーポットはロボットによる不正アクセスの痕跡を確認するためのトラップです。
ロボットには解けない問題を出したり、ロボットにしか見えない入力欄を作ったりという設定です。
データベースセキュリティ
簡単にデータベースにアクセスされないよう、そもそもURLを変更してしまうという設定です。
あくまでもデータベースの話ですので、サイト自体のURLには何も影響はありません。
従って、SEO上の不利益もあろうはずがありません。
あくまでも悪質なデータ改ざん目的の侵入を防ぐためのものです。
またバックアップも定期的に取るような設定が可能です。
バックアップはレンタルサーバーの運用会社でも取ってくれていますし、別途バックアップ用のプラグインを設定されていることもあると思いますので、絶対に必要ということではありません。
ファイアーウォール
『基本的なファイアーウォール設定』だけでも十分ですが、最新の6Gファイアーウォール設定と、偽のGooglebotsブロック設定をしておくとなお安心です。
総当たり攻撃対策
Cookieによるランダム攻撃に対する防御策です。
WordPressの管理画面はデフォルトではサイトドメインの後ろの部分が全てのサイトで一緒です。
つまり、管理画面のURL自体は変更されていない限り誰からも明らかです。
その変更と、ログイン時にCAPTCHAを設定することで、ランダムに総攻撃をかけられた時に被害に遭わないようにすることが出来ます。
ここでもハニーポットを設定することが出来ますので、ロボットによる侵入の試みがあったかどうかは後で確認出来ます。
スパム防止
スパムは乗っ取りに会うことに比べれば軽い被害かもしれません。
しかし煩わしい事に変わりありませんし、とにかく迷惑です。
海外からの不要な営業コメントなども含め、こちらにもCAPTCHAとファイアーウォールを適用しておきましょう。
スパム防止については別途プラグインを用いて対策している方も多いでしょうから、こちらは必須ではないかもしれません。
ここまで来れば、All In One WP Securityのダッシュボードに表示される点数メーターも300点程度までは上がっているはずです。
最高点の515点まではまだまだですが、中には過剰な設定やサイトデザインに不都合な項目(phpファイルを手動で編集する場合など)もありますので、満点を狙う必要は無いと思います。
基本的な項目に加え、『中級』や『高度な設定』とされるものも一部紹介しましたが、いずれもチェックを付けたり簡単な入力で済ませられることもあり、非常に便利なプラグインであることを再認識させられます。
不正アクセスの体験
All In One WP Securityは様々なセキュリティ項目を備えた、その名の通り包括的な機能を持っています。
それでも最低限のセキュリティは確保出来ますが、WordPressは想像以上に攻撃対象にされることを改めて認識しておく必要があると思います。
2022年1月、私の元に以下のようなメールが届きました。
All In One WP Securityから発信されたメールで、WordPress管理画面にアクセスを試みてきたIPアドレスが記載されています。
All In One WP Securityのデフォルト設定で、アクセスを3回失敗したら20分間は再度のアクセスが不可能になるという設定があります。
そのお陰でこと無きを得たのですが、実はこの30分後にまた同じ不正アクセスがありました。
Y-bow当サイトについてはまだ開設間もない弱小ドメインでしたので、私もすっかり油断していました。
そこでAll In One WP Securityの設定を改めて見てみると、515点中僅か数十点で、まだまだセキュリティが緩い状態でした。
そのため、急ぎこの記事で紹介した設定を中心に細かな設定を行った次第です。
弱小ドメインと言っても、愛着もあれば成長を楽しみにしている大切なブログですので、ほんの少しの手間を惜しまずしっかりと設定しておくことを強くお勧めします。
終わりに
不正アクセスからサイト運営を守るための施策は様々な方法があり、それらを一挙にまとめて実施出来る便利なプラグイン『All In One WP Security』は、優良な上に無料で使うことが出来ます。
使わないのは勿体無いですので、ぜひインストールしてみては如何でしょうか。
また参考までに、この記事を執筆している環境は有料テーマ『SWELL』を使用しています。
ブロックエディター に特化した、洗練された国産のテーマです。
コメント