- これで解決! WordPressのセキュリティ対策|SWELLブログ編
-本記事の要点と結論-
本記事を読めば、「WordPressのセキュリティ対策|SWELLブログ編」がわかるようになります。
世界トップのシェアを持つWordPressですが、システムの仕様からソースの内容まですべて公開されているため、セキュリティの脆弱性も発見されやすいということなんだそうです。誰でも使える代わりにセキュリティ対策も自己責任になります。
これを甘く見ていてWordPressでセキュリティ対策を怠ると・・・ハッキングや不正アクセス、マルウェアやウイルスの感染、サイトの停止やデータの消失、SEOのペナルティなど想像したくないような事に巻き込まれるかもしれません。
そこでWordPressのセキュリティ対策として、SWELL公式でも推奨しています「XO Security」を導入・設定していきます。XO Securityは、日本の方が作られており設定が簡単です。今回は、BBQ Firewallもあわせて導入していきます。
このWordPressのセキュリティ対策ができることで、セキュリティへの不安がなくなり、安心してブログ運営できる環境を手に入れることができます。セキュリティ対策はWordPressユーザーには必須なので、ぜひ参考にしてくださいね。
メチャじじWordPressブログにセキュリティ対策なんてする必要あるの?
チョイじじでも想像してみて!
自分のWordPressが乗っ取られる。
自分のWordPressが改ざんされている。
自分のWordPressが他人を攻撃している。
ひろおじそうだよ、油断していると後悔するよ!
WordPressは、セキュリティが弱いらしい!
この記事では、WordPressでセキュリティ対策(Swell編)ついてお話をしていきます。
- WordPressでブログを運営してる方全員
- これからブログを始めようと思っている方
- すでにブログは運営しているがセキュリティ対策していない方
- セキュリティ対策のことについて知りたい方
早く希望の記事箇所に到達したい方はコチラ
- WordPressでセキュリティ対策をしてないとどんなことが起こる?
- 世界のブラックハッカーがWordPressをハッキングする理由
- SWELLオススメのセキュリティ対策【初心者のWordPress】
- セキュリティー対策ソフトXO Securityの設定方法
- BBQ Firewallの設定方法
当ブログでは、初心者が快適なブログ運営をするために必要な『エックスサーバー』と『SWELL』の説明。そしてWordPress導入後、10記事書くまでに必要なWordPressとSWELLの設定、必要なプラグイン等の徹底解説をしております。ぜひご活用くださいませ!
WordPressでセキュリティ対策をしてないとどんなことが起こる?
考えられるリスクや問題 【WordPressのセキュリティ】
| リスク | 影響 |
|---|---|
| ハッキングや不正アクセス | サイト乗っ取りやデータ流出のリスクが高まる |
| マルウェアやウイルスの感染 | マルウェアの埋め込みや感染リスクが増加 |
| 個人情報の流出 | ユーザー情報が漏洩し、法的問題が発生する可能性 |
| スパムの増加 | スパムの大量送信やメールサーバーの悪用 |
| サイトの停止やデータの消失 | サイト停止やデータ消失の危険性がある |
| SEOのペナルティ | 検索エンジンからペナルティを受けるリスクがある |
| 信頼性の損失 | 訪問者や顧客の信頼を失い、ビジネスにダメージ |
どんな損害を被るのか?
あくまで、個人ブログでの範疇になりますが、WordPressでセキュリティ対策を怠ると、まず、金銭的な損失が考えられます。ハッキングされた場合、サイトの復旧やセキュリティ専門家に依頼するための費用が発生しますよね。
復活できればいいのですが、マルウェア感染や不正リンクが設置されてスパムメールを送信し、ドメイン全体がブラックリストに登録されるケースでは、もうあきらめるしかないかもしれませんよね。
メチャじじひとつも、いいことないのじゃ・・・・
世界のブラックハッカーがWordPressをハッキングする理由
WordPressに脆弱性があるから!
世界トップのシェアを持つWordPress。オープンソースのCMSとしてシステムの仕様からソースの内容まですべて公開されているため、セキュリティの脆弱性も発見されやすいということなんだそうです。
しかも、当サイトのような素人でも使い易い構造になっていて感謝、感謝なんですけれども、そんな便利なパターン化された管理画面のURLなど、他にもハッキングしやすい条件がそろっているなんて・・
ちょっと怖いですよね!
メチャじじ例えが合っているかどうかは分からんが、『どろぼうがいるのに家の玄関開けっ放しでお出かけ』みたいな感じじゃないか?
ひろおじえっ、合ってる? その例え?
特にWordPressは、初期状態では脆弱性が強く、不正ログインの脅威にさらされるという弱点を持っています。
そんなに危ないの?
- ユーザー名とパスワードの入力のみでログインできる
- ログイン時に使うユーザー名が公開されてしまう
試しに自分のブログURL末尾に「?author=1」と入れてみると、自分のログインIDが表示される方いませんか?
メチャじじえッつ 自分のログインID バレバレじゃな・・・・・
WordPressの初期状態では、ユーザー名(メールアドレス)とパスワードでログインできてとても便利なのですが、そもそもユーザー名は公開されてしまっています。
そしてWordPressのログインページのURLは決まっていて、知っている人であれば簡単にアクセスできてしまいます。そんなところへ総当たり攻撃(ロボットによる手あたり次第に試す攻撃)などに合ったら・・・・
ひろおじちゃんと対策した方がよさそうですね!
SWELLオススメのセキュリティ対策【初心者のWordPress】
そんな訳でSWELLさんの公式サイトでどんなセキュリティ対策すればいいかちょっと見てきましたところ、
※ 私もセキュリティ系プラグインの最適解がどれなのかはまだ結論が出ていませんが、個人的にいつも使っているプラグインの組み合わせを紹介しておきます。
選択肢1 : Wordfence Security
基本的にはこのプラグインを使ってます。
reCaptcha v3も簡単に導入できますし、「とりあえず入れとけば安心だ」とよく聞くので…笑Wordfenceを導入する場合はそれで十分だと思うので、それ以外のセキュリティ系は基本的に入れていません。
選択肢2: XO Security + BBQ Firewall
Wordfence Securityを使えないケースや、シンプルなもので十分な場合にこの組み合わせをよく使っています。XO Security はログイン系のセキュリティを強化できるプラグインで日本語で設定でき、「SiteGuard WP Plugin」の代わりにもなるので最近よく使っています。
BBQ Firewall はファイアウォール機能を追加できるプラグインで、「軽量で他プラグインと競合しない」のが最大の特徴のようです。
Swell公式サイト
SWELL開発者さんによると、一押しはWordfence Securityのようですが、全て英語のようですから、もうちょっと簡単な方がいいので・・・・
ひろおじ今回は、XO Securityというプラグインを使ってみることにします。
『XO Security』の開発者は石鷹(ishitaka)という方で日本のセキュリティープラグインで超安心です。いくら評価が高くても英語ばかりでは設定や使い方も不安ですよね。
セキュリティー対策ソフトXO Securityの設定方法
XO Securityのインストール
ダッシュボード から
[プラグイン][新規プラグインを追加]XO Securityで検索、その後、今すぐインストールをしてXO Securityを有効化します。これでインストールと有効化は終了です。
続いて設定をしていきます。
プラグインXO Securityの設定
ダッシュボード
[プラグイン][インストール済みプラグイン][設定]でXO Security設定を開きます。
ログインタブ
ログインタブを開きます。
- 試行回数制限
-
ログインを失敗した時に指定した時間内に再試行できる回数を指定します。
例えば『12時間の間に』に『2回』までの設定にすると2回間違えると12時間ログインできないので、自分が間違えて長時間ログインできなくなる可能性があるわけで、ひろおじの設定は、ゆるめの『1時間』『4回』にしました。
- ブロック時の応答遅延
-
WordPress管理画面へのログインがあり、ブロックした場合の応答の遅延の時間を設定できます。
『60秒』にしました。 - 失敗時の応答遅延
-
WordPress管理画面へのログインへ失敗した際の応答の遅延の時間を設定できますが、自分が失敗した時の事を考えてちょっと短めに設定しました。
『5秒』にしました。 - ログインページの変更
-
ひろおじはちょっとここの部分が分かりにくかったのですが、ここは重要部分になると思います。
冒頭にも書きましたが、URLの末尾に?author=1と入れるとデフォルトですと自分のユーザー名が表示されてしまいます。後の防御はパスワードだけになってしまいます。
このログインページの変更は新しいログインファイルというフォームでログインするイメージです。ログインページの青いボタンをオンにしてログインファイル名を決めます。ひろおじは自分が覚えやすい文字数字列にしました。
下にこのようなURLが表示されると思います。
URL: https://happy-waves.blog/~~~.php
このURLを必ず控えておいてくださいね。ログインできなくなってしまいます。
これが、新しいログイン画面です。
今までとは別のログインフォームでログインします。
- ログインIDの種類
-
WordPress管理画面へのログインに必要なログインIDを決めます。
『ユーザー名のみ』がオススメです。 - ログインエラーメッセージ
-
エラーメッセージの表示から、推測されないように『簡略化』をオススメします。
- CAPTCH
-
ログイン認証です。安全性が高いので『ひらがな』がオススメです。
以上で変更を保存します。ログインページの変更URLを必ず控えてくださいね。そしてブックマークを忘れずに!
コメントタグ
コメントを使う際の設定になります。
- CAPTCHA
-
訪問者や読者がコメントを送信する際に表示される文字認証です。不正ボットには日本語に対応していないものが多いので『ひらがな』がオススメ。
- スパム保護フィルター
-
スパムとして保存されているコメントのメールアドレスを『ON』
- ボット保護チェックボックス
-
CAPTCHAが『ひらがな』に設定してあれば、コチラはオフのままで良いでしょう。画像はONになっていますが、そもそもコメントを設置していないので・・
以上で変更を保存します。
XML-RPC タグ
- XML-RPCの無効化
-
プログラム開発に利用する通信方式(プロトコル)の一種ですが、総当たり攻撃などの攻撃に悪用されることがありますので、「ON」。ただし、XML-RPCを無効にすると、プラグインと干渉することがあります。
- XML-RPC ピンバックの無効化
-
私達初心者は、トラックバックやピンバッグ、リモート操作などしないですよね。「ON」にしておきましょう。
以上で変更を保存します。
REST APIタグ
- REST APIの無効化
-
こちらも通信の一種です。ユーザー名の秘匿に関わります。
REST APIの無効化ボタンを『ON』 -
/wp/v2/users
/wp/v2/users/(?P<id>[\d]+)
をチェックして変更を保存。
以上で変更を保存します。
秘匿タグ
- 投稿者スラッグの編集
-
ユーザー名(ログインID)の漏洩を防ぐため
『ON』にします。 - 投稿者アーカイブの無効化
-
複数人で運用時、特定の人の記事一覧表示。一人の場合は不要。
『ON』にします。 - コメント投稿者クラスの削除
-
ユーザー名を秘匿するため『ON』にします。
- oEmbed ユーザー名の削除
-
ユーザー名を秘匿するため『ON』にします。
- RSS/Atom フィードの無効化
-
フィードを無効化します。
- バージョン情報の削除
-
第三者にバージョン情報を与える必要がない。
『ON』にします。 - readme.htmlの削除
-
WordPressの概要、インストール方法、動作環境などが書かれたファイル。念の為削除。
以上で変更を保存します。
環境タグ
環境タブでは、デフォルトのままで大丈夫です。
お疲れ様です。
以上でXO Securityの設定は終了です。
メチャじじどうだったかな?意外と簡単じゃったと思うゾ。ワシでもできそうじゃ・・・・
ひろおじちょっと分かりにくいのは、ログインIDの変更部分かな?
チョイじじでも導入後は安心感が違うな!
BBQ Firewallの設定方法
XO Securityは導入しましたが、また違った働き方をしてくれるBBQ Firewallを導入していきます。BBQ Firewallは、外部ネットワークからの攻撃や不正アクセスを防ぐ役割を担います。乗っ取り、情報漏洩、改ざんなどからWordPressブログを守ってくれます。
ダッシュボード から
[プラグイン][新規プラグインを追加]BBQ Firewallで検索、その後、今すぐインストールをしてBBQ Firewallを有効化します。これでOKです。
メチャじじ簡単すぎる!・・・ありがたすぎる・・・・!
まとめ:WordPressのセキュリティ対策|SWELLブログ編
今回は、「WordPressのセキュリティ対策|SWELLブログ編」について解説しました。
世界トップのシェアを持つWordPress。とても便利なオープンソースのCMSですが、ソースの内容までのすべて公開されているため、セキュリティの脆弱性も発見されやすいということなのだそう。
ブラックハッカーに狙われないよう、WordPressのセキュリティ対策(Swell編)をしっかりする必要があります。
でも、今回XO Securityを導入して一安心ですね!導入・設定も簡単でした・・・。これで、セキュリティの悩みは、大きく軽減されると思いますので、記事作成にも力を入れられそうです。
具体的なWordPressのセキュリティ対策、設定方法はコチラ
- WordPressでセキュリティ対策をしてないとどんなことが起こる?
- 世界のブラックハッカーがWordPressをハッキングする理由
- SWELLオススメのセキュリティ対策【初心者のWordPress】
- セキュリティー対策ソフトXO Securityの設定方法
- BBQ Firewallの設定方法
このWordPressのセキュリティ対策(Swell編)ができることで、セキュリティへの不安がなくなり、安心してブログ運営できる環境を手に入れることができます。セキュリティ対策はWordPressユーザーには必須なので、ぜひ参考にしてくださいね。
ちょっとした工夫で、他サイトはちょっと違う装飾方法を知ることができます
また「WordPressのセキュリティ対策」が終わりましたら、次は「SWELLでのお問い合わせフォームの設定」にチャレンジしてみましょう。
詳しいやり方は下記の記事で紹介しているので、あわせて読んでみてくださいね。
当ブログでは、初心者が快適なブログ運営をするために必要な『エックスサーバー』と『SWELL』の説明。そしてWordPress導入後、10記事書くまでに必要なWordPressとSWELLの設定、必要なプラグイン等の徹底解説をしております。ぜひご活用くださいませ!