- これで解決! WordPressのセキュリティ対策|SWELLブログ編
-本記事の要約-
WordPressを使ったブログ運営で「セキュリティ対策」はしっかりできていますか?
世界中で広く利用されているWordPressですが、そのオープンな性質ゆえにセキュリティの脆弱性が狙われやすい一面もあります。対策を怠ると、ハッキングや不正アクセス、さらにはサイト停止やSEOペナルティといった、思いもよらないトラブルに巻き込まれる可能性があります。
でも安心してください。この記事では、WordPressを守るための具体的な手順をご紹介します。特に、SWELL公式も推奨する「XO Security」の導入・設定方法や、強力な保護機能を持つ「BBQ Firewall」を組み合わせた最強のセキュリティ対策を解説!
これを実践すれば、あなたのSWELLブログは安心安全な環境で運営できるようになり、セキュリティの不安も解消できます。WordPressユーザー必見の内容を、ぜひ最後までお読みください!
え、WordPressのブログにセキュリティ対策?そんなの必要なの?
いやいや、ちょっと想像してみて!
自分のWordPressが乗っ取られる…
ブログの内容が改ざんされる…
知らない間に他人を攻撃するサイトになってるとか…
大丈夫!この記事で、簡単にできるセキュリティ対策を教えるから、一緒に守っていこう!
この記事では、WordPressでセキュリティ対策(Swell編)ついてお話をしていきます。
- WordPressでブログを運営してる方全員
- これからブログを始めようと思っている方
- すでにブログは運営しているがセキュリティ対策していない方
- セキュリティ対策のことについて知りたい方
早く希望の記事箇所に到達したい方はコチラ
- WordPressでセキュリティ対策をしてないとどんなことが起こる?
- 世界のブラックハッカーがWordPressをハッキングする理由
- SWELLオススメのセキュリティ対策【初心者のWordPress】
- セキュリティー対策ソフトXO Securityの設定方法
- BBQ Firewallの設定方法
\ シェアNo.1のレンタルサーバー /
\ シェアNo.1のWordPressテーマ /
WordPressでセキュリティ対策をしてないとどんなことが起こる?
考えられるリスクや問題 【WordPressのセキュリティ】
予想されるリスク | 深刻な影響 |
---|---|
ハッキングや不正アクセス | サイト乗っ取りやデータ流出のリスクが高まる |
マルウェアやウイルスの感染 | マルウェアの埋め込みや感染リスクが増加 |
個人情報の流出 | ユーザー情報が漏洩し、法的問題が発生する可能性 |
スパムの増加 | スパムの大量送信やメールサーバーの悪用 |
サイトの停止やデータの消失 | サイト停止やデータ消失の危険性がある |
SEOのペナルティ | 検索エンジンからペナルティを受けるリスクがある |
信頼性の損失 | 訪問者や顧客の信頼を失い、ビジネスにダメージ |
どんな損害を被るのか?
あくまで、個人ブログでの範疇になりますが、WordPressでセキュリティ対策を怠ると、まず、金銭的な損失が考えられます。ハッキングされた場合、サイトの復旧やセキュリティ専門家に依頼するための費用が発生しますよね。
復活できればいいのですが、マルウェア感染や不正リンクが設置されてスパムメールを送信し、ドメイン全体がブラックリストに登録されるケースでは、もうあきらめるしかないかもしれませんよね。
ひとつも、いいことないのじゃ・・・・
世界のブラックハッカーがWordPressをハッキングする理由
WordPressに脆弱性があるから!
世界トップのシェアを持つWordPress。オープンソースのCMSとしてシステムの仕様からソースの内容まですべて公開されているため、セキュリティの脆弱性も発見されやすいということなんだそうです。
しかも、当サイトのような素人でも使い易い構造になっていて感謝、感謝なんですけれども、そんな便利なパターン化された管理画面のURLなど、他にもハッキングしやすい条件がそろっているなんて・・
ちょっと怖いですよね!
例えが合っているかどうかは分からんが、『どろぼうがいるのに家の玄関開けっ放しでお出かけ』みたいな感じじゃないか?
えっ、合ってる? その例え?
特にWordPressは、初期状態では脆弱性が強く、不正ログインの脅威にさらされるという弱点を持っています。
そんなに危ないの?
- ユーザー名とパスワードの入力のみでログインできる
- ログイン時に使うユーザー名が公開されてしまう
試しに自分のブログURL末尾に「?author=1」と入れてみると、自分のログインIDが表示される方いませんか?
えッつ 自分のログインID バレバレじゃな・・・・・
WordPressの初期状態では、ユーザー名(メールアドレス)とパスワードでログインできてとても便利なのですが、そもそもユーザー名は公開されてしまっています。
そしてWordPressのログインページのURLは決まっていて、知っている人であれば簡単にアクセスできてしまいます。そんなところへ総当たり攻撃(ロボットによる手あたり次第に試す攻撃)などに合ったら・・・
これ、対策しないと確実にヤバいやつだね!
SWELLオススメのセキュリティ対策【初心者のWordPress】
そんな訳でSWELLさんの公式サイトでどんなセキュリティ対策すればいいかちょっと見てきましたところ、
※ 私もセキュリティ系プラグインの最適解がどれなのかはまだ結論が出ていませんが、個人的にいつも使っているプラグインの組み合わせを紹介しておきます。
選択肢1 : Wordfence Security
基本的にはこのプラグインを使ってます。
reCaptcha v3も簡単に導入できますし、「とりあえず入れとけば安心だ」とよく聞くので…笑Wordfenceを導入する場合はそれで十分だと思うので、それ以外のセキュリティ系は基本的に入れていません。
選択肢2: XO Security + BBQ Firewall
Wordfence Securityを使えないケースや、シンプルなもので十分な場合にこの組み合わせをよく使っています。XO Security はログイン系のセキュリティを強化できるプラグインで日本語で設定でき、「SiteGuard WP Plugin」の代わりにもなるので最近よく使っています。
BBQ Firewall はファイアウォール機能を追加できるプラグインで、「軽量で他プラグインと競合しない」のが最大の特徴のようです。
Swell公式サイト
SWELL開発者さんによると、一押しはWordfence Securityのようですが、全て英語のようですから、私的にはちょっと・・・、
ということで、今回は、XO Securityというプラグインを使ってみることにします。
『XO Security』の開発者は石鷹(ishitaka)という方で日本のセキュリティープラグインで超安心です。いくら評価が高くても英語ばかりでは設定や使い方も不安ですよね。
セキュリティー対策ソフトXO Securityの設定方法
XO Securityのインストール
ダッシュボード から
[プラグイン] [新規プラグインを追加] XO Securityで検索、その後、今すぐインストールをしてXO Securityを有効化します。これでインストールと有効化は終了です。
続いて設定をしていきます。
プラグインXO Securityの設定
ダッシュボード
[プラグイン] [インストール済みプラグイン] [設定]でXO Security設定を開きます。
ログインタブ
ログインタブを開きます。
- 試行回数制限
-
ログインを失敗した時に指定した時間内に再試行できる回数を指定します。
例えば『12時間の間に』に『2回』までの設定にすると2回間違えると12時間ログインできないので、自分が間違えて長時間ログインできなくなる可能性があるわけで、ひろおじの設定は、ゆるめの『1時間』『4回』にしました。
- ブロック時の応答遅延
-
WordPress管理画面へのログインがあり、ブロックした場合の応答の遅延の時間を設定できます。
『60秒』にしました。 - 失敗時の応答遅延
-
WordPress管理画面へのログインへ失敗した際の応答の遅延の時間を設定できますが、自分が失敗した時の事を考えてちょっと短めに設定しました。
『5秒』にしました。 - ログインページの変更
-
ひろおじはちょっとここの部分が分かりにくかったのですが、ここは重要部分になると思います。
冒頭にも書きましたが、URLの末尾に?author=1と入れるとデフォルトですと自分のユーザー名が表示されてしまいます。後の防御はパスワードだけになってしまいます。
このログインページの変更は新しいログインファイルというフォームでログインするイメージです。ログインページの青いボタンをオンにしてログインファイル名を決めます。ひろおじは自分が覚えやすい文字数字列にしました。
下にこのようなURLが表示されると思います。
URL: https://happy-waves.blog/~~~.php
このURLを必ず控えておいてくださいね。ログインできなくなってしまいます。
これが、新しいログイン画面です。
今までとは別のログインフォームでログインします。 - ログインIDの種類
-
WordPress管理画面へのログインに必要なログインIDを決めます。
『ユーザー名のみ』がオススメです。 - ログインエラーメッセージ
-
エラーメッセージの表示から、推測されないように『簡略化』をオススメします。
- CAPTCH
-
ログイン認証です。安全性が高いので『ひらがな』がオススメです。
以上で変更を保存します。ログインページの変更URLを必ず控えてくださいね。そしてブックマークを忘れずに!
コメントタグ
コメントを使う際の設定になります。
- CAPTCHA
-
訪問者や読者がコメントを送信する際に表示される文字認証です。不正ボットには日本語に対応していないものが多いので『ひらがな』がオススメ。
- スパム保護フィルター
-
スパムとして保存されているコメントのメールアドレスを『ON』
- ボット保護チェックボックス
-
CAPTCHAが『ひらがな』に設定してあれば、コチラはオフのままで良いでしょう。画像はONになっていますが、そもそもコメントを設置していないので・・
以上で変更を保存します。
XML-RPC タグ
- XML-RPCの無効化
-
プログラム開発に利用する通信方式(プロトコル)の一種ですが、総当たり攻撃などの攻撃に悪用されることがありますので、「ON」。ただし、XML-RPCを無効にすると、プラグインと干渉することがあります。
- XML-RPC ピンバックの無効化
-
私達初心者は、トラックバックやピンバッグ、リモート操作などしないですよね。「ON」にしておきましょう。
以上で変更を保存します。
REST APIタグ
- REST APIの無効化
-
こちらも通信の一種です。ユーザー名の秘匿に関わります。
REST APIの無効化ボタンを『ON』 -
/wp/v2/users
/wp/v2/users/(?P<id>[\d]+)
をチェックして変更を保存。
以上で変更を保存します。
秘匿タグ
- 投稿者スラッグの編集
-
ユーザー名(ログインID)の漏洩を防ぐため
『ON』にします。 - 投稿者アーカイブの無効化
-
複数人で運用時、特定の人の記事一覧表示。一人の場合は不要。
『ON』にします。 - コメント投稿者クラスの削除
-
ユーザー名を秘匿するため『ON』にします。
- oEmbed ユーザー名の削除
-
ユーザー名を秘匿するため『ON』にします。
- RSS/Atom フィードの無効化
-
フィードを無効化します。
- バージョン情報の削除
-
第三者にバージョン情報を与える必要がない。
『ON』にします。 - readme.htmlの削除
-
WordPressの概要、インストール方法、動作環境などが書かれたファイル。念の為削除。
以上で変更を保存します。
環境タグ
環境タブでは、デフォルトのままで大丈夫です。
お疲れ様です。
以上でXO Securityの設定は終了です。
どうだったかな?意外と簡単じゃったと思うゾ。ワシでもできそうじゃ・・・・
ちょっと分かりにくいのは、ログインIDの変更部分かな?
でも導入後は安心感が違うな!
BBQ Firewallの設定方法
XO Securityは導入しましたが、また違った働き方をしてくれるBBQ Firewallを導入していきます。BBQ Firewallは、外部ネットワークからの攻撃や不正アクセスを防ぐ役割を担います。乗っ取り、情報漏洩、改ざんなどからWordPressブログを守ってくれます。
ダッシュボード から
[プラグイン] [新規プラグインを追加] BBQ Firewallで検索、その後、今すぐインストールをしてBBQ Firewallを有効化します。これでOKです。
簡単すぎる!・・・ありがたすぎる・・・・!
WordPressのセキュリティ対策でよくある Q&A
WordPressブログを始めるには、「レンタルサーバー」「ドメイン」「WordPressテーマ」が必要です。当サイトのオススメは・・・・
レンタルサーバーとドメイン
エックスサーバー
WordPress「テーマ」
SWELL
エックスサーバーの「WordPress クイックスタート」を利用するとすぐにSWELLブログを始められます!
👉エックスサーバーの「WordPress クイックスタート」を利用すれば、レンタルサーバーの申し込み時に、SWELLも一緒に購入することができ、ドメインの取得・設定、WordPressのインストール、SWELLのインストールまで、一気に完了させることができます。運用管理も一括ですから本当にオススメです!(SWELLも割引価格で購入可能)
- エックスサーバーは、国内で最も信頼される高性能なサーバーであり、これから初めてブログ運営をされる方は、エックスサーバーを選んでおけば間違いありません。
- 価格面においても最初から必要なものが全部そろっており、後から機能を追加することもありませんので、返ってコストパフォーマンスが高いと言えます。
エックスサーバーの「WordPress クイックスタート」でSWELLブログの始め方については、『申し込み〜ブログ開設まで』の手順を詳しく解説していますので、コチラをご参照ください!
尚、現在ブログを運営している方、又、レンタルサーバーを既に契約されていて【SWELLを単体で購入したい方】は、コチラ!
まとめ:WordPressのセキュリティ対策|SWELLブログ編
いかがでしたでしょうか?
WordPressを安全に使い続けるためには、セキュリティ対策が欠かせません。本記事でご紹介した「XO Security」と「BBQ Firewall」を導入することで、ハッキングや不正アクセスから大切なブログを守る第一歩を踏み出せます。
セキュリティの不安がなくなると、ブログ運営の楽しさや自由度もさらに広がりますよね!今回の内容を参考に、ぜひ早速対策を始めてみてください。
大切なブログを安全に守りつつ、安心して運営できる環境を手に入れましょう。それでは、あなたのブログ運営がますます充実することを願っています!
貴重なお時間を割いてご覧いただき、ありがとうございました。😊
具体的なWordPressのセキュリティ対策、設定方法はコチラ
- WordPressでセキュリティ対策をしてないとどんなことが起こる?
- 世界のブラックハッカーがWordPressをハッキングする理由
- SWELLオススメのセキュリティ対策【初心者のWordPress】
- セキュリティー対策ソフトXO Securityの設定方法
- BBQ Firewallの設定方法
このWordPressのセキュリティ対策(Swell編)ができることで、セキュリティへの不安がなくなり、安心してブログ運営できる環境を手に入れることができます。セキュリティ対策はWordPressユーザーには必須なので、ぜひ参考にしてくださいね。
ちょっとした工夫で、他サイトはちょっと違う装飾方法を知ることができます
また「WordPressのセキュリティ対策|SWELLブログ編」が終わりましたら、次は「SWELLでのお問い合わせフォームの設定」にチャレンジしてみましょう。
詳しいやり方は下記の記事で紹介しているので、あわせて読んでみてくださいね。