ワードプレスのセキュリティ対策!。ワードプレスでブログを始めるのであれば、セキュリティ対策はしっかりやりましょう。今回は、ワードプレスのセキュリティ対策!について書いていきます。
レンタルサーバー上に構成されているワードプレスのブログは「インターネット上の悪意ある侵入」や「データの不正利用」「データの書き換え」「アカウントの乗っ取り」など、危険にさらされています。
| 結論を先に話ししておきます |
| Webサイト全般に於いてのセキュリティ対策は「サーバーに対するもの」「アカウントに対するもの」「ワードプレスシステムに対するもの」などがあり、その全てに対し、対策は絶対的に必要と言っても良いでしょう。
閲覧者に対し、直ぐに分かるものとしては、Webサーバーが「SSL」に対応しているかどうかではないでしょうか。「SSL」への対応は、レンタルサーバーのオプションサービスとなっているのが一般的と言えます。
ワードプレス側のブログ管理者には「ブログのセキュリティ対策」の他、コンテンツの質を上げる以外に管理者として訪問者を増やす手立ても必要となります。これが俗に言われている「SEO」と呼ばれる作業な訳です。
|
目次はコチラ
【各Webサイトのセキュリティについて】
ワードプレスを稼働させているシステムには、いくつもの機器やソフトウェアが関連していることは言う間でもありません。この全てに対して不正な攻撃が懸念されています。インターネットは全世界に公開されています。
それが不正な通信だと分かっていても、自由に行き来している訳です。その為、ワードプレスをレンタルサーバーで構築する場合のセキュリティ対策は、インターネットからのデータの出入り口を含むデータセンター内部が対象となります。
ワードプレスサイトの安全性を確保するには、レンタルサーバー会社がすべき対策と、各ワードプレスサイトの管理者がすべき対策に分けて考えなければならないと思っています。これらはとても大事なことなのです。
レンタルサーバー会社側の対応
あなたも日々お世話になっているであろうレンタルサーバー会社。そのレンタルサーバー会社がおこなってくれるのは「サーバーレベルでのセキュリティ管理」です。サーバーをレンタルする会社なので当然のことでしょう。
ところで「ファイアウォール」と言う言葉を聞いたことがあるでしょうか?ファイアウォールは、その名の通り、火災を防ぐ防御壁として、インターネットからの不正な侵入を阻止する働きをしています。
| IDPSとは |
| 難しい話しをしますが「IDPS」とは(Intrusion Detection and Prevention System)と言いますが、これは「侵入検知・防止システム」を意味します。「IDPS」は、ファイアウォールをすり抜けようとするアクセスを監視し、挙動が可笑しなアクセスを検知すると、自動的に通信を遮断するものです。 |
レンタルサーバーでは、一般的にサーバー内におけるインターネット関連のOS(基本ソフト)及び基本的なインターネットアプリケーションのインストールや更新作業は、レンタルサーバー会社の担当業務として担っています。
ワードプレス側のサーバー対応
ワードプレスは、Webサーバーソフトと連携して動作しています。ほとんどのレンタルサーバーでは、Webサーバー用におけるソフトのインストールや管理はレンタルサーバー会社側でやっています。
Webサーバーソフトの種類やバージョン、関連のアプリケーション、そしてセキュリティ対策については、レンタルサーバー会社で確認することが可能です。またWebサイトへのアクセス制限やトラフィック制限を設定できる場合もあります。
レンタルサーバー会社の中には、Web関連の種々のアプリケーションについて監視できるオプションとして「WAF」が提供しているところもあります。「WAF」については、次の項目をご覧下さい。
| WAF(Web Application Firewall)とは「エックスサーバーのHPから抜粋」 | |
| 設定項目 | 対策内容 |
|
「JavaScript」などのスクリプトタグが埋め込まれたアクセスについて検知します。 |
|
SQL構文に該当する文字列が挿入されたアクセスについて検知します。 |
|
「.htpasswd」「.htaccess」「httpd.conf」など、サーバーに関連する設定ファイルが含まれたアクセスを検知します。 |
|
「to」「cc」「bcc」などのメールヘッダーに関係する文字列を含んだアクセスを検知します。 |
|
「kill」「ftp」「mail」「ping」「ls」など、コマンドに関連する文字列が含まれたアクセスを検知します。 |
|
「session」、ファイル操作に関連する関数の他、脆弱性の原因となる可能性の高い関数が含まれたアクセスを検知します。 |
ワードプレス管理者側の対応
セキュリティ対策に関して言えば、全てレンタルサーバー会社に任せておけば良いと言うものでもありません。多くのレンタルサーバーでは、ワードプレスはあくまでもオプションと言う考え方しか持っていないようです。
そのことから、レンタルサーバーからワードプレスをインストールし、その後に於いての日頃の管理までをあなた自身でおこなわなければいけません。既にワードプレスを触っている方であれば分かっているかと思います。
管理者アカウントの管理
ワードプレスを運営している方であればお分かりだと思いますが、まずワードプレスの管理者が考えなければいけないのが、ログイン後のダッシュボード内におけるアカウントの管理です。ここは特に大事な部分です。
ユーザーアカウントを作成する際、下記のどの権限グループに所属させるかをユーザーごとに割り当てます。管理者も投稿者も一人でこなす場合、管理者アカウントは一つで済みます。ですがそうでない場合もあります。
- ワードプレスにログイン後「黄色枠」で囲まれている「設定」を開くと「オレンジ色枠」で囲まれている「一般設定」が開きます。その中の「緑色枠」で囲まれている「新規ユーザーのデフォルト権限グループ」があります。
画面上では、購読者となっている箇所を押すと、プルダウンメニューが表示されます。「赤色枠」で囲まれているように「購読者」「寄稿者」「投稿者」「編集者」「管理者」と分かれています。
| ワードプレスの権限グループについて | |
| 権限グループ | 内容 |
|
プロフィール管理しかできません。 |
|
あなた自身の「投稿」「編集」「管理」などはできますが、公開することはできません。 |
|
あなた自身の投稿を公開したり、管理することができます。 |
|
他のユーザーの投稿を含む全ての投稿を公開したり、管理することができます。 |
|
ワードプレスサイト内に於いて、全ての管理機能にアクセスできます。 |
仮に、複数の投稿者を持つ比較的大きなブログの場合、投稿記事を書くユーザーに投稿者の権限を割り当てるのですが、その場合、投稿全体について、責任を持つ編集者権限を割り当てるユーザーを作成すると良いでしょう。
これらのユーザー権限のうち、セキュリティ上で最も重要なのは言うまでもなく「管理者」権限を持ったユーザーのアカウントです。テーマやプラグインのインストールには、管理者権限が必要となります。
| 最も重要な管理者権限のアカウントが見破られてしまうと、あなたのブログが好き勝手に弄られ、破壊されてしまう危険が伴います。管理者アカウントを持つユーザーの数はできるだけ減らし、パスワードは複雑なものにしましょう。 |
ログイン試行回数の制限(Login LockDown)
ワードプレスの管理者用アカウント認証画面は「/wp-admin/」のURLで表示されます。この認証ページからワードプレスのダッシュボードにアクセスするには、ユーザー名とパスワードを入力し、認証を通過できればOKです。
管理者=投稿者のブログの場合、類推できるようなユーザー名を使用していることは少なくないと考えます。ユーザー名が類推できればパスワードの総当たり攻撃によって、認証は簡単に突破されてしまう訳です。
このような攻撃を防ぐには、指定した回数だけログインが失敗した場合にログインをロックするのが効果的です。当ブログ(miブログ)では、ワードプレスプラグインの「Login LockDown」を使用していますのでそれを例に話ししていきます。
| Login LockDownとは |
| 「Login LockDown」は、ログインを失敗するごとにIPアドレスと日時を記録します。同一IPの範囲から、短時間に指定した回数以上のログインの試みが検出された場合、ログイン機能に関する全ての要求は無効化されます。
これは総当たり攻撃によるパスワード探索を防ぐのに役立ちます。初期設定では、5分以内に3回ログインに失敗すると、1時間の間、IPを締め出します。この設定は管理パネルのオプションから変更できます。 |
ワードプレスのプラグインで「Login LockDown」を使ってみたい方は、下記の図解を見ながら設定してみて下さい。私は複数のWebサイトやブログを持ち、その全てに於いて「Login LockDown」を使用してますが完璧です。
- ワードプレスにログイン後「Login LockDown」をインストールし、有効化されている状態から話しを進めていきます。「桃色枠」で囲まれている「設定」上にマウスを移動するとプルダウンメニューが表示されます。
次に「黄色枠」で囲まれている「Login LockDown」を開いて下さい。
- すると「Login LockDown Options」画面が開きます。設定項目は「赤色枠」で囲まれている6ヶ所のみで、下記の内容を見ながら設定し、全ての設定が終わったら「紫色枠」で囲まれている「Update Settings」を押しましょう。
| Login LockDownの設定方法(上から順番に) | |
|
この箇所は「ログインにトライできる回数」を意味します。 |
|
この箇所は「ログインにトライできる時間(●分以内)」を意味します。 |
|
この箇所は「ログインに失敗した後、次にトライできるまでの時間」を意味します。 |
|
この箇所は「IDのミスを失敗の対象にするかどうかの設定」を意味します。 |
|
この箇所は「IDもしくはパスワードのどちらをミスしたかを隠すかどうかの設定」を意味します。 |
|
この箇所は「Login LockDownを使用していることを隠すかどうかと言う設定」を意味します。 |
- 一番下の設定項目で「Show Credit Link?」がありますが、この中の「Yes, display the credit link.」を選択した場合「赤色枠」で囲まれているように「Login LockDown」と表示されます。
表示させたくない場合、3つある項目の中の「No, do not display the credit link.」を選択すれば表示されなくなります。
SSLの設定(動画付き)
インターネットに関して言えば、世界的なデータの通り道と言っても良いでしょう。つまりどう言うことかと言うと「データの公道」と言う意味です。インターネットは、接続さえできれば誰でも簡単に使うことが可能となります。
インターネットを通るデータは、変な話し「のぞき見」することもできる訳です。ネットショップなどで入力フォームに記述したクレジットカードの番号やパスワード、個人情報などもインターネットから流れています。
これはインターネットの初期から分かっていたことで、この為、Webページからのデータを暗号化してやり取りする方法が開発され、既に広く使われています。これが「SSL」と言うものです。
| SSLとは |
| 「SSL」を略すと(Secure Sockets Layer)と言います。「SSL」は、インターネット上におけるWebブラウザとWebサーバー間でのデータの通信を暗号化し、送受信させる仕組みのことを指します。
インターネット上で頻繁に送受信される「氏名」「住所」「メールアドレス」などの個人情報や、ショッピングの決済に必要な「クレジットカード情報」、ログインする際に必要な「ID」「パスワード」と言った情報は、常に悪意ある第三者から狙われています。 |
ではここで動画を視聴してみて下さい。題して「ワードプレス(ブログ)のSSL化の手順【httpとhttpsの違いとは】」です。
ここで簡単にですが、私が長年お世話になっている「エックスサーバー側」と「ワードプレス側」のSSL設定の手順について図解を用いて説明していきます。参考にして貰えればと思います。それでは見ていきましょう。
- まず先に、エックスサーバー側ですが、サーバーパネルにログイン後「緑色枠」で囲まれている「SSL設定」から、登録をおこなうことができます。エックスサーバー側の登録が終わったら、ワードプレス側をやっていきましょう。
- ワードプレスにログインしたら「黄色枠」で囲まれている「設定」を開きましょう。すると一般設定へ移動します。「水色枠」で囲まれている2ヶ所のURLを変更します。図解の中でも説明している通り。
最初は「http」となっているので、それを「https」に手書きで変更するだけ。つまり「s」を付け加えるだけです。最後に変更を保存を押して終了です。
今回は、ここまでとします。ワードプレスのセキュリティ対策!については理解して頂けたでしょうか?ワードプレスは、全世界で使われている最も人気のあるブログツールですから、それだけ狙われやすい訳です。
| ワードプレスのプラグイン「Login LockDown」の使用を長年続けてますが、一度たりとも不正なログインがあったり、アカウントを乗っ取られた経験などありません。アカウントが心配な方は是非インストールすることを強く推奨します。 |
せっかく一生懸命作ったブログが得体の知れない人に乗っ取られたりでもしたら泣くに泣けない状態になってしまいます。その為にもセキュリティ対策はしっかりおこないましょう。以上となります。
