こんにちは、とーみねです。
最近、猫も杓子もWordPressでもちきりですね。
ブロガーの方々も最近WordPress利用が増えてきていると思います!
ところで皆さん、WordPressのセキュリティは大丈夫ですか?
残念なことにWordPressサイトはよく攻撃の対象とされています。
適切な対応をしていないと、ブログが不正に操作されたり、最悪のっとられるという事態にも発展しかねません。
今回は「なぜWordPressサイトは攻撃の対象にされるのか」を説明し、劇的にセキュリティを向上させる3つの対策についてお伝えしたいと思います。
なぜWordPressサイトは攻撃の対象にされるのか
では、なぜWordPressサイトは攻撃の対象にされるのでしょうか?
WordPressに攻撃のスキが多くあるからだと思いますか?
いいえ、違います。
WordPressが広く使われていることが原因です。
誰も使っていないようなニッチなシステムを攻撃する人よりも、多くの人が使用しているシステムを攻撃する方が、攻撃者としてもメリットが高くなるのです。
最近ではブログだけではなく、企業コーポレートサイトのCMSとしてもWordPressが利用されているため、WordPressを攻撃する手法を見つけることは、攻撃者にとって有益だと言えます。
ではWordPressはどのくらい使用されているのでしょうか?
W3Techの調べによると、世界の31%のサイトがWordPressで動いている(2018/6/12時点)とのことです。
2位と大差をつけて堂々の1位ですね。笑
これは攻撃者に狙われても仕方がないです。
では、どうやってサイトを守るのかについてお伝えしていきたいと思います。
あなたのWordPressを守る3つのポイント
まず結論からお伝えします。
自分のWordPressを攻撃者から守るには、次の1~3のポイントを守ってサイトを運営してみてください。
- 推測されにくい複雑なログインパスワードを設定する
- 導入するプラグインを最小限にとどめる
- WordPress、プラグインのバージョンアップをきちんと行う
では順に説明していきます。
推測されにくい複雑なログインパスワードを設定する
ログインパスワードには、推測されにくい複雑なログインパスワードを設定してください。
というのも、デフォルトの設定ですとWordPressのログインIDは簡単に知られてしまいます。
例えば、あなたのサイトの末尾に?author=1と入力してアクセスしてみてください。
アクセスできましたでしょうか?
表示されたページはオーサーアーカイブといい、ユーザごとの記事一覧を表示するページです。
さて、おわかりいただけただろうか?
ページやURLにログインIDが表示されています。
なんということでしょう、このサイトのログインIDは「admin」だということが簡単にわかってしまいます。
他にもあります。
あなたのサイトの末尾に/wp-json/wp/v2/usersと入力してアクセスしてみてください。
この方法でもログインIDが「admin」だと簡単に確認できますね。
なので、IDとパスワードが一緒とかは論外です。
覚えることが大変でも必ず複雑なパスワードを設定してください。
どうしても気持ちが悪い方は、「ユーザ」>「あなたのプロフィール」から下記を実施してみてください。
②の部分を任意のニックネームに変更することが可能です。
ただ、①のURL部分は変わらないので、ログインパスワードはやはり重要です。
※ちなみに、URLに表示されるIDを別のワードに変更するプラグインもありますが、WordPressの挙動を変えてしまうためあまりお勧めできません。
導入するプラグインを最小限にとどめる
突然ですが、WordPressのセキュリティホール(攻撃につながるバグや不具合)は多いと思いますか?
実はWordPressのセキュリティホールはそれほど多くはありません。
では、なぜWordPressが攻撃される話をよく聞くのでしょうか?
その原因はプラグインにあります。
WordPressの致命的なバグの大半はプラグインが原因といわれています。
なので、安全かつ必要なプラグインだけを導入するようにしましょう。
では、安全なプラグインとはどういったものでしょうか?
残念ながら100%安全なプラグインはありませんが、比較的安全と思われるプラグインは存在します。
では、プラグインを導入する際に押さえておくべきポイントをお伝えします。
単機能のプラグインを導入する
1つのプラグインでなんでもできるAll in Oneのプラグインは、多機能で便利である反面多くのセキュリティーホールが内包されている可能性もあります。
当然ですね。
多機能であればあるほどプラグインの作りも複雑になっていきます。
自分のサイトで必要な機能だけを持つプラグインを選定するようにしましょう!
継続メンテナンスされているプラグインを導入する
基本的には1年以上更新されていないプラグインは使用を控えるべきです。
セキュリティホールがすでに存在したまま放置されている可能性がありますし、新たに発見されても修正されない可能性があります。
ベストなのは、「現在の WordPress バージョンと互換性あり」と表示されたものですね。
信用できる製作者のプラグインを導入する
この界隈には有名なプラグイン製作者、プラグイン制作会社が存在します。
これも絶対ではありませんが、当然素性の知れた有名な方々が作ったプラグインはある程度信頼できます。
では、どういった方々が信頼できるのでしょうか?
少し紹介したいと思います。
<digital cube>
WordPressサイト制作会社のプロフェッショナルの方々です。
上記方々が制作しているプラグインを少し紹介します。
Contact Form 7
定番中の定番ですね。
サイトにお問合せフォームを追加できるプラグインです。
WP Total Hacks
WordPressの表示や設定を20箇所以上変更可能な便利プラグインです。
多機能ですが、製作者が信頼できるのであれば使用を検討してもいいかと思います。
WP Post Branches
通常公開後の記事をリライトする際、下書き保存すると公開中の記事が非公開になってしまいます。
更新時に途中で作業を中断したい場合もありますよね?
これはそんな願いをかなえてくれるプラグインです。
<プライム・ストラテジー>
こちらもWordPressサイト制作で有名な制作会社ですね。
PS Auto Sitemap
サイトマップを自動生成するプラグインです。
他にも「Automattic社」や「ジェイピー・セキュア社」等のプラグインも信頼できるでしょう。
WordPress、プラグインのバージョンアップをきちんと行う
最後にアップデートについてですね。
WordPressやプラグインのバージョンアップは、セキュリティホールの解消を含む場合も多いので、必ず実施するようにしましょう。
専門知識なくこれを怠るようであれば、WordPressの使用は控えるべきです。
では、なぜバージョンアップを控える方が一定数いるのか?
それはバージョンアップにより、サイトが閲覧できなくなる等の影響が発生することを恐れてのことだと思います。
サイトが閲覧できなくなる問題は、プラグインの組み合わせによる影響が大半だと思うので、インストールするプラグインを厳選しておけば、そうそう起きることはないと思います。
ただ、事前にアップデート確認した方が確実ですので、自分のパソコンにWordPressをインストールして確認してみるといいと思います。
パソコンにWordPressをインストールする方法は後日気が向いたときに記事にします。
おまけ
これさえやっていれば大丈夫といっても不安だと思います。
なので、セキュリティプラグインについても少し紹介しておきます。
SiteGuard WP Plugin
ジェイピー・セキュア社のプラグインです。
これ一つで色々なセキュリティが対策が可能です。
- 管理ページアクセス制御(ログインしていない接続元からwp-adminを守る)
- ログインページへの画像認証機能追加
- ログインを一定回数間違えた接続元を一定期間ロック
- XMLRPCの悪用防止
Crazy Bone
こちらはdigital cubeのwokamotoさんのプラグインですね。
このプラグインを導入することで、ログイン履歴(アクセス元情報)を記録し、ダッシュボードから確認できるようになります。
ログイン失敗の記録も残るため、不正アクセス確認にも利用できます。
単機能のプラグインなので、導入しやすいと思います。
いかがでしたでしょうか?
ぜひ皆さんも実施して、楽しいWordPressライフを送りましょう!
