サイトのセキュリティ対策なんて今はする必要がないでしょ。
なんて感じで他人事に思ってしまっていませんか?
ボク自身も初心者のころはそう思って特に気にせずにいたんですが、
セキュリティ対策をないがしろにしてしまったせいで、
これまでに大事に育て上げたサイトを2つ、お釈迦にしてしまったことがあります。
1つは不正ログインでサイトを乗っ取られてしまったというもので、
もう1つは、サーバーごとウイルスに侵食されてしまったという
世にも恐ろしい状況に見舞われたのです...
収益の上がっているサイトだったので、
それなりの金額を支払う覚悟で
専門家にお願いもしてみたんですが、「もう手遅れです...」との回答。
手塩にかけて育て上げたサイトが、
一夜にして水泡に帰してしまうなんて、想像しただけでも震えちゃいますよね。
今回は、そんな世にも恐ろしい状況を未然に回避するための
セキュリティ対策を「5選」お届けしようと思います。
この記事の目次
その1:WordPressのニックネームを変更する
さて、まず1つ目は超基本的な対策から。
WordPressって、デフォルトの状態だと
ユーザー名が誰からでも丸見えなんですよね。
たとえば、個別記事のコメント欄。
もしここで一度でもやり取りしたことがあるなら、
ログイン時のユーザー名がそのまんま表示されてしまいます。
ここでは割愛しますが、
その他にもユーザー名がわかってしまうパターンは多岐に渡ります。
なんでこんな仕様になってんの...
という話は一旦置いといて。
WordPressのログイン時に必要となるユーザー名を
他人に知られてしまわないためにやっておくべきなのが、「ニックネームの設定」です。
WordPress管理画面から、「ユーザー」→「プロフィール」と進み、
ニックネームを変更し、あわせてブログ上の表示名も変更しておくようにしましょう。
こうしておくことで、
コメント欄にはニックネームが表示されるようになり
ユーザー名を他人に知られてしまうことを防ぐことができます。
その2:メール投稿設定を変更する
次に、意外に見落としがちなのが「メールでの投稿設定」の項目。
使っている人はほとんどいないので知らない方も多いと思いますが、
実はWordPressって「メール投稿機能」がデフォルトで搭載されています。
メールで投稿するためには、
「メールサーバー」「ログイン名」「パスワード」の3つが必要になるんですが、
この部分がデフォルトの状態のままだと、
悪意のある第三者から不正にメールで投稿されてしまう危険性があります。
変更方法は簡単です。
WordPress管理画面から、「設定」→「投稿設定」と進み、各項目の文字列を変更するだけです。
ご丁寧にランダムな文字列を3つ用意してくれているので、それらの各項目に割り当てるだけでOKです。
これで自分のサイトに他人からメールで投稿されるかもしれない
という超危険な状況を回避することができます。
その3:ブルートフォースアタックに備える
ブルートフォースアタックは
「総当たり攻撃」とも呼ばれるサイバー攻撃手段です。
もともと暗号解読方法の一つだったんですが、
それがサイバー攻撃手段として悪用されるようになりました。
サイバー攻撃というとたいそうに聞こえるので、
つい「自分には関係のないことだ」と思ってしまうかもしれません。
しかし、インターネット上では頻繁に行われている、
もっとも身近なセキュリティ脅威だと言っても過言ではないでしょう。
総当たり攻撃という名前からわかる通り、
考えられるすべてのパスワードの組み合わせを試す力技的な手法で、
不正ログインされる危険性があるだけでなく、
短時間に何度もログインを試すことで、サーバーに高負荷がかかり
最悪サーバーダウンしてしまうおそれもあるのです。
怖いですねー...
ちなみにボクが運営する複数のサイトも、
もう何度もこの攻撃を受けています。
そんな危険で悪質なブルートフォースアタックを未然に防いでくれるのが
「Limit Login Attempts Reloaded」プラグインです。
このプラグインをインストールしておくことで、
あらかじめ指定した試行制限回数を超えると、
自動的に一定時間ログイン不可の状態となり、
不正ログインやサーバーダウンを防ぐことができます。
基本的にインストールしておくだけでOKのお手軽プラグインなので、
導入がまだの場合は、かならず入れておくようにしましょう。
Limit Login Attempts Reloadedは、WordPressの公式プラグインなので、
プラグイン新規追加画面から、直接インストールすることができます。
ちなみにこれは、ボクのサイトに入れているLimit Login Attemptsのダッシュボード画面。
24時間のうちに”100回以上”のログイン試行が行われています(やめて...)
その4:更新が滞っているプラグインは使わない
続いて気を付けてもらいたいのが、これ。
WordPressでサイト運営する上で、もはや必須と言えるプラグイン類ですが、
長い間更新がされていないものは極力、使わないほうがいいです。
更新が滞っているプラグインは、このように
「使用中のWordPressバージョンで未検証」と表示されます。
適当にピックアップしたこのプラグインは、
最終更新が ”1年前” ということで、かなり危険な状態だと言えるでしょう。
たとえばContact Form7だと、最終更新は3週間前ですが、
「使用中のWPバージョンと互換性あり」となっていますよね。
なぜ更新が滞っているプラグインが危険なのかというと、
最新バージョンのWordPressと互換性がないことで、
セキュリティ的な脆弱性があることが多いからです。
つまりそれらのプラグインが ”穴” となって、
WordPressに不正に侵入されてしまったりすることがある、ということです。
なので、新しいプラグインをインストールする前には、
必ず、WordPressバージョンとの互換性があるかを
チェックしてから入れるようにしましょう。
その5:定期的にバックアップを取る
最後のその5は、
「WordPressのバックアップを定期的に取っておく」というものです。
サイト運営者にとってバックアップを取るというのは基本中の基本。
ですが、「なんとなく大丈夫やろ」という根拠のない理由で、
バックアップを取っていない運営者さんは意外に多いです。
はい。ボクも実際にサイトがお釈迦になる前までは
その一人でした(笑)
しかし、覆水盆に返らずということわざもあるように、
なにかがあってからではもう遅いんです。
大事に育て上げたブログが一瞬でダメになってしまったら、
軽く見積もっても1ヶ月は立ち直ることができません(経験談)
「ああ、あの時バックアップを取ってれば...」
とならないためにも、日頃から定期的にバックアップをとる
”クセ” を付けておくようにしましょう。
ちなみにバックアップを取るときは、
「All-in-One WP Migration」プラグインを使うのがおすすめです。
2013年にリリースされたバックアッププラグインで、
すでに6,000万以上のWordPressサイトに導入されている実績があり、
初心者にも使いやすいですし、
ボク自身も長きに渡って愛用しているプラグインです。
もちろんWordPress公式プラグインなので、
管理画面からインストールすることが可能です。
さいごに
そんなわけで、今回は自身の体験をもとに
サイト運営者がやっておくべきセキュリティ対策を5選
ご紹介しました。
- ニックネームを変更する
- メール投稿設定を変更する
- ブルートフォースアタックに備える
- 更新が滞っているプラグインは使わない
- 定期的にバックアップを取る
どれも簡単にできることなので、
もし未対応なものがあるなら、今すぐにでもやっておきましょう。
「転ばぬ先の杖」ってやつです。
─── あわせて読みたい記事 ───
Contact Form 7の問い合わせメールに大量のスパム!対処法を解説します
使ってわかった!WordPressに入れない方がいいプラグイン3種(競合/重い/意味がない)