WordPressを運営していると、
必然的に全世界に公開されることになるため
セキュリティの設定もしっかりする必要があります。
とはいえ、僕らFPはITやネットの専門家ではないので
大事なのは分かっていても、そこはできるだけ
楽したいもの。
そこで、WordPressに最低限必要な
セキュリティ設定とやらをしてみました。
目次
WordPressのセキュリティ設定をするための
環境やプラグインはたくさんあるようです。
まずどれにするかから迷ってしまうのですが
今回はネット上でも評価が高そうな
「All in one WP Security」という
プラグインを使ってみることにしました。
「All in one WP Security」プラグインは
その名の通り、これ一つでWordPressの
様々なセキュリティ対策に対応しています。
ただ、冒頭のとおり、僕たちFPは
セキュリティの専門家ではありません。
ですので、All in one WP Security
プラグインが持っている
いくつかの機能を有効化し
「最低限」これだけやっておけばまずは安心だろう
という項目をピックアップしてみます。
プラグインをインストールしたら管理メニューに
「WP Security」というメニューが現れますので
その中から以下の3つ、
これだけで最低限のセキュリティ設定が完了します。
(これだけで最低限OKという理由も、
このプラグインで分かるようになります。
後ほど、お伝えします)
ではひとつずつ見ていきましょう。
なお、以下の設定を進める前に万一のために
WordPressのデータベースのバックアップ等を
しておくことをお勧めします。
データベースのバックアップも、
ある意味セキュリティ対策の一つです。
WordPressのページには、標準では
WordPressのバージョン情報が記載されています。
これはブログを開いて見えるテキストではなく
HTMLソースの中に埋め込まれているので
普段は気づくことがありません。
ただ、ハッカーは古いWordPressの脆弱性を
利用しようとしますので、こうした情報は
隠しておくほうがセキュリティ上は得策。
ということでこちらの設定をしました。
WordPressのアカウントはIDとパスワードですが
このIDとパスワードが知られてしまうと
かなりまずいです。
ブルートフォースアタック(総当たり攻撃)という方法で
このIDとパスワードを当てられてしまう事があります。
要は、パスワードを手当たり次第に入力して
あたったらラッキー、という方法ですね。
これを防ぐ有効な手段が「Login Lockdown」。
よく金融機関のログイン画面で
パスワードを3回間違えたらログインできなくなります、
というのと同じ対策ですね。
これを設定しましょう。
「WP Security」→「User Login」→「Login Lockdown」
の順に進みます。
「Enable Login Lockdown Feature」にチェックを入れ
以下を参考に適宜設定して「Save Settings」で完了です。
パスワード流出が最も怖いので
できればもう一つ設定しておきましょう。
通常、WordPressのログインページURLは
http://あなたのドメイン/wp-admin/
です。
この「wp-admin」のところを
任意の文字列(URL)に変更できます。
あなただけが知っている文字列にすれば
そもそも攻撃する事ができなくなりますよね。
では「Brute Force」→「Rename Login Page」
を開きます。
「Enable Rename Login Page Feature」に
チェックを付けて、ドメイン以降の文字列を任意に変更、
「Save Settings」で保存。
一旦ログアウトして、ログインURLが変わっていることを
確認して完了です。
ただ、この設定はもし上手く行かなかったら
最悪ログイン出来なくなってしまう危険性もあります。
プラグインの説明をよく読み
慎重に設定してください。
(怖ければ、ログイン回数の制限だけでも有効だと思います)
さて、手順としてはたったの3つですので
あっという間に終わると思います。
これだけの設定で、どれぐらい
セキュリティが向上したかというと…
こんな感じだそうです。
このメーターはWP SecurityのDashboardに
表示されています。
一応、グリーンの領域の一番下のところなので
「最低限」のセキュリティ向上は図れたのかな
というわけですね。
「All in one WP Security」プラグイン以外で
セキュリティに関係する設定もついでに
チェックしておきましょう。
「常時SSL化」というのは一度は
耳にしたことがあるかもしれません。
これは「SSL」という暗号化された通信方式を
HTTP(ウェブページやブログ)に常時適用する方法です。
メリットとしてはブログにアクセスする個別の通信が
全て暗号化されるので、誰(IPや端末)が閲覧しているかや
フォームへの入力情報などが第三者に流出する
リスクを減らすことが出来ます。
また、WordPressの管理画面もSSL化しますので
管理者にとっても、より高いセキュリティ環境が手に入ります。
常時SSLについてはこちらの記事に
書きましたので、参考にしてください。
お使いのレンタルサーバーがXサーバーの場合
海外IPからのWordPressダッシュボードへの
アクセス制限が可能です。
「WordPressセキュリティ設定」画面から
のように設定されていればOK。
もしOFFなら、「ONにする」で
設定してください。
不正アクセスは大抵の場合、
海外IPからのアクセスのようですので
これを設定しておくだけで
セキュリティが向上するそうです。
海外在住の方や、海外旅行中に
ブログを更新したいといった特殊な場合でなければ
ずっとONにしておいて問題ありません。
Xサーバーであればログイン試行回数制限なども
設定できますので、必要に応じて使い分けてくださいね。
以上、
楽して快適なWordPressライフを
お過ごしください。
FIREブームの原典「お金か人生か」が暴く「現代の病」とは
外貨建て保険に逆風?金融庁が新たな共通KPIを導入。その中身とは!?
【セキュリティ対策】恐怖!アカウントが勝手に作成された!?対処法と心構えについてシェアします
LIFE SHIFT2 から学ぶ、先の見えない時代のFPの役割とは
知識を積み上げる!年末年始に読み込みたい、お勧め厳選3冊!
「配当節税二重取り」の穴が防がれる?令和4年税制改正大綱で判明。さらなる対策とは?
FPも顧客をお金もちにする?「行動経済学入門」カンタンレビュー
70年代に逆戻り?日本はもう先進国とは言いにくい。個人はどう対策すべき?
【勉強家必見】点から面への読書に進化する方法!「鈍器本」独学大全の魅力と、技法のご紹介
【初心者向け】FPにとってのネットメディアの役割を図解で説明
コメントフォーム