ワードプレスを使うなら最低限やっておきたいセキュリティ対策

現在、世界のウェブページの4分の1が、ワードプレスで作られていると言われています。

たくさんあるということは、ハッカーの標的になりやすいということ。

中身を改ざんされたり、悪意を持ったプログラムを仕込まれたりすると大変です。

とは言っても、個人でできる対策には限界があります。

そこで個人ブロガー向けに、最低限やっておきたいセキュリティー対策を紹介します。

ユーザー名を隠す

ワードプレスは、ブラウザ上で「ユーザー名」と「パスワード」を入力すると、誰でも管理画面にログインできます。

必要なログイン情報のうち、「ユーザー名」は初期設定のままではバレバレです。

そのままだと、攻撃者は「パスワード」だけを見つければいいことになるので、セキュリティーが大きく低下してしまいます。

まずは、「ユーザー名」が簡単にわからにように隠しましょう。

ブログ上でのユーザー名表示をニックネームにする

デフォルトのままだと、ブログ内で投稿者としてユーザー名が表示されてしまいます。

まずは、ユーザー名ではなくニックネームが表示されるよう変更しておきましょう。

「ユーザー」から「あなたのプロフィール」を選択します。

プロフィール

そして、「名前」の「ブログ上の表示名」を必ず「ニックネーム」にしてください。

ニックネーム

これで、プロフィールを更新すれば完了です。

投稿者アーカイブの変更

ワードプレスでは、投稿者(通常は運営ユーザー)の記事一覧ページ「投稿者アーカイブ」が生成されます。

このアーカーカイブページのアドレスが、初期設定では” ブログのURL/author/ユーザー名/” になっています。

ブラウザーで "ブログのURL/?author=1” と打ち込むと、自動的にアーカイブページに移動するので、そのアドレスからユーザー名が分かってしまいます。

相手はプログラム。この方法でユーザー名を取得するなんて一瞬でやってのけます。

 "ブログのURL/?author=1” と打ち込んでも、ユーザー名がわからないようアーカイブページのアドレスを変更しておきましょう。

Edit Author Slugプラグインでアドレス変更

"Edit Author Slug"は、投稿者アーカイブの場所を変更できるプラグインです。

使い方は簡単。

まず、"Edit Author Slug"をインストールして有効化します。

「ユーザー」から「あなたのプロフィール」を選択すると、下の方に「Edit Author Slug」という項目ができているはずです。

Edit Author Slug

一番下の「カスタム設定」にチェックを入れて、アドレスに使う文字列を入力して、プロフィールを更新すれば完了です。

Edit Auther slugはこちらから

その他のセキュリティー対策

cyber-security

それ以外にも、不正なログインを防止するためのセキュリティー対策を設定しておきましょう。

そのためのプラグインを紹介します。

SiteGuard WP Plugin

セキュリティ対策用のプラグインは沢山ありますが、” SiteGuard WP Plugin ”はひとつのプラグインに多くのセキュリティー機能が搭載されているので便利です。

また日本製のプラグインなので、操作方法もわかりやすくておすすめです。

ログインページURLの変更

ワードプレスのログインページは、" ブログURL/wp-login.php ”になっています。

このアドレスを変更することで、ログインページの場所が簡単にわからなくなって、不正ログイン防止になります。

SiteGuard WP Plugin ”は、インストールして有効化した時点でログインページのアドレスを変更するので「自分がログインできなくなった」なんてことにならないように、ログインページを必ずブックマークして下さい。

その他のセキュリティー機能

下の図は、” SiteGuard WP Plugin ”に搭載されているセキュリティー機能の一覧です。

チェックが入っている項目はデフォルトで有効になっているものです。

サイトガード

ログインページ変更は、説明済みなので他の項目について簡単に説明しておきます。

管理ページアクセス制限

ログインしていないIPアドレスからは、管理ページへアクセスできないようにしてくれます。

画像認証

ログイン時に画像認証を追加するものです。

ログインページ

こんな感じで「ひらがな」の画像認証が表示されます。

数字やアルファベットではなく「ひらがな」なのがいいですね。

ログイン詳細エラーメッセージの無効化

「ユーザー名」「パスワード」「画像認証」どれを間違っても同じメッセージを返すようになります。

ログインに失敗したとき、何を間違えたのかわからないようにすることで攻撃を回避します。

ログインロック

ログインに繰り返し失敗すると、その接続元からのアクセスを禁止してくれます。

デフォルト設定では、5秒間に3回ログインに失敗すると、1分間ロックされるようになっています。

手動でログインするときに打ち間違えても支障はなく、機械的なアタックには有効な設定になっています。

ログインアラート

新しいログインがあった場合、メールで知らせてくれます。

自分でログインしていないのにメールが来たら「不正なログインがあった」ことがすぐにわかります。

フェールワンス

ユーザー名やパスワードを正しく入力しても、一回目はエラーになり二回目でログインできるようになります。

攻撃にはかなり有効ですが、ログインに手間がかかるようになるので、デフォルトではオフになっています。

XMLRPC防御

XMLRPC機能を無効化して悪用を防ぐそうです。すいません。自分にはよくわかりません。

更新通知

WordPress、プラグイン、テーマの更新が必要になったときに、メールで知らせてくれます。

古いバージョンを使っていると脆弱性を突かれることがあるので、常に最新バージョンに更新しておきましょう。

WAFチューニングサポート

” SiteGuard Lite ”というWAF(ウエブサイトのファイヤーウォール)を使っている場合に必要な機能のようです。

普通は必要ありません。

SiteGuard WP Pluginはこちらから

まとめ

もし、ワードプレスを使っていてセキュリティー対策をしていないのなら、” Edit Author Slug ”と” SiteGuard WP Plugin ”だけでも導入して有効化してみてください。

これで万全とは言いませんが、個人でも簡単にできるセキュリティー対策なので、ぜひやっておきましょう。

以上、ワードプレスを使うなら最低限やっておきたいセキュリティー対策でした。