企業や個人にとってのセキュリティ対策は重要な検討事項です。今回は情報発信のために広く利用されているwordpressのセキュリティ対策について紹介します。
目次
【必須!】乗っ取られていないか確認しよう!
WordPressが乗っ取られているかを確認する方法は4つあります。普段からこの4つには注意するようにしましょう。
1.自分の知らない変更がされていないか確認する
最もわかりやすい乗っ取られているかの判断方法は、自分の知らない間にページ情報が更新されているかどうかです。
明らかにデザインなどが変更されている場合は簡単に気がつくことができます。しかし、既存の記事の内容が変更されていたり、知らないファイルが追加されているなどは気が付きにくいものです。そういった場合は、完ぺきではありませんが、ファイルの更新日時を確認するようにしましょう。
明らかに更新していないはずの時間になっていたら乗っ取りを疑う必要があります。
2.管理者が増えていないか確認する
定期的に管理画面の左メニューバーのユーザーの項目から管理者が増えていないか確認するようにしましょう。
もしも知らない管理者が増えていたら、すでに乗っ取られているも同然です。
3.知らないログインがないか確認する
ログイン履歴を調べれば、自分以外の人間がWordPressを使っていることが一目でわかります。
ログイン履歴はCrazy Boneというプラグインを使って調べることができます。
Crazy Boneの使い方は簡単です。WordPressのメニューバーの「プラグイン」を選択し「新規追加」をクリックします。そこでCrazyBoneと検索し、インストールそれば完了。あとはソフトを有効化しておけばログイン履歴を記録・閲覧してくれます。
4.ウィルスチェックプラグインを走らせる
WordPressでもパソコンと同じようにウィルスが存在します。そのため、ウィルスチェックプラグインも作られています。最後に紹介する乗っ取られていないか確認する方法は、ウィルスチェックプラグインを導入する方法です。
ウィルスチェックプラグインには例えばAntiVirusがあります。
AntiVirusを使うと非常に高度なウィルスチェックを行うことができます。また、自動スキャンと問題発生時のメール通知機能が付いているので、手動でウィルスチェックをする手間を省くことができます。
しかし、弱点として誤検知の問題があります。つまり、問題のないものもウィルスチェックに引っかかってしまうことです。もし問題のないものが検知されたら「There is no virus」をチェックすれば解決するので、乗っ取られるよりはましなのではないでしょうか。
今すぐできるセキュリティ向上!プラグイン5選
何も問題が見つからなかったからといって油断はできません。乗っ取られる前に対策をしておくようにしましょう。今回は、乗っとり対策をするなら入れておきたい5種類のプラグインを紹介します。
1.Acunetix WP Security
Acunetix WP Securityと、先ほど紹介したAntiVirusとの最も大きな違いは日本語に対応しているかどうかです。
アンチウィルスソフトを使ってチェックした時に最も緊張するのが、問題が検知された時です。そんな時に英語で表記されていると、理解できる人にとっては何の問題もありませんが、英語を読めない人にとっては大きなハードルになります。
そんな人にはこちらのAcunetix WP Securityをおすすめします。
2.Stealth Login Page
・通常のログイン画面を隠し、自分だけのログイン画面を作ることができる
wordpressのログインURLは非常に予想しやすく、容易にアクセスしやすい傾向にあります。
パスワードやIDを設定していても、それではどうしても乗っ取られる可能性は拭えません。そこで、このStealth Login Pageを使えば自分だけのログイン画面を作成し、その画面以外からのログインは別のページに遷移するように設定できます。これで不正アクセスをされる可能性を下げることができます。
これだけではセキュリティとして心もとないですが、入れておくことでセキュリティ向上に貢献してくれることは確かです。先ほど紹介したウィルスチェックプラグインと併用して導入すると効果的です。
3.Throws SPAM Away
・日本語以外のコメントスパムを自動的に削除できる
・スパムちゃんぷるーのフィルタを利用してスパム判定ができる
・IPアドレスを指定してブラックリスト・ホワイトリスト作成ができる
・NGワードを設定すればそのコメントも自動的に削除できる
サイトを運営する上で頭を悩ませるのがスパムコメントの存在ではないでしょうか。
Throws SPAM Awayを導入することで、日本語以外のスパムコメントはほぼすべて削除することができます。また、NGワード設定やブラックリスト・ホワイトリスト作成もできます。さらに、livedoorが運営するサイトでも利用されているスパムちゃんぷるーというスパムフィルタを利用することができるので、フィルタを新たにゼロから作成する手間を省くことができます。
スパムコメントを投稿されることで本体のWordPressがウィルスに感染するわけではありませんが、サイトの情報を適切に保つ、という視点からサイトのセキュリティ向上に関係する項目になります。
4.Google Authenticator
・20秒ごとにパスワードを自動変更・生成できる
定期的なパスワードの変更は最も有効なセキュリティ向上手段のひとつです。グーグルが提供するGoogle Authenticatorを設定すると20秒ごとにパスワードが変更・生成されるようになります。
デメリットを挙げるとすれば、別途端末へのアプリインストール等の手間が必要な点です。wordpressでプラグインの設定後、端末でも設定を行わなくてはこのプラグインは利用できません。また20秒ごとにパスワードが変わるのでその都度パスワードを確かめなくてはならないという手間もあります。
これらの面倒をかけてでもセキュリティを向上させたいという人向けです。
5.All In One WP Security & Firewall
・ほぼ全方位型のセキュリティプラグイン。
最後に紹介するAll In One WP Security & Firewallは様々なセキュリティに関する機能を持ったプラグインです。
All In One WP Security & Firewallには、ログイン履歴の確認・ログイン画面のURLの変更・コメントスパム対策機能のほか、Acunetix WP Securityのような基本的セキュリティ機能も備わっています。
それだけではなく、データベースの手動・自動バックアップ機能や簡易ファイアーウォールの設定などほぼ全方位のセキュリティに対応してくれます。ゆえにここで紹介している中では最もセキュリティレベルを向上できるプラグインということができます。
これひとつで様々なセキュリティ対策を網羅することができるプラグインですが、残念ながら日本語に未対応です。英語力に自身がある方はこちらのプラグインが最もおすすめですが、英語力に自身がない方は機能別にプラグインを導入したほうが混乱を減らすことができます。
まとめ
WordPressのセキュリティは初期設定のままでは十分とは言えない状態です。企業や個人にとって情報発信の重要性が上昇しているため、自分の発信するものの質だけでなく、発信するプラットフォームのセキュリティについても向上させるようにしましょう。
※掲載している情報は記事更新時点のものです。
※本サイトは、法律的またはその他のアドバイスの提供を目的としたものではありません。当社は本サイトの記載内容(テンプレートを含む)の正確性、妥当性の確保に努めておりますが、ご利用にあたっては、個別の事情を適宜専門家にご相談いただくなど、ご自身の判断でご利用ください。