以前にも述べましたが、ワードプレスは世界中で広く利用されているが故位に、
セキュリティーの穴をついてホームページに侵入して改ざんや、
おかしなプログラムを仕込んだりする輩が後を絶ちません。
ですが対策をしっかりと打つことによって、大半の攻撃は防ぐことが可能です。
ワードプレスのセキュリティーで、主に使用するプラグインをここにあげておきます。
Akismet
このプラグインは、初期状態からインストールされているもので、
コメントスパムに対して非常に有効です。
(コメントスパム=主に海外から自分のホームページの内容に関係のない
宣伝目的のコメントを送りつけるもの)
このプラグインのことや、プラグインのインストール方法などを、
以前の記事でもお話ししましたので参考になさってください。
参考記事>>> ワードプレスをインストールしたら、一番最初にやっておきたい2つのこと。
Crazy Bone (狂骨)
なんとも変わった名前のプラグインですが、
これを使う事によってあなたのワードプレスの管理画面からのログイン履歴が
リスト上になって確認することができるというものです。
少し画像を加工してIPアドレスは消してありますが、
japanと並んでいるのがログインしてきた相手の国籍とIPアドレス、
一番右にあるのが、ログインしてきた端末です。
このサイトは出来てから日も浅いのと、
使用しているレンタルサーバーがエックスサーバー なので、
海外からのログインを自動排除しているために非常にクリーンな状態です。
ログインに失敗すると、エラーとして記録に残るので、
コンピューターを使ったブルートフォースアタックという文字列をランダムに入力しまくって、
そのうちログインしてしまう総当たり攻撃を受けていないかなどを知ることができます。
Google Authenticator
このプラグインは、Googleの二段階認証を手軽にプラグインで実現してしまうものです。
(ワードプレスのロゴは弊社のロゴに変更しています)
はいっ!
上の青枠の部分が追加されていることにお気づきでしょうか?
ここにあなたのiPhoneやandroidなどにインストールしたGoogle Authenticatorで生成された
パスワードを入力するわけです。
今のところ最強の認証システムですね。
取りあえずiPhoneの方はこちらからアプリを手にしてください。
Google二段階認証についてはこちらです。
参考記事>>> Google二段階認証プロセス
(私の時にはこんなにわかりやすい公式サイトは無かったです。)
※ただしこのプラグインは、Crazy Bone (狂骨)との相性が悪く、
一緒に使用していると正しいコードを入力してもログインできなくなります。(2015年3月現在)
もしそうなってしまった場合には、FTPソフトなどで、
レンタルサーバーからwp-contetの中のpluginsフォルダーに入っているGoogle Authenticatorを
直接削除すればはいれるようになります。
ですので、このプラグインを使うのは中級者以上の方がよいでしょう。
わたしの場合は、ネットショップを構築した際に、個人情報を強固に守る必要がある際に
使用しています。
Limit Login Attempts
Crazy Bone (狂骨)プラグインでお話ししたブルートフォースアタックという
総当たり攻撃をかわすのに有効なのが、ログインに失敗した回数に応じて
一定時間外部からログインを遮断してしまう方法です。
たいていのWEBサイトでは使用されていますよね。
上から順番に…
一番上の青い枠の部分は、このサイトにアタックしてきたログが自動的に残るのですが、
それをリセットするためのものです。
(ログはこの画面には写っていませんが、一番下の部分に出てきます。)
そして赤枠の部分画面の設定で行くと…
- 4回ログインに失敗するとロックがかかる。
- そうすると20分間何を入力しようがログインできない。
- その後さらに4回ログイン失敗すると、24時間後までログインを受け付けない。
- 12時間たったらリトライ数をリセットする。
と、こういう事です。
そして下の青枠部分で、ログインエラーが出た場合に自分宛にメールを送信することができます。
いわば警告メールですね。
数字の4が入っているのは、4回失敗するとメールを送るという意味です。
もちろんここのチェックを入れないと機能しませんよ。
まとめです。
これらの対策を施せば万全というわけではありませんが、
世の中のほとんどの方はこの対策をご存じない場合もありますので、
ぜひ実行していただきたいと思います。
ただし、Google Authenticatorの使用についてはくれぐれも注意してください。
それとこれらに限ったことではありませんが、
プラグインのアップデートや、インストールの前には
必ずバックアップを取る習慣をつけてくださいね。
次の記事>>> 動画で解説!ワードプレスのバックアップの方法。