ワード プレス セキュリティ。 ワードプレスのセキュリティプラグインは必要不可欠!サイトのセキュリティを向上させよう!

ワードプレスが乗っ取られた!?不正アクセス対策とXサーバーの手順について。

ワード プレス セキュリティ

注意事項• さくらのレンタルサーバ ライトプランでは、ブログ・CMSに関するすべての機能はご利用いただけません。 クイックインストールよりインストールされたWordPress ワードプレス が対象です。 各アプリケーションをインストールする前に、「ライセンス」「インストール規約(免責事項)」「注意事項」をご確認いただき、 同意したうえで、インストールを行ってください。 同意いただけない場合は、本機能の利用はお控えください。 ご自身でご用意されたプラグインとの組み合わせによっては処理が競合し、動作に影響を及ぼすこともあります。 詳しい設定方法や機能についてはダッシュボードのプラグイン一覧にあるリンクよりご確認ください。 設定の前に 「WordPressが安全な状態」とは、コンテンツの管理者によって 認識や程度に幾分の差はあるものの、概ね以下の条件が満たされていることを指します。 WordPressが安全な状態• 管理者による許可がないユーザは、閲覧やメッセージの書き込み等、管理者が想定している用途以外の方法でサーバへアクセスできない状態 WordPressが危険な状態 「WordPressが危険な状態」については、概ね以下の条件のいずれかを満たしていることを指します。 サーバ上に設置しているプログラム システム が不正に利用される• 管理画面 ダッシュボード に対し、管理者が許可していないユーザでも侵入できる また、不正利用については下記のような種類に分けられます。 - 種類 内容 1 悪用 プログラムが潜在的に抱えている問題を悪用し、 作者の意図しない方法で使用する。 2 書き換え 置き換え プログラムが潜在的に抱えている問題を悪用し、 作者の意図しない方法を用いてプログラムを書き換える。 3 破壊 プログラムが潜在的に抱えている問題を悪用し、 作者の意図しない方法を用いてプログラムを破壊し、使用できない状態にする。 どのような手法を使って悪用するのか コメントスパム 公開している内容と関係のない文字列がコメント欄に投稿され、ホームページへ大量に登録されてしまうことをコメントスパムと呼びます。 コンテンツそのものへの影響はありませんが、1ページへの登録件数が万単位になると、サーバ負荷が高まり、自身だけではなく同サーバを利用しているユーザのコンテンツの表示も遅延することがあります。 管理画面の悪用 WordPressの管理画面はwp-login. phpというプログラムファイルを中心に構成されています。 悪意のある第三者は不正な文字列をサーバへ送信することでプログラムの脆弱性 ぜいじゃくせい を利用し、管理画面へログインします。 このような状態となった場合、悪意のある第三者はWordPressのすべての機能を使用することができます。 プラグインの悪用 WordPressは「プラグイン」と呼ばれる拡張機能があり、有志や愛好家が公開しているプログラムを追加することができます。 悪意のある第三者は不正な文字列をプラグインとなるプログラムに対して送信することでプログラムの脆弱性 ぜいじゃくせい を利用し、不正なアクセスを行います。 影響度は脆弱性の程度によって差があるものの、多くの場合、管理者が意図しないファイルを設置されます。 Pingback機能の悪用 WordPressには自身のホームページに対する言及を第三者のホームページ上で行われた場合、そのことを通知する、「Pingback」という仕組みがあります。 この仕組みを悪用されたとしても、自身のホームページを書き換えられることはありませんが、知らないうちにどこかのサーバへの攻撃に加担してしまう可能性があります。 突破された場合、管理者が意図して公開を制限しているファイルを閲覧されたり、WordPressのすべての機能を使用することができてしまいます。 どういった対策が有効か インターネットに接続しているすべてのコンピュータは何らかの危険性が必ず存在します。 このため、「この項目だけを設定しておけば万事安心」といった対策はありませんが、「使わない機能は無効化する」、 「容易に推測、解析されるユーザ名やパスワード名は使わないよう心掛ける」、「WordPressを構成するファイルの配置を変更する」 と言った複数の対策を組み合わせることで、攻撃者は容易に手出しができなくなるため、リスクを回避できる可能性は高まります。 自動更新を無効化しない WordPressではデフォルトの状態で、下記を対象とした自動更新機能があります。 マイナーリリースおよび翻訳ファイルのみ• コアファイル更新• 翻訳ファイル更新 こちらは設定によって無効化可能ですが、基本的に有効のまま運用してください。 使わない機能は無効化する ピンバック機能に使われる xmlrpc. php 等のファイルは、しばしば攻撃にさらされ、 不正アクセスのリスクとなる場合があります。 このような不要な機能を無効化したり、有効化されないまま放置されているプラグインやテーマは 削除していただく事で、 不正アクセスのリスクを低減させる事ができます。 容易に推測、解析されるユーザ名やパスワード名は使わないよう心掛ける すべてのパスワードにも言える事ですが、パスワードはできる限り推測されにくく、 安易ではない文字列のパスワードを設定ください。 次に、左側に並んだメニューの <プラグイン>という項目をクリックしてください。 <プラグイン>の画面に変わりますと、 『All In One WP Security』という項目がありますので、 All In One WP Securityの文字のすぐ下にある 「有効化」の文字をクリックしてください。 すると、上記のように左側のメニューに 「WP Security」の文字で項目が追加されます。 「WP Security」をクリックするか、マウスオーバーする事でAll In One WP Security内の各メニューにアクセスする事ができます。 管理画面への不正アクセスを防ぐ WordPressのログインURLは、必ず末尾に wp-login. php が付くので推測されやすく、そのため、悪意の第三者に推測されやすいものとなります。 <Brute Force> メニューの Rename Login Page Settings では、WordPress ログインURLを任意のものに変更する事で、管理画面への不正アクセスを抑制します。 【1】のチェックを入れると、【2】で指定したURLがWordPressのログインURLになります。 Pingback機能を無効化する Pingback機能とは、自分のWordPressの投稿に対してリンクが張られたことを知らせる機能ですが、 これを利用して外部のサイトにDDoS攻撃を仕掛けられる事があります。 Pingback機能は、初期状態で有効になっています。

次の

【ワードプレス初心者】セキュリティ対策は大丈夫?

ワード プレス セキュリティ

WordPress(ワード プレス)はオープンソースのCMSであることから世界中で使われていると同時に、数多く使われているため不正アクセスを受けやすいと言われています。 そのためWordPressを利用している方は、• 他のシステムに乗り換えた方が良いの?• 乗り換えるのは大変だからWordpress使いたいけどセキュリティ面が不安• WordPressのセキュリティ対策方法を知りたい! と思っていませんか? セキュリティ面であまり良い噂を聞かないWordPressも、しっかりと対策をしておけば大丈夫です! 当記事では、WordPressサイトを安全に運営するために、絶対にやっておきたいセキュリティ対策についてまとめてみました。 できるところから始めてみましょう。 この記事の目次• WordPressがセキュリティに弱いと言われる理由 WordPressがセキュリティに弱いと言われる理由には、主に下記の3つがあると言われています。 」と公式サイトで書かれているくらい多くのWebで利用されているため• 詳しい知識の無いWEBの初心者でも本を読みながら簡単に利用できるため• 無償で使えるオープンソースなのでセキュリティホールが発見されやすいため。 WordPressは個人のブログから、ディズニーランドを運営するオリエンタルランドグループや、楽天などの大手企業まで幅広く使われているCMSです。 そのため他のCMSと比べてもユーザー数が圧倒的に多く、ハッカーに狙われやすいのです。 1つ脆弱性を見つければ、攻撃できるWebサイトが多数存在することになりますからね。 少し知識のあるあ人がサイトのソースコードを見れば、そのサイトがWordPressで運用されていることがすぐに分かってしまいますので、WordPressであることが分かったとしても、被害を受けないための対策はサイト運営者として必須なのです。 実際のWordPressサイト攻撃事例紹介 では実際にどのような攻撃がされるのかを見てみると、これまでに「REST APIの脆弱性によるWebサイトの改ざん」「アクセス権限設定の不備によるWebサイトの改ざん」「テーマファイルの改変」など、色々なパターンで攻撃され被害を受けていることが分かっています。 1 REST APIの脆弱性によるWebサイトの改ざん 2017年2月10日にThreatpostにより公開されたもので、WordPressのREST APIに存在する脆弱性のため、リモートでデータの書き換えが行えるようになるというもの。 「WordPress 4. 2」で対応がなされているが、バージョンアップされていなかった150万を超えるサイトが攻撃を受けた。 2 アクセス権限設定の不備によるWebサイトの改ざん 2013年にレンタルサーバのロリポップでサーバ内のディレクトリのアクセス権限設定に問題があり、8000以上のサイトが改ざんされたという事件がありました。 3 テーマファイルの改変(悪意のあるスクリプト埋め込み) よくあるケースですが、脆弱性を悪用してテーマファイルを改変する事例があります。 例えば悪意のあるスクリプトを埋め込んで、サイトを訪れると動作する、とか自動的に別のサイトに飛ばされるなどといったものです。 先ほど攻撃対象と仕組みを簡単に説明しましたが、攻撃からWebサイトを守るためにはどのような対策をすれば良いのでしょうか。 現在のセキュリティ状況を診断しよう セキュリティが大丈夫かどうかを心配する前に、まず自分のサイトが大丈夫かチェックして現状把握することが必要です。 下記の記事に更に詳しく掲載していますので、是非ご覧ください。 WPScans. com WEBサイト上で、独自のアルゴリズムで脆弱性の有無をチェック可能です。 対象のURLを入力し「START SCAN」を押すだけで診断できます。 サイト WPdoctor こちらもウェブサイト上でWordPressのセキュリティ診断をしてくれるサービスの紹介の中で、下記ページでは対象のURLを入力して「サイトを検査」をクリックするだけで診断を実施してくれます。 サイト Wordfence Security WordPressの総合的なセキュリティ対策ができる有名なプラグインでも診断可能です。 プラグインのインストール後、Scanというボタンをクリックすると脆弱性の有無をチェックすることができます。 サイト 事前準備として必須!バックアップをとろう 具体的なセキュリティ対策を進める前に、あらかじめデータベースやWordPressのテーマファイルのバックアップ作業をしましょう。 バックアップを取ることで、その後何か問題が起きた時もすぐに復旧できるようになります。 データベースのバックアップ WordPressで使用するデータは、MySQLやPostgreSQLのようなデータベース管理システムに格納されています。 セキュリティ対策の導入に失敗したときのために、あらかじめデータベースのバックアップを取っておきましょう。 一般的なレンタルサーバを使用している場合、データベースのバックアップはサーバのコントロールパネル(管理画面)phpMyAdminにログインして「エクスポート」機能を操作することでバックアップを取ることができます。 テーマファイルのバックアップ データベースと同様にWordPressで使用しているテーマファイルのバックアップも取っておいたほうがよいです。 特にfunctions. phpというファイルはPHPで記述されたファイルであり、間違った記述があるとサイト全体が表示されなくなる場合もあります。 テーマファイル一式はテーマフォルダに含まれているので、FTPやSCPを使ってサーバにログインしてダウンロードしておきましょう。 定期的に自動バックアップ「BackWPUp」プラグイン 上記のようにphpMyAdminにログインしたり、FTPでアクセスしたりなどでバックアップを取ることが難しいと感じる方は、「BackWPUp」プラグインを利用すると簡単にバックアップを取ることができます! BackWPUpというプラグインを使用することで、WordPressの管理画面からデータベースやテーマのバックアップを取る事できます。 バックアップファイルをDropboxに保存したり、メールで送信したりする機能があり、さらにバックアップの設定をジョブという単位で管理し、定期的に実行する機能などもあります。 参考サイト 参考サイト WordPressのセキュリティ対策19選 WordPressの本体とプラグインのセキュリティ対策4選 1. 最新版にアップデート WordPress本体の脆弱性対策のために、WordPress本体やプラグインの新しいバージョンが公開されたときはすぐにアップデートしましょう。 WordPressのバージョンアップには 「メジャーアップデート」と 「マイナーアップデート」の2種類があります。 メジャーアップデートとは WordPressに対して大きな機能追加や管理画面のレイアウト変更などが伴ったバージョンアップの事です。 このメジャーアップデートは「手動更新」によりアップデート作業を行います。 アップデートの通知そのものは管理画面に表示されるのですが、更新ボタンを手動でクリックしないとアップデートは行われません。 多くのレンタルサーバの場合問題なく新しいバージョンを適用できますが、お使いのサーバのphpやmySQLのバージョンなどを確認の上、バージョンアップをしましょう。 マイナーアップデートとは 主にバグフィックスやセキュリティ対策など小さなアップデートのことです。 マイナーアップデートは基本的に「自動更新」です。 マイナーアップデートがリリースされると、しばらくしてから利用しているWordPressが自動的にアップデートを適用します。 マイナーアップデートが自動更新されたときは、WordPressに登録してあるメールアドレスに対して通知が届くようになっているので、すぐに更新されたとわかるようになっています。 テーマやプラグインは公式から公開されているものを使う WordPressには見た目をカスタマイズするための各種テーマや、機能拡張のためのプラグインが豊富に公開されています。 これらを使用するときは、必ず公式で公開されているもの使用するようにしましょう。 公式に公開されているテーマやプラグインは、厳しい審査を経て公開されているものです。 それらはアップデートされたときも、管理画面から簡単に更新することができます。 一方、公式に公開されていないテーマやプラグインは「野良テーマ」や「野良プラグイン」と呼ばれています。 これらは審査されたものではありません。 中には悪意のあるコードやバグが含まれているものもあり、使用するにあたっては完全に自己責任となります。 テーマやプラグインを利用するときは、原則として公式で公開されているものを使用しましょう。 「野良テーマ」や「野良プラグイン」であっても、「公式サイトにあるテーマ・プラグイン」でも、このページで説明しているセキュリティ対策必須ですので、安心しないでそれ以外のセキュリティ対策も行っておきましょう。 参考サイト 参考サイト 3. 使用していないプラグインは削除する WordPressで使用しなくなったプラグインは積極的に削除しましょう。 不要なプラグインの使用はサイトが重くなるだけでなくセキュリティホールの原因にもなります。 プラグイン開発者がメンテナンスを停止したプラグインでWordPressのバージョンアップに伴い動作しなくなったというケースでは、特に危険です。 サイトを定期的にチェックして不要なプラグインがインストールされていないか確認しましょう。 WordPressのバージョン情報を非表示にする 通常WordPressを使用していると、そのWordPressのバージョン情報が、下記のようにHTMLのソースコードに記述される場合があります。 仮に古いバージョンのWordPressを使用していることが知られますと、攻撃対象になってしまう可能性があります。 バージョン情報の表示は基本的に不要なので表示を停止しましょう。 バージョン情報の非表示はテーマフォルダにあるfunctions. phpにコードを書いて設定します。 adminユーザーは絶対に使わない adminというユーザー名はWordPressをインストールした時にデフォルトで設定されているユーザー名です。 攻撃者はこのadminというユーザー名に対してブルートフォースアタック(パスワード総当たり攻撃)を仕掛けることが多いです。 不正アクセスされる可能性を減らすという意味で、adminというユーザー名は使わないようにしましょう。 ユーザー名を推測されないようにする WordPressで使用しているユーザー名は実は特定のURLにアクセスすることで簡単に推測できてしまいます。 これに関しては「Edit Author Slug」というプラグインを導入することで、表示されるユーザー名を変更することができます。 参考サイト 参考サイト 3. 複雑なパスワードを利用する 最近のバージョンのWordPressからアカウントを作成したときに自動的に難読化されたパスワードを生成してくれるようになっています。 WordPressで使用するパスワードはこのように難読化されたパスワードを使用しましょう。 クラッカーは辞書攻撃を仕掛けてくるケースがあるため、特定の単語を意味するような文字列をパスワードとして使わないようにしましょう。 参考サイト 4. 管理者権限のアカウントの数を最小限にする 複数人でWordPressを運営する場合、ユーザーアカウントをいくつも発行することになります。 その際はできるだけ管理者権限のアカウントを発行せずに、編集者、投稿者、寄稿者権限のアカウントで運営できるかどうか検討しましょう。 これらのデフォルトの権限以外にも、使用する機能を選択しカスタマイズされた権限アカウントを作成することも可能です。 追加されたユーザーによっては平易なパスワードを使うことも考えられるため、いざという時のためにも、アカウントを追加する場合はできるだけ権限の少ないアカウントを発行するようにしましょう。 WordPressのログイン履歴や操作ログを記録する「WP Security Audit Log」の導入 WordPressのログイン履歴や管理画面での操作ログを記録できるプラグイン「WP Security Audit Log」を導入しましょう。 特にログイン履歴に関しては、外部からの不正なパスワードによるログイン失敗履歴も残してくれます。 もし不正なログインを許してしまっていても、このプラグインを導入していればログイン履歴から検知することができます。 参考サイト 参考サイト WordPressの必須セキュリティ対策10選 さらにWordPressで実行すべきセキュリティ対策を10個まとめて紹介します。 XML-RPCを無効にする XML-RPC(Extensible Markup Language — Remote Procedure Call)とはWordPressを外部から操作するための仕組みです。 データをXML形式でやり取りするものですが、DDoS攻撃などに利用されることもあり、XML-RPCを使用しない場合は、アクセス制限をかけておきましょう。 htaccessファイル内に以下の記述を追加します。 Order Deny,Allow Deny from all 2. REST APIを無効にする REST APIもWordPressを外部から操作するための機能です。 XML-RPCと同様にこの機能に対しても攻撃されることがあります。 この機能はWordPress本体にある「wp-json」フォルダ以下に対するアクセスを制御することで無効にすることができます。 設定するためには、. htaccessファイルに記述しているWordPressのリライトルールを以下のように書き換えます。 その場合はここで紹介した. htaccessファイル書き換える方法ではなく、まずはレンタルサーバが指定する方法で設定することを試みてください。 また、使用しているプラグインによってはXML-RPCやREST APIを無効化すると動作しなくなるものもあります。 支障がある場合はここで紹介した、XML-RPCやREST APIの無効化は行わないでください。 管理画面へのIP制限する 管理画面にアクセスするためのファイル「wp-login. php」と「wp-admin」に対してIP制限をかけることができます。 IPアドレス「AAA. AAA. AAA. AAA」からのみアクセスを許可したい場合は以下のように書きます。 order deny, allow deny from all allow from AAA. AAA. AAA. AAA 許可したいIPアドレスが複数ある場合は、「allow from ・・・」の行を繰り返して書きます。 order deny, allow deny from all allow from AAA. AAA. AAA. AAA allow from BBB. BBB. BBB. BBB allow from CCC. CCC. CCC. CCC 上のように書くとIPアドレス「AAA. AAA. AAA. AAA」と「BBB. BBB. BBB. BBB」と「CCC. CCC. CCC. CCC」に対してはアクセスを許可し、それ以外のIPアドレスからのアクセスは制限されます。 管理画面内での操作を制限する 管理画面で操作できる「テーマのインストール」「プラグインのインストール」「テーマ編集」「プラグイン編集」の機能を停止させることができます。 WordPressのインストールフォルダにある「wp-config. php」に以下のような記述を追加します。 認証用ユニークキーを設定する WordPressで使用する認証用ユニークキーを設定します。 これはローカルPCに保存されているCookie情報を暗号化するために設定される文字列です。 この認証用ユニークキーを変更することで、パスワードを変更しなくても現在WordPressにログイン中の端末から強制的にログアウトさせることができます。 WordPressを手動でインストールした場合などはこの認証用ユニークキーが空になっていることがあるので、設定しておきましょう。 以下のURLから認証用ユニークキーを生成することができます。 参考サイト 参考サイト 6. wp-comments-post. phpへのアクセスを制限する コーポレートサイトなどはWordPress標準で用意されているコメント機能を使わない場合が多いです。 WordPressのコメント機能は「wp-comments-post. php」を使用しているので、このファイルへのアクセスを制限しましょう。. htaccessファイルへ以下の記述を追加します。 order allow,deny deny from all 7. wp-config. phpへのアクセスを制限する WordPressを動作させるための各種設定が記述された「wp-config. php」へのアクセスを制限しましょう。 このファイルにはデータベースサーバで利用するIDやパスワードが生で記述されています。 その他、WordPressの設定が記述されていることもあるので、外部からアクセスされると危険です。. htaccessファイルへ以下の記述を追加します。 order allow,deny deny from all また、wp-config. phpはとても重要なファイルです。 簡単にできるので、パーミッションを「400」に設定し、書き込みなどの権限を制限しましょう。 これによりさらにセキュリティアップします。 参考サイト 8. wp-login. phpへのBasic認証を設置する WordPressのログインページである「wp-login. php」に対してBasic認証をかけます。 Basic認証を追加することで、パスワードを2重にかけるようなことができます。 まず、. htaccessファイルに対して以下の記述を追加します。 htpasswdファイルのフルパスを記述します。 ファイルのあるフォルダへの絶対パスは以下のPHPコマンドで取得できます。 htpasswdファイルはジェネレータから作成することができます。 参考サイト 9. 画像を保存できるようにこのディレクトリには書き込み権限が付与されています。 htaccess」ファイルに以下の記述を追加します。 deny from all 10. ディレクトリアクセス時のファイル一覧表示を無効にする index. htmlやindex. phpが存在しないディレクトリに対してブラウザからアクセスすると、そのディレクトリにあるファイルの一覧が表示される場合があります。 表示されているファイルによっては、不正なアクセスに利用されてしまうかもしれませんので、ファイルの一覧を非表示にしておきましょう。. htaccessに記述を追加するのですが、WordPressが動作しているサーバによって設定方法が異なります。 設定方法1 Options -Indexes 設定方法2 DirectoryIndex index. html. ht どちらか動作する方法で記述してください。 プラグイン「SiteGuard」を利用したセキュリティ対策 ここまでいろいろなセキュリティ対策方法をお伝えしてきましたが、「それぞれ専門知識が必要で、設定が大変」と思う方も多いようなので、一括で簡単にセキュリティの管理できるプラグインの紹介させて頂きます! セキュリティ対策プラグインの定番である「SiteGuard」は、日本のセキュリティ会社であるJP-Secureが開発したプラグインであり標準で日本語対応されているため、使いやすいセキュリティプラグインです。 「SiteGuard」では以下の設定ができます。 ログインページ変更 ログインページ名を変更します。 画像認証 ログインページ、コメント投稿に画像認証を追加します。 ログイン詳細エラーメッセージの無効化 ログインエラー時の詳細なエラーメッセージに変えて、単一のメッセージを返します。 ログインロック ログイン失敗を繰り返す接続元を一定期間ロックします。 ログインアラート ログインがあったことを、メールで通知します。 フェールワンス 正しい入力を行っても、ログインを一回失敗します。 XMLRPC防御 XMLRPCの悪用を防ぎます。 更新通知 WordPress、プラグイン、テーマの更新が必要になった場合に、管理者にメールで通知します。 WAFチューニングサポート WAF SiteGuard Lite の除外ルールを作成します。 このように様々なセキュリティ対策を1つのプラグインで設定できるようになります。 設定方法詳細は、下記の公式サイトをご覧ください。 参考サイト さらにセキュリティ関連のプラグインを知りたい方は下記の記事をご覧ください。 WordPressサイトの運営に適したサーバの紹介 手軽にサイト運営を始めることができるWordpressですが、攻撃の対象にもなりやすいため、その脆弱性対策や頻繁に発生するアップデートにもきちんと対応をおこなう必要がありこの点に不安やハードルの高さを感じる方も多いかと思います。 そのため、ほとんどセキュリティに関する知識のないWordPressサイト運営者でも、手軽に最高レベルのセキュリティを保てるサーバを紹介させて頂きます。 そのサーバは、 です。 WordPressをインストール、構成、管理するためのツール(WordPress Toolkit)が提供されており、現状Wordpressをスキャンして設定不備・改善事項を確認することができ、専門知識がなくても一定のセキュリティレベルを保つことができます。 アップデート/アップグレードの動作確認において必須となるテスト環境の構築も、「複製」メニューから簡単におこなうことができます。 これにより、本番環境でリスクを負いながら更新を行う必要がなくなります。 サイト まとめ WordPressのセキュリティ対策について紹介してきました。 セキュリティ対策と一言で言っても、実際にはかなりたくさんの方法があることがお分かりいただけたかと思います。 ここで紹介したWordPressのセキュリティ対策を実行して安全にサイトを運営できるようにしてください。 メルマガ登録で、下記内容の「情報漏洩セキュリティ対策ハンドブック」プレゼント 1. はじめに 2. 近年の個人情報漏洩の状況 3. 内部要因による情報漏洩 3-1. 内部犯行による被害統計情報 3-3. 内部犯行による情報漏洩が増え続ける3つの原因 3-4. 内部犯行を減らすための対策 4. サイバー攻撃の統計情報 4-4. サイバー攻撃がふえ続ける5つの原因 4-5. 急増する日本の企業のWEBサイト改ざんへの対策 4-6. サイバー攻撃の種類を把握しよう 4-7. 日本におけるサイバー攻撃に対する国の対応と今後 4-8. 外部要因による情報漏洩のセキュリティ対策 無料でここまでわかります! ぜひ下記より無料ダウンロードしてみてはいかがでしょうか?.

次の

ワードプレスのセキュリティ強化 ログインID(ユーザー名)を非公開にする方法

ワード プレス セキュリティ

ワードプレスのセキュリティ対策…??? ワードプレスが優れたツールであることは間違いなく、メリットもたくさんある。 ただ、どんなに良いものにも、もちろんデメリットがある。 デメリットの中で指摘されることがあるのが、「セキュリティ」の話だ。 「不正アクセスの対象になりやすい(狙われやすい)」だとか、 「世界中の人が使うオープンソース(色々マルっと公開しているということ)」だとかで、セキュリティ面に疑問を感じる人もいる。 当然のことだ。 そしてさらに、ワードプレスに挑戦する人が増えるとともに、その中にセキュリティ対策に自信がない人も増えているかも… 今日はその辺を考えてみる。 誤解1 パソコンのウイルスソフトでOK? 結論:だめ! パソコンのウイルス対策ソフトは、あくまでパソコンを守るものである。 あなたのワードプレスのデータは、あなたのパソコン内にあるわけではない。 サーバーにある。 パソコンを守っていても、サーバーへのアクセスを突破されてしまうと地獄の始まりである。 サーバー内の情報は、ブログのダッシュボードにログインできれば書き換えることができる。 というわけで、ウイルス対策ソフトでは不十分。 もちろんパソコンを守るためには必須だよ!! 誤解2 アクセス少ないから大丈夫? 私のブログ!?まだ友達がチョチョっと見に来るくらいだから!! 不正アクセス??ハッキング??? ないない!!!!! このブログ、心配性なおばちゃんが書いてるんやねー と思ったそこのあなた。 ハリセン持って行くね… アクセスが少ない? PVが少ない? 不正アクセスの対象になるような内容のブログじゃない? から大丈夫??? 結論:全部だめ!! そういう話じゃない! 不正アクセスは、世界中に幾種類も、幾パターンもあるけど、上に挙げたようなことが基準ではないのだ。 なぜなら、 「明確な悪意」を持って、セキュリティ上突破しやすそうなサイトを探しているだけだから。 だから、アクセスが少ないとかPVが少ないとか関係ないのである。 ドメインを取って、ウェブ上にサイトが生まれた瞬間から狙われていると言ってもいいくらい。 誤解3 別にブログの中身見られても大丈夫? そしてこれ。 「いや、まあ悪意のある誰かに、ワードプレスにログインされたって、そんな大したことないけど…???」 「見られて困るようなこと載せてないけど…?」 「本名も顔も出してないし、メールアドレスだってプライベートとは分けているしね!!!」 と思ったそこのあなた。 結論:だめ。 今からハリセン100個持っていくね…… 不正アクセスだ、ハッキングだと狙っている連中の狙いは、あなたのブログの内容ではない。 実は、あなたの個人情報でもないことも多い。 でも個人情報は大事にしてね ターゲットは、誰でもいい。 「誰かのサイトを乗っ取ること」。 次に、「乗っ取ったサイトを自由に操作すること」が目的であり、 サイトへの(サーバーへの)侵入経路さえ確保できれば、相手がワードプレスでもそうじゃなくても、男性でも女性でも、どんなネタでブログ運営していようと、関係ないのである。 自由に操作できるようになると、あなたのブログをめちゃくちゃにしたり、海外の変な怪しいサイトに大量のリンクを気づかないうちに貼っていたり、やりたい放題できるようになってしまう。 そして厄介なことに、そこまでされていても、あなたのブログの見た目は変わらないこともある。 気が付かないうちに乗っ取られていることもあるということだ。 それの何が危険かって、もちろんウイルス云々もあるけど、 Googleにあなたのブログが 「怪しい変な、悪意のあるサイトに協力してるサイト」認定される可能性もあるってことだ。 (侵入できたら、奴らはまず「バックドア」と呼ばれる見えない隠し入口を作る。 作られたが最後、侵入経路を絶つのは大変な作業が必要) だから、まだ乗っ取られた経験のないあなたこそ、対策すべき。 乗っ取られてからの大変さを知りたい人は、以下のサイト様に詳しくあったよ… 以下のプラグインを入れたらもう最強!敵なし!!完璧!!! というわけではないです。 でも、何もしないよりは遥かに安全! 対策1【プラグイン SiteGuard WP Plugin】 プラグイン1つ目。 SiteGuard WP Pluginというプラグイン。 国内で割と有名。 日本で作られているので使いやすい。 超ざっくり言うと、不正アクセスを試す誰かに対して、ログインしにくくするプラグインだと思っておいてOK。 例えば、今のあなたのブログのログイン画面がこれなら、今すぐ入れるべし。 特に、え??これの何がダメなの???みんなこれでしょ?と思ったそこのあなた! あなたに言ってるんだよ!! はい。 これ、丸腰も丸腰、装備ゼロ。 今すぐ対策しよう。 右上の検索窓に SiteGuard WP Plugin と入れてみると、該当のプラグインが出てくる。 有効化した瞬間に、こんな画面が出てくる。 ログインページを開いて、このURLを新たにブックマークしよう。 つまり、「ログインページに誰でも行ける=不正ログインも試せる」ということ。 phpの方)をランダムなものに変えてくれる。 (自動的に移動することをリダイレクトと言う) だけど、とりあえず気にしなくていい。 プラグイン SiteGuard WP Pluginの設定 ダッシュボードに「SiteGuard」という項目ができるので、ダッシュボードをクリック。 デフォルトではこうなっているので、必要に応じて変更。 項目ごとにON/OFFを切り替えるだけなので、使いやすい。 ちなみに私は、「ログインページ変更」「更新通知」はOFFにして使っている。 ログインページはさっき変えたし、プラグインの更新情報までメールしてくれなくても自分で確認するからね。 プラグイン SiteGuard WP Pluginの役割 「プラグイン SiteGuard WP Pluginは、ブログにログインしにくくする」と書いた。 セキュリティ対策のプラグインがない状態だと、例えばログイン情報を間違えるとこのように表示される。 もしくは、こう。 これが危ないことは分かると思う。 「こっちが間違ってるよ」と教えることは、同時に「 こっちは合ってるよ」と教えることだからだ。 突破すべき関門の、どちらが間違っているか教えてあげる機能は、親切だが心配でもある。 SiteGuard WP Pluginを使うと、こうなる。 どちらを間違えたのか指摘しない。 さらに、画像認証がプラスされる。 (設定で英数字にもできる) これらの対策で、不正アクセスを試す誰かにヒントを与えない仕組みになっている。 対策2【プラグイン Edit Author Slug】 プラグイン2つ目。 実は、1つ目のSiteGuard WP Pluginだけだと、ちょっと不安。 なぜか??? 知らず知らずの間に、 ログインに必要な「ユーザー名」を大公開してしまっている人が多いから!!! ユーザー名を公開することは、 ログイン情報を半分公開しているってことだ。 最後まで読んで設定をぬかりなくすべし! プラグイン Edit Author Slugのインストール プラグインの追加はいつも同じ操作。 プラグイン Edit Author Slugの設定 ここから、あなたのユーザー名を表示させない設定をしていく。 複数名がログインできるサイトの場合は、「ユーザー一覧」から全員分、以下の設定をするといいよ! 自分のプロフィール設定画面が出てくるので、下にスクロール。 Edit Author Slug欄の「 投稿者スラッグ」を「 カスタム設定」に変更。 そしてカスタム設定の右の枠に、 ユーザー名と違う任意の名前を入れておこう。 プラグイン Edit Author Slugの役割 このプラグインを使うことで、ユーザー名を隠すことができる。 ユーザー名が分かっている(ログイン情報が半分分かっている)状態と、 ユーザー名も分からない(ログイン情報ゼロ!)状態と、 どちらがより安全か、もちろん分かると思う。 ちゃんと、ユーザー名(ログインする時に入力する文字)と違うものに変更しておいた方がいいよ!!! というわけで、今日はここまで!.

次の