皆様こんにちは。開発部・アニマル部署統括のPです。
今日は前回に引き続きWordPressのお話です。
WordPress、すごく便利でいいのですが、私としてはセキュリティ的に心配な面もたくさんありますので今回はそのお話をしようと思います。
WordPressは今や利用率はインターネット全体の34.3%といわれています。
参考:WordPress、日本で82.4%という高いシェア-マイナビニュース
無料で使えるテンプレートの多さやメンテナンス性の良さからしても
WEBサイト制作やシステム制作の知識がなくても導入しやすいのが理由かもしれませんね。
しかしその一方で、セキュリティ対策がされていないWordPressのサイトはブルートフォースアタック(総当たり攻撃)やパスワードリスト攻撃(リスト型アカウントハッキング)によりハッキングや改ざんの危険性も高くなります。
以前、Islamic State (ISIS)と称する攻撃者によるWEBサイトの改ざんが世間をにぎわせました。怖いですね…
導入の際は、最低限のセキュリティ対策を施すようにしましょう。
【最低限行うべきこと(初心者向け)】
● WordPressやプラグインの更新は必須
WordPress本体や、プラグインは脆弱性対策のため、定期的に更新プログラムが配布されます。
管理画面などから定期的に更新を行ってください。
導入の初期状態ではHTMLソースの中に使用しているWordPressのバージョン情報が表示されています。
↑ 開発者ツールでサイトを見たときにmetaタグにバージョン番号が。
つまりあなたのサイトのWordPressが新しいものか古いものかどうか、というのも一目でわかります。
古いバージョンによってはセキュリティホールがあるため、狙われやすくもなりますよ(‘ω’)ノ
※ 注意:アップデートの際、インストール済のプラグインがそのバージョンに対応されていなかった場合はプラグインが動かなくなってしまう可能性があります。必ずバックアップを取ったり開発環境で確認してからアップデートを行ってください。
● 推測されそうなパスワードは使用しない
WordPressに限らず言えることですが、第三者に推測されやすいパスワードは使用しないこと!
● セキュリティ系プラグインの追加
検索してみると、いくつかセキュリティ系のプラグインはありますが、
私のおすすめは「SiteGuard WP Plugin」です。
日本語にも対応していますし、インストール数も多く、定期的に更新されているようです。
使い方も簡単。インストールして有効化するだけで、推奨されるセキュリティ対策が自動的に有効になります。
↑ プラグインの新規追加から「SiteGuard WP Plugin」で検索&インストール
・ログインページ変更
WordPressを触ったことがある方なら、ウェブサイトのURLの末尾に/admin/を付けたり、/wp-login.phpを付けたりしてアクセスすることで管理画面のログインURLの推測が可能です。
プラングインでこちらを有効にすると、推測されにくいログインURLへ自動で変更してくれます。(この項目はプラグインの有効化と同時に有効になります。管理者宛に新しい管理画面のログインURLが届くので、確認してください。)
↑ デフォルトでは サイトURL/login_[5桁の乱数]で生成されます。
・画像認証
ログインページ・コメント投稿時にCAPTCHAと呼ばれる画像認証が追加されます。
これは送信者がロボットでないことを確認するために使われ、スパムや不正なログイン試行を防ぐことができます。
↑ ログイン画面に追加されたCAPTCHA
その他の初期有効項目はこんな感じ。
↑ 緑のチェックが入っている項目がSiteGuard WP Plugin 初期有効項目
例えば社内に複数の管理ユーザーがいて頻繁に記事やサイトの更新を行う場合、
「ログインアラート」をONにしていると頻繁に通知が届いてしまいますので、必要なければこの項目はOFFにしてしまってもよいでしょう。
あなたのサイトは大丈夫でしたか?ひとまず今回はソースをいじらなくても簡単にできる対策方法を記載してみました。
長くなりそうなので続きは次回。もう少し深堀していきたいと思います~。
ではでは(/・ω・)/
タグ:Wordpress,技術ネタ
2020.10.19