初心者が押さえるべきWordPressセキュリティ対策の基本

【ブログ運営】初心者が押さえるべきWordPressのセキュリティ対策の基本

WordPressセキュリティ対策

現在、WordPressはもっともポピュラーなCMSとして定着しています。それに伴い不正アクセス等の危険も増しています。今回は初心者でも行う事が出来る必要最低限のセキュリティ対策と参考リンクを纏めました。

ロリポップ不正アクセス騒動

2013年9月にロリポップを狙った大規模な不正アクセス事件がありました。

第三者によるユーザーサイトの改ざん被害に関するご報告

WordPressがピンポイントで狙われた不正アクセス事件です。原因はプラグインの脆弱性及びサーバ側のパーミッション設定によるものみたいです。

GMO ロリポップ不正アクセス騒動をまとめてみた。(メモ)
ロリポップ!の改ざん被害、WordPressプラグイン/テーマの脆弱性から侵入→ロリポップ!の設定不備を利用される

WordPressがメジャーなCMSである以上、今後もこのような事件が起こる可能性は強いと考えられます。

WordPress本体は常に最新のものを使用する

わざわざデカデカと書くまでも無く、必ず行うべきあたりまえの事柄です。常に更新し、最新の状態を保つようにしてください。

プラグインの導入時と導入後の対策

ロリポップの事件でも原因となりましたが、WordPress本体の脆弱性と同様に、プラグインの脆弱性にも注意を払う必要があります。

導入しようとしているプラグインに関する情報は導入前に出来るだけ細かく調べる必要があります。また、導入するプラグイン数も必要最小限にするべきです。

WordPress本体同様、プラグインもできるだけ最新の状態を保つようにしてください。アップデートしない場合は、アップデートの内容にセキュリティに関する事柄が含まれていない事を確認してください。

サーバ選びも慎重に

特に自分で設定を行えない初心者はサーバ選びは慎重に行ってください。値段とスペックだけで選んでしまいがちですが、セキュリティ対策に関する記述を必ず確認してください。

パーミッション設定の確認と変更

ロリポップの事件時もパーミッション設定の甘さを利用されました。運用を開始した時点で必ず確認すべき項目です。

サイト改ざんへの対策をお願いいたします – ロリポップ!レンタルサーバー
wp-config.phpのパーミッションを変更。

プラグインでブルートフォースアタック対策

ブルートフォースアタック(=ID、PW総当り攻撃)への対策は、まず、大前提として、以下の点は必ず守ってください。

ID”admin”のままでは絶対に使用しない

プラグインでも行うことができます。僕は以下の2つのプラグインを導入しています。

・Limit Login Attempts
ログイン試行回数を制限するプラグインです。試行回数が上限に達した場合はそのIPアドレスからのアクセスを記録し、一定時間制限します。ウチみたいな弱小ブログにもたまにアタックがあります。

・Force email login
ログインIDをメールアドレスに変更します。間違った場合はwp_die()でしばらくの間アクセスできないようにし、サーバ不可を軽減します。

” セキュリティ対策 “その他参考サイト

WordPressのセキュリティ対策方法11選
WordPressのセキュリティを徹底強化

不正アクセスする側は初心者だからと言って手加減してくれません(当たり前)。自分には関係のないこととは思わずに常に意識していきたいですね。

ではでは!

関連動画

関連記事

  1. 【ブログ運営】" アクセスが増えない "からブログ更新止めた方へ言いたいこと
  2. 【WordPress5】wpxサーバでは" wp3 total cache "は使わない方が良い
  3. 【ブログ運営】毎日" ブログ更新 "するために意識していること
  4. 【ブログ運営】ブログ運営者の皆様、" 過去の投稿 "見直してますか?
  5. 【ブログ運営】ブログに対する効率的な投資を考える
  6. 【ブログ運営】ブログ運営半年を機に、" ブログの方向性 "考える

コメントをお待ちしております

コメントを残す

Archive

PR

カメラ関連記事

  1. 【京阪神名所案内】 甲山 ウォーキングと有馬金の湯
  2. 【PENTAX K-50撮影記10】大雨の屋久島で" 防滴性能 "を身を持って試してきた
  3. 【PENTAX K-50撮影記8】" PENTAX K-50関連記事 "をまとめてみた