ワードプレスに不正ログインされ、トロイ系のプログラムを不正におかれて、不正プログラムの拡散サーバに使われてしまうケースがあります。
ワードプレスはHP制作にはデザイン面、管理機能面、SEO面で理想的ですが、オープンプログラムである以上、どこにいてもアクセスできるチャンスがあるため狙われやすいのです。
ここではワードプレスのセキュリティを完璧にする方法をご紹介します。まず破られることのない『最高レベル』を簡単な手間で設定完了できます。
エックスサーバーでのセキュリティ対策になります。
目次
(まえがき)エックスサーバーは非常におすすめ
今の時代自前のサーバでHPを動かしている方は個人でも企業でもまれでしょう。多くの場合、レンタルサーバー(ホスティングサーバー、ホスティングサービスなどとも)を使っています。
そのため、どのレンタルサーバーを使うかは非常に大事です。サーバーごとに対応可能なセキュリティの深さが異なるからです。
エックスサーバーは国内シェアNo1で、高いセキュリティ対策が可能なのでおすすめです。月額1000円程度で利用可能なので、すでに会社のメール管理に別のホスティングサービスを契約していて簡単にサーバー移転できない場合でも、ウェブサイト専用のサーバーとして新規契約するのもいいでしょう。
では、ワードプレスのセキュリティを完璧にする方法を説明します。
国外IPからのアクセス制限設定
スパムや不正ログインはほとんど海外からですので、海外のパソコンやスマホからのアクセスをできないようにすれば、不正ログインされる可能性が減り、セキュリティが高まります。
エックスサーバーのサーバーパネルの管理画面にログインします。以下の画面で4つすべての設定をONにすれば、基本的に海外IPアドレス(海外のパソコンやスマホ)からのアクセス制限を制限できます。海外からの閲覧はできます。
WordPress>WordPressセキュリティ設定>国外IPアクセス制限設定
※デフォルトでONになっています。
ログイン試行回数制限の設定
最近増えているのが、ランダムにログインIDやパスワードを組み合わせて、総当たり攻撃してくる不正プログラムです。これをブルートフォースアタック(ID・パスワードの総当たり攻撃)と呼びます。
ブルートフォースアタックの対策には、ログイン試行回数に制限を設けるのが有効です。
エックスサーバーのサーバーパネルの管理画面にログインします。以下の画面で4つすべての設定をONにすれば、基本的に海外IPアドレス(海外のパソコンやスマホ)からのアクセス制限を制限できます。海外からの閲覧はできます。
WordPress>WordPressセキュリティ設定>ログイン試行回数制限設定
※デフォルトでONになっています。
コメント・トラックバック制限設定
ワードプレス管理者はHPを閲覧した人からコメントを受け付けることができます。これはワードプレスの標準仕様です。
その仕様を突いて、フィッシング詐欺サイトへのリンクやクリックすることで自動で不正プログラムがダウンロードされるような危険なリンクを忍ばせたコメントが送信されてくることがあります。
このようなコメントが送られてくることは決して珍しいケースではなく、ワードプレス管理者ならよく経験することです。
一度に大量のコメントを送信したり、海外からコメントを送信してくることを防ぐことで、このリスクを回避できます。
WordPress>WordPressセキュリティ設定>コメント・トラックバック制限設定
両方ONにします。ただし、HPが英語サイトなどで海外の人からのコメントも受け付けたい場合は、下の方はOFFにします。
WAF(Webアプリケーションファイヤウォール)を設定する
WAF(Webアプリケーションファイヤウォール)とは、Webアプリケーションの脆弱性を狙った攻撃を検知し、削除するセキュリティ対策です。
ワードプレスというよりは、サーバー上にアップされているウェブサイトデータに対するアクセスを監視します。
セキュリティ>WAF設定
デフォルトではすべてOFFです。これをすべてONにします。反映に1時間ほどかかります。場合によっては、自前のプログラムやメールフォームが正常に動かなくなることもあるので、設定後にHPを確認し、不具合が生じた場合は、原因と思われる箇所をOFFにします。
ただし、WAFは不正アクセスを100%検知、駆除するものではありません。
ワードプレスログイン画面へBasic認証をかける
海外からのログインアクセスやブルートフォースアタックを防いでいても、国内からの人の手による不正アクセスは防げません。
そこで有効なのがアクセス認証、いわゆるbasic認証です。
ホームページ>wp-adminのアクセス認証をON>ユーザー設定>ユーザーIDとパスワードを設定する
これを設定すると、ワードプレスの管理画面・ログイン画面を開く度にユーザーIDとパスワードを聞かれるようになります。それを入力して、ワードプレスのログイン情報を入力する流れになります。つまり、二重扉です。
管理者は少し手間が増えますが、これでワードプレスのセキュリティは飛脚的に高まります。
使用するワードプレス、テーマ、プラグインのすべてを常に最新版にしておく
古いプラグインやテーマ、ワードプレスプログラムの脆弱な部分を突いて、第三者に不正コードやプログラムを実行されてしまう危険があります。
基本ですが、常に最新版にしておくことが重要です。
以上、『ワードプレスのセキュリティを完璧にする方法』でした。ぜひお役立てください。
セキュリティを重視するなら、やはりエックスサーバがおすすめ
以上の設定が簡単にできるため、セキュリティを重視するなら、ウェブサイト公開用のサーバーはエックスサーバがやはりおすすめです。