WordPressのセキュリティについて
WordPressを使っているとセキュリティが不安であるとか改ざんされたというお話を聞くことがあります。
確かにWordpressは国内だけでなく世界中で利用されていること、オープンソースであることなどがあり、セキュリティの脆弱性を狙われることも少なくはないと思います。ただWordpressの方も日々進化しており、そのあたりの対策もきっちり行われているようです。
そんな中、やはり何も対策をしておかないというのも不安ですので本日は簡単にセキュリティ対策できるプラグインを一つ紹介します。
セキュリティ関連のプラグインも多くありますが、今回紹介するのはレンタルサーバのロリポップでもWordpressの自動インストールを行う際に必ずインストールされているセキュリティプラグイン「SiteGuard WP Plugin」を紹介!
「SiteGuard WP Plugin」
https://wordpress.org/plugins/siteguard/
上記プラグインには以下のような機能が備わっています。
・管理ページアクセス制限
・ログインページ変更
・画像認証
・ログイン詳細エラー
・メッセージの無効化
・ログインロック
・ログインアラート
・フェールワンス
・ピンバック無効化
・更新通知
・WAFチューニングサポート
全部設定するのがセキュリティ上良いのかもしれませんが、アクセス制限しずらい部分もあると思いますのでいくつかに絞って機能を紹介しておきます。
・ログインページ変更
WordPressの管理画面へのログインページのURLを変更することができます。通常のままであれば管理画面のURLの特定が簡単でアタックされる可能性も非常に高くなりますが、管理画面のURLが標準のものと異なるだけでも対策の一つとして有効です。注意する点としては設定するとその時点からURLが変わりますので、変わったURLはちゃんと控えておく必要があります。
・画像認証
画像によるログイン認証の防御です。ブルートフォース攻撃やリスト攻撃等への対策にもなりますし、スパム対策にもなります。認証する度に入力が必要なので多少手間かもしれませんが、被害を受ける方が手間なので有効にしておく方がいいと思います。
・ログインロック
これは不正にログインをしょうとする攻撃に対しての対策です。同じ接続元IPアドレスから何回か認証失敗するとその接続元IPアドレスからの認証を一定時間ブロックするといったものです。不正ログインのアタックもされるがままではいつか突破されるという不安もありますので、アタックされたとしても指定回数以上失敗したらブロックするようにしておくことでセキュリティ対策の一つとして有効であると思います。
他にも機能としてあるのですが、まず上記を行ってみるというところから始めてみてはいかがでしょうか?
プラグインの設定画面は日本語なので設定自体は非常に簡単に行うことがあります。
ただし、標準の状態よりセキュリティは強固になりますので、変更したログインページのURLがわからないなどなってしまうと大変ですのであらかじめプラグインを設定する前にWordpressのバックアップを取っておくことをお勧めします。
セキュリティ対策。。僕も含め、意外とできてない方多いと思いますので、一度見直してみてはいかがでしょうか?