Wordpress

ワードプレスのセキュリティ!最低やるべき乗っ取り防止法

世界中でもっとも使われていると言われるワードプレス。基本OSのWindowsでも同じですが、世界でシェアNo.1の立場にあるものは、常にクラッカーの餌食になりがちです。

特にワードプレスがらみでは、2013年にロリポップやGMOのサーバで運用されているブログが、大量に攻撃され、乗っ取られる事件が発生しました。(参考:【緊急警報!!】ロリポップとGMOのinterQのWordPressが軒並み乗っ取られてます)

攻撃方法は詳しく分かっていませんが、一説には、管理者IDとパスワードを総当たり攻撃された結果、乗っ取られたと言われています。

そこで、ワードプレスで最低限施しておきたい対策をご紹介したいと思います。

二段階認証を導入する

二段階認証とは、ワードプレスの管理画面にログインする際に、IDとパスワードの他にもう一つ、パスワードを設ける方法です。有名な方法として、Googleのワンタイムパスワードを使った二段階認証が有名です。

Google Authenticator

Google Authenticatorプラグインを使うと、簡単に二段階認証をインストールすることができます。

最初にAppStoreまたはGoogle Playより、Googleが出している「Authenticator」というアプリをダウンロードし、スマートフォンにインストールします。

まず、ワードプレスにGoogle Authenticatorをインストールします。

次に、「メニュー」→「ユーザ一覧」と開き、二段階認証を導入したいユーザを選びます。二段階認証の設定は、各ユーザの編集ページにあります。

管理画面

ユーザのプロフィール編集ページの中の「Active」にチェックを入れます。次に、「Show/Hide QR code」ボタンを選択します。ここを押すと、画面にQRコードが大きく表示されますので、先ほどインストールしたGoogleの公式スマートフォンアプリで読み取ると、同期することができます。

これで完了です。次にワードプレスにログインする際は、ログイン画面で、IDとパスワードと併せて表示されている枠にスマートフォンアプリに表示されている数字を打ち込めば、二段階認証を行いログインすることができます。

なお、どうしてもログインできなくなってしまった場合は、FTPソフトでワードプレスのディレクトリにアクセスし、以下のディレクトリを削除すれば、プラグインを消すことができます。

「/wp-content/plugins/siteguard

ポート制限をかける

こちらは、少し難易度が高い方法になります。ワードプレスの管理画面の対策をしただけでは、あらゆる攻撃に対しての対策は不十分と言えるでしょう。

そこで、施したい対策は、ポート制限です。そもそもポートとは何でしょうか?

簡単にいうと、ポートとは、窓の番号のことです。インターネットの通信は、その種類ごとに使える窓の番号が決まっていて、どの窓からでもアクセスできる訳ではありません。例えば、Web閲覧は、80番か443番のポートと決まっています。

あなたは、ワードプレスをインストールした時にFTPソフトでインストールをしたと思いますが、当然、FTP用のポートも決まっていて、20番ポートか21番ポートです。

もちろん、80番や443番ポートを閉じてしまうと、普通のユーザがアクセスできなくなってしまうので、常に使える状態にしておく必要がありますが、不必要なポートは外部からアクセスできないように閉じるべきです。

筆者は、20番~23番ポート(サーバのコンソールにアクセスする系)、3306(MySQL)のポートは最低限の対策として外部からアクセスできないようにしています。

もちろん、サーバの種類などにより、もっと閉じた方がよいポートはあるのですが、これらを閉じるだけでも大分安心できます。

ポートを閉じる方法は、サーバ業者によって方法が違うため、ここでは解説しません。サーバ業者に「ファイアーウォールの設定方法」としてお問い合わせください。

コメント欄の防御

直接管理画面の乗っ取りとは異なりますが、ワードプレスのコメント欄にSPAMなメッセージを大量に書き込まれたり、ユーザ登録を大量にされるなどの被害もたくさん発生しています。

実は、筆者のサイトも一晩に8000以上のスパムユーザ登録をされたことがあり、困ってしまったことがあります。

コメント欄のスパムは書き込み件数によって、ワードプレスを停止させたりする威力をもつ場合がありますので、こちらのコラムに加えさせていただきました。

SI CAPTCHA Anti Spam

そんな時に導入したいのが、ワードプレスのプラグイン「SI CAPTCHA Anti Spam」です。これを導入すると、コメント欄に画像の英数字が表示され、それを打ち込まなければ書き込めないようになります。つまり、コンピュータによる自動的なスパムの書き込みはできなくなります。

こちらの導入方法は簡単です。ワードプレスの新規プラグインインストール画面から、「SI CAPTCHA Anti Spam」を検索するだけで簡単に見つけることができます。

これをインストールすれば、特に難しい設定をすることなく、すぐにコメント欄やお問い合わせページのメールフォームにCAPTCHAが表示されます。

このプラグインですべての不正な書き込みがなくなるわけではありませんが、大分、軽減されますので、おススメです。ぜひ試してみてください。

月間10万PV達成の私がサイトのSEOを診断します SEO内部対策ならお任せください!あなたのサイトを分析します

関連記事

  1. Wordpress

    WordPressで管理画面が日本語が表示できないときの対処法

    多くのブロガーの方がWordpressを使われていると思います。いや、…

  2. サーバ選び

    Wordpress

    安さと性能の両立!ワードプレス向けVPSサーバはこれだ

    ワードプレスでブログを運営することを考えたとき、真っ先に考えなければい…

コメント

  1. この記事へのコメントはありません。

  1. この記事へのトラックバックはありません。

月間10万PV達成の私がサイトのSEOを診断します SEO内部対策ならお任せください!あなたのサイトを分析します

最近の記事

  1. 思わずアクセスしてしまう
  2. ペナルティを受けるサイトの特徴
  3. 発リンクの効果
  4. Youtube
  5. SSLBOX
  6. SSLのSEO上の効果
  1. ブログテク

    忙しくてブログが書けない!言い訳をやめるとPV数が上がる真の理由
  2. ブログテク

    有名ブロガーになるために!理想的な作業環境とは?
  3. ドメインの取得歴

    SEO

    エイジングフィルタを解除するにはドメイン年齢ではなく制作歴
  4. 配色

    マーケティング

    人に信頼されるサイトを作るには?配色で信頼を得る方法
  5. SSLBOX

    ネット技術

    nginxでSSL対応にするための手順!CSRの発行からnginxの設定まで
PAGE TOP