2017.02.23 Thu

WordPressと一緒にインストールしたい「セキュリティ強化」プラグイン

muuyan19

皆さんこんにちは。有村です。

私は個人的にWordPressでブログを運用しています。
内容は、Javascript関連のハウツー系の記事を多く書いており、月間1500PV程度の弱小ブログですが、ほそぼそと続けております。

こういう技術寄りのブログをGoogleアナリティクスなどで見ているととても分かりやすく、ほぼほぼ平日の昼間しか見られておりません。
製作関連の人が、業務で困って検索して辿り着く感じでしょうか。
土日の閲覧数は3分の1程度で、この3分の1の方には、勉強をしてないでお外で遊びなさいと言ってあげたくなります。

そして、モバイルファーストを叫ばれ続けているこのご時世ですが、それに反して95%以上はデスクトップからのアクセスという時代に逆らい続けております。
レスポンシブ?なにそれおいしいの?と言わんばかりです。

※プログラム関連ブログだったら大体そうなると思うので、レスポンシブがいらないと勘違いしないでください笑

さて、なぜ唐突に個人的な事を話したかというと、今月に入ってからWordPress バージョン 4.7.0 および 4.7.1の脆弱性についての話題が上がりました。
外部の人間が簡単にWordPressで作られたサイトを改ざんできるというとても深刻な脆弱性です。
個人の方もレンタルサーバ会社から、注意喚起のメールが届き、焦ったのではないでしょうか?

私も急いで放置気味のブログを確認して対応しました。

今回の件は、早期にWordPressをバージョンアップする事で解決出来ますが、それ以外に、Wordpress初心者でも簡単にセキュリティーをアップできるプラグインをご紹介します。

 

SiteGuard WP Plugin


muuyan19-01

このプラグインは、ブルートフォース攻撃からサイトを守ってくれるプラグインです。
ブルートフォース攻撃とは、WordpressへのログインをIDとパスワードがヒットするまで何通りも試していくとても単純な機能です。

レンタルサーバによっては、ブルートフォース攻撃を判断してログイン画面へのアクセスを制限してくれる物もあります。
ただ、その度にサーバのコントロール画面や.htaccessを編集して入れる様にしないと行けないのでとても手間です。

そこでSiteGuard WP Pluginの出番です。

機能一覧

管理ページアクセス制限
ログインしていない接続元から管理ディレクトリ(/wp-admin/)を守ります。
ログインページ変更
ログインページ名を変更します。
画像認証
ログインページ、コメント投稿に画像認証を追加します。
ログイン詳細エラーメッセージの無効化
ログインエラー時の詳細なエラーメッセージに変えて、単一のメッセージを返します。
ログインロック
ログイン失敗を繰り返す接続元を一定期間ロックします。
ログインアラート
ログインがあったことを、メールで通知します。
フェールワンス
正しい入力を行っても、ログインを一回失敗します。
XMLRPC防御
XMLRPCの悪用を防ぎます。
更新通知
WordPress、プラグイン、テーマの更新を、メールで通知します。
WAFチューニングサポート
WAF (SiteGuard Lite)の除外リストを作成します。

このような機能がありますが、ログインページ名を変更出来る機能がとても効果的です。
これは、ログイン画面のURLを変更出来るというものです。
100%ではないですが、これだけでも大分 ブルートフォース攻撃からサイトを守れるのではないでしょうか。

その他にも、誰かがログインした時にメールを飛ばしてくれる機能など、設定も簡単で初心者でも簡単に設定が出来るのでお勧めです。

 

BackWPUp


muuyan19-02

いくら強固にセキュリティ対策をしても、攻撃される時は攻撃されます。
特に今回のWordPress本体の脆弱性ともなると、泣き寝入りするしかありません。

ですので、サイトのバックアップを定期的に行い、いつでも復元出来るようにしたいです。
そんな時にお勧めなのがBackWPUpというプラグインです。

ひとえにバックアップと言っても、WordPressの場合は2種類あります。

・デザインテーマなどのファイルのバックアップ
・記事の情報などのDBのバックアップ

BackWPupはこれら2種類のバックアップに対応しています。

さらに嬉しい事に、それらを自動で定期的に行ってくれます。
もちろん手動でも出来ますが、結構な手間なので、気軽に設定出来るこのプラグインがおすすめです。

 

最後に


サイトを完全に守ることはとても難しいです。
ですが、個人レベルであっても、先人たちが作ってくれた素晴らしいプラグインなどを利用させていただくだけで、「攻撃されにくい」または「攻撃された時に復旧がしやすい」状態にすることは可能です。

公開ご紹介したプラグインは設定も簡単ですので、WordPressをインストールする時に合わせてセットでインストールしてもいいかもしれませんね。
では。

WRITERこの記事を書いた人

有村径太

FREE DOWNLOAD

顧客獲得に成功した24社の成功事例を1冊にまとめました。
顧客獲得にお困りの方も、そうでない方も、一度お読みいただくことをお勧めします。

MORE VIEW