最近仲の良いブログ仲間のサイトが改ざんされてしまったらしいんですけど、最近そんな話をよく聞くんですよね。
セキュリティ対策ってキリがないけど少しでもリスクは下げておきたいね。
Googleで検索しても単独の対策方法はよく記事になっているんですが、まとめているサイトってあまりないんですよね。
じゃあ、この機会にブログを立ち上げたときに最低限やっておきたいセキュリティ対策をまとめちゃおうか。
この記事では、レンタルサーバーを使ってWordPressでブログを立ち上げた際にやっておきたいセキュリティ対策をご紹介します。
- WordPressでブログを立ち上げようと思っている人。
- WordPressでブログを立ち上げたけどセキュリティ対策に不安がある人。
- WordPressでブログを立ち上げたけどセキュリティ対策を何もしていない人。
セキュリティ対策をしないままブログを運用していると、ある日突然今まで積み上げてきた資産が「0」になってしまう可能性があります。
「俺は大丈夫」「私は大丈夫」と思っている方が一番危険です!
築き上げてきたものを守るためにも最低限のセキュリティ対策を行いましょう。
セキュリティ対策をしないと何がおこるのか
ところでなぜセキュリティ対策をしないといけないんですかね……
そうだね、まずはそこから説明しようか。
セキュリティ事象その①(不正アクセスによる改ざん)
不正アクセスの方法ですが主に外部から管理画面への侵入とPCへの侵入が考えられます。
具体的にどのような手段で不正アクセスさてれしまうのかを紹介します。
外部から管理画面への不正アクセス
WordPressのログインページは初期値が「サイトアドレス/wp-admin」です。
そのため、攻撃者はサイトにアクセスし、まずは初期値のログインページにアクセスを試みます。
そこでログインページが初期値(wp-admin)のままであれば攻撃開始です。
ブルートフォースアタックやパスワードリスト攻撃で管理者画面にアクセスを試みます。
もしパスワードがクラックされ管理者ページへログオンできてしまえば、あとは攻撃者のやりたい放題ですね。
他にもプラグインの脆弱性を突いてバックドアを作り不正アクセスするという事例もあります。
この攻撃への対策としては
こ2つが有効です。
現在サーバーへの攻撃方法は管理者ページからの侵入が大部分を占めています。
対策は簡単ですので、必ず設定しておきましょう。
PCへの不正アクセス
PCを外部から乗っ取りWordPressへの不正アクセスを試みます。
WindowsOSへはマルウェアやIDパスワードの漏洩などで不正アクセスの事例が多くなっています。
PCへの不正アクセス対策としては
この方法が有効です。
セキュリティソフトのインストールは主にWindowsOS対象となりますが、ChromeBookやMacで被害に遭う可能性が0ではありません。
パスワードを複雑にする、離席時にロックする等の基本的対策を行い被害に遭わないように準備しましょう。
ところで改ざんされるとどんな被害が出るんですか?
そうだねぇ
・悪意のあるサイトへの踏み台にされる
・ブログにマルウェアを埋め込まれる
・ブログを削除される
これ以外にもたくさん考えられるよ。
ブログを改ざんされてしまうと自分だけではなくブログを見に来てくれた利用者にマルウェア被害をもたらしたり好ましくないサイトへ誘導されるなどの被害を与えることになります。
サイトを訪れてくれる方を守るためにも対策はしっかり整えておきましょう。
セキュリティ事象その②(ブログの破損orデータ消失)
2つめはブログ自体の破損orデータの消失です。
この事象への対策としては
この方法が有効です。
何をするにもバックアップは必須ですので、今バックアップを取得していない方は早めの導入をおすすめします。
いろいろ怖いことが書いてありますね……
何についても同じなんだけど「セキュリティ対策不要」ということってあまりないからね。
初期装備でラスボスに挑んでいるくらい無茶しちゃってる気がするな。
ブログ立ち上げ時にやっておきたいセキュリティ対策
ここから先は、ここまで説明した「ブログ立ち上げ時にやっておきたいセキュリティ対策」を具体的に説明します。
管理者ページのセキュリティ強化
まずは外部から管理画面への不正アクセスを防ぐための設定です。、簡単にできますので必ず設定しておきましょう。
これはWordPressのプラグイン『SiteGuard WP Plugin』を使います。
- ログインページ変更
- 画像認証
- ログイン詳細エラーメッセージの無効化
- ログインロック
- ログインアラート
- 更新通知
などがあげられます。
ここで特に重要なのが
の3つです。
具体的に説明していきます。
ログインページ変更
WordPressのログインページを「サイトアドレス/wp-admin」から任意の文字列に変更できるようになります。
プラグインが有効化されるとメールで新しいログインページ名が通知されます。
ログインページがわからなくなってしまうと、管理者ページにアクセスできなくなってしまいますので十分気を付けましょう。
ほぼ有効化するだけで大丈夫ですがSiteGuardの設定で「ログインページ変更」の項目にあるオプション
「管理者ページからログインページへリダイレクトしない」には必ずチェックを入れておいてください。
せっかく変更したページにwp-adminからリダイレクトされてしまいます。
リダイレクト(転送)とは、ある記事へリンクしたときに、別のページに転送する機能のことです。また、そのようなページをリダイレクトページ(転送ページ)と呼びます。
Wikiより
画像認証
管理画面ログオン時に画像認証が追加されます。
プラグインを有効化すると画像の赤で囲った部分が追加されます。
コンピューターで判別しにくい画像情報を入力させることにより、ツールでの不正アクセスを大幅に減らすことができます。
これTwitterで面白い文字になってるのをたまにつぶやいてる方がいますよね。
普通に難読の時もあるから注意が必要だね。
そんなときは一回ログインするとエラーではじかれた後、別の文字列が表示されるよ。
ログインアラート
WordPress管理者でログインされるとメールで通知されるようになります。
頻繁にアクセスする方は少々煩わしいかもしれませんが、自分でログインしていないのに通知が来たら不正アクセスされている可能性がある、と判断できます。
もしもの際に早急な対応ができますので、必ず有効にしておきましょう。
簡単に設定できるのにとても優秀なプラグインですね。
これを有効化するだけで管理画面からの不正アクセスを防ぐことができるね。
とても優秀なプラグインですが、パスワードをユーザー名と同じにするなど、安易パスワードにしている場合は簡単に不正アクセスされてしまいます。
パスワードについては別で記事を書いていますので、ぜひご覧ください。
利用しているPCのセキュリティ対策
続いてはPCのセキュリティ対策です。
基本的な項目ですが3つありますので、こちらも必ず確認しておきましょう。
WindowsUpdateの実施
最初は基本中の基本のWindowsUpdateです。
WindowsOSと関連アプリは日々脆弱性やセキュリティホールが見つかっています。
自動更新を有効にして更新プログラムが適用されるようにしておきましょう。
OS(Windows)以外のGoogleChromeやAdobeReader等、使用しているアプリもアップデートして下さいね。
ファイアーウォールの有効化
こちらはWindowsの機能ですが、有効化されているか確認しましょう。
通常は有効になっていると思いますが、何かしらの原因で無効になっている可能性があります。
もしファイアーウォールが有効の状態では使えないようなアプリを使う必要がある場合は、全体を止めずに、例外の設定をして回避をしてください。
ファイアーウォール全体を無効にしてしまうのはかなり危険です。
セキュリティソフトのインストール
Microsoftの標準セキュリティアプリであるDefenderはWindows10になって機能が大幅に追加・改善されました。
以前はできなかったスパイウェアを含むマルウェアの検知、遮断などもできるようになりファイアウォールと組み合わせれば必要十分なケースも多く見られます。
ただし、お金を取って販売している市販の有料セキュリティソフトと比べると
- 迷惑メールからの保護
- ゼロデイ攻撃からの保護
などの面で機能が不足している部分があります。
万全な対策を行うのであれば市販のセキュリティソフトのインストールをおすすめします。
おすすめのセキュリティソフトはありますか?
おすすめは
1.トレンドマイクロ
2.ESET
3.Mcafee
だね。
一番のおすすめはトレンドマイクロのウイルスバスターです。
Windows,Mac,Android,iPadに対応していて1つ買うと3台までのデバイスにインストールできます。
2年3台、3年3台など複数年分まとめて購入すると安くできます。
2番目はこちらChatwork株式会社のESETです、もともとはキヤノンの製品だったので品質は問題ありません。
Windows,Mac,Androidに対応しています。
複数のデバイスに入れる場合に、3台1年、5台1年など複数のラインアップから環境似合った製品を選べます。
最後はマカフィーのアンチウイルスです。こちらは初期インストールされていたり、Adobe製品をダウンロードするとセットでダウンロードされることが多いので有名ですね。
この製品も1台1年~10台3年まで複数のラインアップがあります。
パソコンのセキュリティ対策ってこのくらいですか?
あとは、ログインのパスワードを付けるのと
できれば通常使っているユーザーは管理者ユーザーじゃなくて標準ユーザーのほうがいいかな。
標準ユーザーならアプリのインスト―ルや設定変更時に管理者ID/パスワードを聞いてくるので何かしようとしていることがわかりますね。
プラグインのアップデート
WordPressを使っていると複数のプラグインをインストール・有効化していると思います。
プラグインに脆弱性やセキュリティホールが見つかることがありますので、WindowsUpdateと同様
適切なタイミングでアップデートをするようにしましょう。
ブログのバックアップ
さあ、みなさんあとすこしです、これで最後!頑張りましょう!
ブログの破損自体は攻撃によるもの以外にも
- プラグインの相性
- プラグインの設定ミス
- FTPで重要なファイルを削除
- 原因不明のトラブル
など、様々な理由があり原因や損害の特定が難しく復旧が困難になることもあります。
もしどうしても設定やファイル復旧などでもサイトが復旧しない場合、バックアップが無ければ今まで積み上げてきたものを全て諦めるしかない、ということにもなりかねません。
サイトのバックアップは以下の2通りの方法があります。
プラグインを利用する
バックアッププラグインで初心者におすすめなのがBackWPupです。
利用者も多く解説サイトも複数あります。
使い方は簡単ですので、ぜひ設定してみてください。
レンタルサーバーのサービスを利用する
月額料金を支払えばレンタルサーバーでもバックアップを取ってくれます。
レンタルサーバー名 | 料金 |
ロリポップバックアップオプション | 月額330円 |
エックスサーバー | 無料 |
コノハ | 無料 |
利用できるプランなどの制限がある場合があります、詳細は各レンタルサーバーに確認をお願いします。
Daisukeさん的にはどっちの方法でのバックアップをすすめますか?
何かあったときのためにレンタルサーバーのバックアップをおすすめします!
何かあったときにしか出番がないバックアップですが、何かあったときに間違いなく復旧(リストア)できることが重要です。
パソコンに詳しくない方はプラグインでのバックアップよりレンタルサーバーのサービス利用をおすすめします。
念のため確認しておいてほしいセキュリティ対策
wp-config.phpのアクセス権の確認
この辺からちょっとわかり辛くなってしまうかもしれませんが、サーバーの設定等で「wp-config.php」のアクセス権を変更することがあります。
基本的にアクセス権(パーミッション)は400 もしくは 600 のレンタルサーバーで推奨している値に変更しておきましょう。
WAFの設定
正式名称はWeb Application Firewallといいます。
この設定も外部からの攻撃からサーバーを守る方法です。
ここまでくるとになるとある程度ネットワークなどに詳しくないと説明が難しいところです、解説しているサイトがありますので詳細の説明はリンク先をご覧下さい。
ちなみにDaisukeさんはどうやってWAFの設定をしているんですか?
私はWordfenceプラグインを使ってるよ、使い方を解説しているサイトもあります。
このサイトがとても見やすくておすすめです。
ただなぜか私のWordfenceは日本語化されてて若干違うんですよね……
まとめ
今回は
以上の3つをご紹介しました。
繰り返しになりますがセキュリティ対策を甘く見て何もしていないと痛い目に遭う可能性があります、十分気を付けましょう。
何かあったときは、時すでに遅しとなっていることがほとんどです。
私のブログでなにかあったらDaisukeさん助けてくれますか?
あ、うん……
できることはやってあげたいけど、対策はキチンとしておいてね。
わーいやった~ありがとう~✨
あ~……
もう聞いちゃいねえ……
コメント