WordPressブロガーの皆様こんにちは!ミカコ(mikakolife)です
ちゃんと、WordPressのセキュリティ対策していますか?
最近、TwitterでWordPress初心者の方に対しこのようなアンケートをとったら、驚くべき結果となりました!
WordPress開設半年以内のブロガーさんに真面目な質問です!
セキュリティについてお聞かせ下さい。
RTして下さると嬉しいです。— ミカコ🐣ブロガー (@mikakolife) 2018年12月25日
まさかの、「なにそれおいしいの?」て方が1番多い!(僅差ですが)
結局何もしていないという方が半数を超えていました。
あわわわ!セキュリテイ対策は、しないとまずいです!
なぜセキュリティ対策をしなければならないのか?
ちなみにハッカーって、こんなの想像してません?
もしくはこんなの
違うのです、いや、確かにこういうハッカーもいるかもだけど!
(囚人服着てるかと聞かれたらNOだけど)
ボットに任せて総当たり攻撃…なんていうのがあるらしいですよ、怖いっ!
たとえば、検索エンジンがWebサイトの情報を自動で収集するために使用するクローラー(スパイダーともいう)や、Twitterなどのコミュニケーション・サービスにニュースを自動的に投稿するプログラムなどがこれにあたる。
また、不特定多数のブログに広告などを自動的に書き込んだり(スパムボット)、スパム送信のためにWebサイトを巡回して電子メールアドレスを収集するといった、不正目的のボットも存在する。(ASCII.jpデジタル用語辞典より)
力任せ攻撃、または片仮名でブルートフォースアタックとも呼ばれる。
つまり、片っ端から無作為にボットにやられたら…他人事ではありません。
せっかく開設したのに…管理画面乗っ取られて、もうアクセス出来なくなってもいいの?
というわけで対処していきましょう!
もちろん、運営歴5か月のわたしなどの知識ではなく、その道のプロの方にお話を伺っております。
インターネットセキュリティ専門のエンジニアさんに訊いてみた。おすすめのセキュリティプラグインは?
ずばり、セキュリティにおすすめのプラグインを教えて頂きたいのですが…
そうですね、おすすめは沢山あるんです。
ざっとこんな感じで…
Akismet Anti-Spam 作成者: Automattic https://akismet.com/
Edit Author Slug 作成者: Brandon Allen https://ja.wordpress.org/plugins/edit-author-slug/
Siteguard WP Plugin 作成者: JP-Secure https://www.jp-secure.com/siteguard_wp_plugin_en/ …
iTheme Security 作成者: iThemes https://ja.wordpress.org/plugins/better-wp-security/ …
Slimstat 作成者: Jason Crouse https://wordpress.org/plugins/wp-slimstat/ …
Banhammer 作成者:Jeff Starr https://perishablepress.com/banhammer/
Check Copy Contents(CCC) 作成者: Nakashima Masahiro https://github.com/kanakogi/CCC
WP Content Copy Protection & No Right Click 作成者: wp-buy https://ja.wordpress.org/plugins/wp-content-copy-protector/ …
これだとサイトのの読み込み時間が重くなっちゃいません?
うん、なりますね!でも守りを完璧に近くするとこうなってきちゃいます!
…ちょっと待ってくださいね…はい!これどうぞ!(ドサッ)
『WP Security for Bigginers PDF』(Kさん作成の初心者向けセキュリティマニュアル)
いえいえ、仕事に比べたらこんなのはちょちょっとしたことです!
ブログにアップしてお使い下さい!
すごい!ありがとうございます。(本名がPDFに含まれていますが大丈夫ですか?)
えーっと…やっぱり全部は重そうなので、最低限、これは入れとけ!というおすすめのプラグインも聞いていいでしょうか!
了解です!
因みにミカコさんは今、どんなプラグインを入れてますか?
(本名の件は文責なのでそのままで大丈夫です)
わたしが現在入れているプラグイン
わたしは現在、前にTwitterで諸先輩方におすすめされたこちらのプラグインを入れています。
『Siteguard WP Plugin 』…管理ページ・ログインページのセキュリティが強固に。ログイン時日本語認証できる。
参考サイト…参考記事のタイトルとURLを入力してください
『Edit Author Slug』…何もしていない人はデフォルトでログインIDが公開になってしまっています…!
ということで、ログインIDを隠してくれるプラグイン。
参考サイト… 参考 【導入必須】誰にでも丸見えなWordPressログインIDを秘匿するプラグイン「Edit Author Slug」 – naenote.netnaenote.net
『Akismet Anti-Spam』…デフォルトで入っていたプラグイン。有効化させて使用中。
プロがすすめるプラグイン、『Cerber Security, Antispam & Malware Scan』とは
あ、この3つのプラグインは、Kさんのおすすめの中に全部入ってますね!
わたしが入れているもの以外に必須!というモノはないでしょうか?
不正アクセス検知、プラグインの脆弱性、PHPの脆弱性を狙った攻撃など非常にたくさん目視できると思います。
WP-cerberとSiteguardだけはしっかり設定しておいて、不正アクセスは即BANにすると無難です。
WP-cerberが入っていて設定もできていれば、Edit author Slugはなくても大丈夫です。
ログインID見ようとしたアクセス元を即BANできますm(_ _)m
今入れてみます…!しかし、コレ説明が全部英語なんですね(汗)
WordPress Security 2(Kさん作成セキュリティマニュアル2)
わ、このPDFもドキドキすることが書いてある…!
何から何まですみませんっ!!
これならできそうです!プラグイン、この通りに設定してみます!
今の所、競合なく動くことを確認できていて、そこそこ使い勝手が良いのはWP-Cerberです!
こちらのサイトも参考になるかと思います
参考 WordPressサイトのセキュリティを強固に出来る機能を備えた「Cerber Security&Antispam」WordPress活用術『Akismet Anti-Spam』は、必要なプラグインなの?
Akismetを入れておくといいのは、スパムに関する集合知が形成されるのが早いので、ロボットによる攻撃や大規模なスパム攻撃があっても早く防いでくれるというメリットがあります。
重くなるという人もいますが、重くなる人はそれだけスパム攻撃が多くなっていて、Akismetにより守られていると考えたほうが良いかもです。
知らなかった…!Akismetさんありがとう!
Google Authenticatorを使ってWordPressを2段階認証に設定できる
Twitterでアンケートをとったときに、「ワンタイムパスを入れてます」というリプもいただきました!
ワンタイムパスは入れておいてもいいと思います!
ただし、日頃ログインしっぱなしで作業する場合は、あんまりいらないかもです。
ログイン試行はされますので、セキュリティの壁を一つ増やすのには良いかなと思います!
お出かけ先で作業する時、他人のパソコンや公共の端末で作業するならば、ワンタイムパス必須ですね。
なるほど!
人によって、WordPressの使い方によってもセキュリティ対策が変わってくるのですね!
ワンタイムパス・2段階認証を取り入れたい方はこちらの記事が参考になります。
参考 Google AuthenticatorプラグインでWordPressブログを2段階認証に設定する方法 | 海外SEO情報ブログ海外SEO情報ブログまとめ:WordPressは、自分のブログに合ったセキュリティ対策を講じる必要あり!
セキュリティを高めるプラグインを入れて対策はしなくてはなりませんが、サイト表示のスピードも遅くなったらいやですよね。
Kさんから、セキュリティについての色々なプラグインの紹介・設定の仕方をこちらのPDFでいただきました。
『WP Security for Bigginers PDF』(Kさん作成の初心者向けセキュリティマニュアル)
『WordPress Security 2』(Kさん作成セキュリティマニュアル2)
Kさんおすすめのプラグインはこちらで、他のプラグインと競合しないはずとのこと。
ただ、全て英語なので設定の仕方は上記2冊めのPDFを参考にして下さい。
参考までに、わたしが入れているプラグインはこちらになります。
(下記3つにKさんおすすめをプラスしました)
『Edit Author Slug』(Cerber Security~を入れて設定すれば削除して大丈夫です)
自分のWordPressに合わせて、必要なプラグインを使いセキュリティを高めましょう!
【おしまい】