WordPressでブログを始めました!
設定はわけわからなかったけど、これからたくさん記事を書いていきますよ!
りょうこブログ開設おめでとうございます!
WordPressのセキュリティ対策はしましたか?
セキュリティ対策?
アクセス数もほとんどないんだから誰も狙わないよ。
立派なサイトになったらちゃんとやりますよ!
(なんだか面倒そうだしよくわからないし…)
始めたてのブログサイトなんて誰も狙わない、そう思っちゃいますよね。
残念ながらそれは大きな思い違いです。
WordPressでブログを始めた =全世界からノックできる場所に家を建てたということ
悪い人にとってサイトが個人運営とかPVが少ないとか、そんなことは関係ありません。ノックしてドアが開いていれば入ります。穴があったら忍び込みます。
家を建てたからには玄関も裏口もきっちり鍵をかけ、穴があったらふさぎましょう。
この記事ではITセキュリティ業界に20年以上従事する筆者が、WordPressサイトになぜセキュリティ対策が必要なのか、初心者にもわかりやすく解説します。
- だれでもわかる!WordPressのセキュリティ対策:必要な理由
- だれでもわかる!WordPressのセキュリティ対策:3つの具体的な方法
りょうこある日突然あなたの大切なサイトが全部消えてしまう。
この記事を読むと、そんな恐怖が現実とならないための対策がまるっとわかります!
\オシャレで簡単なWordPressテーマはSWELL♪/
WordPressにセキュリティ対策が必要な理由
WordPressのセキュリティ対策ななぜ必要なのでしょうか。
立ち上げたばかりの個人のサイトなんて誰も狙わないでしょ?のウソ
僕のサイトは立ち上げたばかりでPVもほとんどないです。
悪い人が狙うのは企業とか国のサイトとかじゃないんですか?
りょうこそんなことはありません。
悪い人たちがサイトを狙うのにはいくつか理由があります。
「手下を作りたい」が初心者さんが気づきにくい理由の1つです。
て、手下???
悪い人の最終目的は、ニュースで見るような企業や国のサイトをダウンさせたり忍び込んだりすることかもしれません。
しかし企業や国のサイトを攻撃する際、悪い人は直接手を下しません。
攻撃をされた企業サイトが攻撃元を調査すると、見付かるの私たち一般市民が管理するPCやサーバです。
インターネットに繋がっているPCやサーバなら何でもOK。あなたの大切なサイトが攻撃元かもしれません。
悪い人があなたのサイトを攻撃する理由とは、大物を攻撃する際の実行犯にしたいからです。
例えば、オレオレ詐欺犯罪。
お金を受け取る役の犯人を捕まえても、犯人はちょっとした報酬で雇われた下っ端。
本人は何のためにお金を受け取っていたのかもボスも知らない。
こんな話を聞いたことはありませんか?
同じ構図がインターネットの世界にもあります。
サイトが乗っ取られるとどうなるの?
悪い人は実行犯になる手下を増やすためにあなたのサイトを乗っ取ろうとしています。
- 記事が消される・書き換えられる
- 設定を変更される
- ウイルスが仕込まれる
記事が消されたり書き換えられたりするケースは、目に見える実害が大きくショックも大きいです。その分すぐに気づくことができ対応もできます。
一番怖いのはサイトの見た目は全く変わらないにもかかわらず、攻撃プログラムを仕込まれて他のサイトを攻撃したり、あなたのサイトを見に来た人にウイルスを感染させたりするように改造されてしまうことです。
ぱっと見が変わらないので長期間気づくことができずに、加害者になり続けてしまうのです。
一例として私が最近遭遇したケースを紹介します。
とあるWordPressサイトに知らない記事が投稿されていると相談を受けました。
すぐに確認すると、アクセスしたPCのウイルス対策ソフトがウイルス(トロイの木馬)を検出しました。
このサイトはあなたと同じ一般的なWordPressの個人ブログサイトです。
ウイルスが仕込まれてしまうと対応は大変です。高度な技術が必要となり、最悪サイトが復旧しないことも覚悟しなければなりません。
りょうここうなってしまったら、被害拡大を防ぐため急いでWebサービスを停止してください。
サーバー会社や専門家(※)に連絡し、その後の対処方法を相談しましょう。
※「WordPress 改ざん 復旧」などで検索すると、個人向けに復旧サービスを実施してくれる業者が見付かります。復旧にはすべての管理権限を一旦お渡しするので、必要なのは信頼できる相手であることです。実績などをよく確認して依頼するかどうかご判断ください。
乗っ取られないためにすべきこととは
大切なサイトを悪い人に乗っ取られないためにすべきこと。それがWordPressのセキュリティ対策です。
セキュリティ対策をすると使いにくくなるんだよー
りょうこ確かにセキュリティと利便性は良いところ取りが難しいですね。
セキュリティ対策をたくさん実施するとより安全になることは大前提です。
しかしインターネット上にはWordPressサイトが無数にあり、悪い人はあなた個人を狙いうちしているわけではありません。インターネット上に公開されているサイトならばどれでもいいのです。
大切なのは「あそこは簡単に入れるぞ!」と狙われないこと。最低限の対策でも確実に実施することです。
対策は下記の3つの観点で行います。
- 管理画面から悪い人にログインされないようにする
- WordPressやプラグインに隠された穴を悪い人に利用されないようにする
- 悪い人に乗っ取られてしまった場合に備えておく
りょうこ次の章で具体的な方法を解説していきます。
対策を積み重ねていくことで強固なサイトになっていきますので、1つ1つ確実に実施していってください。
セキュリティ対策1:管理画面から悪い人にログインされないようにする
WordPressの管理画面からあなたのユーザ名・パスワードでログインされてしまうと、あなたと同じ権限をもち何でもできてしまいます。
管理画面のログインするために必要な情報は3つあります。
- 管理画面のURL
- ユーザー名
- パスワード
隠すべき情報はパスワードだけとお思いでしょうか。
しかしながら鍵が1つだけでは、パスワードだけ突破されたらすぐに入られてしまいます。
3つの情報を全て隠すことでログインできるまでの手間が格段に大きくなり、セキュリティ強化につながるのです。
管理画面のログイン画面・ユーザー名を隠す
りょうこ管理画面のログイン画面(URL)とユーザー名はWordPressの初期設定のままでは誰でもすぐにわかってしまいます
初期設定のログイン画面のURLは決まっています。誰にでもログイン画面を表示させることができます。
ユーザー名は、あなたのサイトのURLにちょっとしたおまじないを入力すれば表示できます。
初期状態では誰にでもわかってしまうログイン画面とユーザー名ですが、プラグインや設定変更で簡単に隠すことができます。
行うことは下記です。
- WordPressの設定でメタ情報を削除する(最近はメタ情報は表示されなくなりました)
- ニックネームを設定する
- 「SiteGuard WP Plugin」をインストールする
⇒ 管理画面のURLが変更される - 「SiteGuard WP Plugin」の「ユーザー名漏洩防御」機能をON
⇒ ユーザー名(ユーザーID)が表示されなくなる
画像を交えた具体的な手順は以下の2つ記事で詳しく解説しています。2つはどちらから実施しても大丈夫。
記事を見ながら一緒に設定すれば必ずできますので、ぜひご覧ください。
ログイン画面を隠す方法はこちら!
ユーザー名(ユーザーID)を隠す方法はこちら!
パスワードは複雑なもの・再利用はしない
パスワードの重要性はWordPressに限ったことではありません。
すぐ破られてしまうパスワードとはどのようなものでしょう。
- よく使われるパスワードリスト(1234, password, p@ssw0rd, apple など)
はもちろんのこと、以下も情報も世の中には出回っていると言われています。
- 既存のサービスで使用されているIDとパスワードの組み合わせ
ここからわかる重要なことは2つ。
- パスワードを複雑にすること
- 他のサービスで使用しているパスワードを使用しないこと
どんなに複雑なパスワードをつけても、同じユーザー名とパスワードの組み合わせを他で使用していたら、簡単に突破されてしまう可能性があるのです。
え、怖いですね!!
Google Chromeや1Passwordのような複雑なパスワードを自動発行・管理してくれる機能を持つツールがあります。
上手く利用しながら推測しにくい強固なパスワードを設定して下さい。
りょうこqwertyuiop や asdfghjklも一見ランダムなようですが、よく使われるパスワードとして知られています。どうしてかわかりますか?
パソコンのキーボードで隣り合ったキーを順に押していった文字列です。
安易に使わないで下さいね。
セキュリティ対策2:WordPressやプラグインの穴を悪い人に利用されないようにする
WordPressやプラグインの穴とは?
WordPressやプラグインによる抜け穴。専門用語では脆弱性(ぜいじゃくせい)と言います。
WordPressの管理画面が正面玄関、管理画面のID・パスワードが正面玄関の鍵だとすると、WordPressやプラグインによる抜け穴とは鍵のかからないお風呂場の窓や、こっそり掘られた地下道のようなもの。
家の持ち主も知らないうちに不正に出入りできてしまうまさに「穴」です。
そんな穴、そうそうあるもんじゃないでしょ?
りょうこ実はそんなことはないんです
WordPressやプラグインは基本的にソースコードまで公開されているため、悪い人にとっては穴が探しやすいのです。
世界的な脆弱性のデータベース「CVE」で「WordPress」をキーワードに脆弱性検索したところ、2022年9月9日現在で2022年に登録された脆弱性は800件ヒットしました。
8ヶ月で800件以上!?そんなにあるんですか?
りょうこプラグインも含めての検索結果なので、非常に多くなっています。
あなたの使っているプラグインに脆弱性がないと言い切れますか?
WordPressやプラグインは極力最新にする
脆弱性対策としてできることは1つ、最新バージョンを使うことです。
基本的に脆弱性が見付かったプラグインはプラグインの開発者により脆弱性対策が施されバージョンが上がります。
バージョンが上がったプラグインが公開されると、WordPressのダッシュボードでプラグインの更新の通知がきますので、更新してください。
プラグインの自動更新を有効化しておくと、自動的に更新されるので便利です。
WordPressやテーマについても、基本的には更新通知が来たら更新しましょう。
WordPressの最初の一桁の数字がカウントアップされるメジャーバージョンアップ(例:5.x.x ⇒ 6.x.x)については、公開直後に更新すると不具合が出てサイトが上手く表示されなくなる可能性があるため、1~2週間程度様子を見ることをオススメしています。
不要なプラグインは削除する
セキュリティの観点でも、Webサイトの動作の重さの観点でも、プラグインの数は少ない方がよいとされています。
不要なプラグインは削除するようにしてください。
不要なプラグインが有効化されている場合は、プラグイン画面で「無効化」リンクをクリックすると「削除」リンクが表示されます。「削除」リンクをクリックすることでプラグインを削除することができます。
WAF機能をONにしておく
WAF(Web Application Firewall, ワフ)機能とはWebアプリケーションを守ること特化したセキュリティ対策機能です。Webアプリケーションの脆弱性を悪用した攻撃からWebサイトを守ってくれます。
エックスサーバーやConoHaWingのようなメジャーなレンタルサーバーではWAF機能が標準搭載されています。
しかしWAF機能をONにしておくと、WordPressで少し複雑な設定を実施した際にWAFに不正アクセスと間違えられ、エラーになってしまうことがあります。
そのようなときはWAF機能をOFFにする必要がありますが、設定が終わったら必ずONに戻して下さい。
ConoHaWingの管理画面では、「サイト管理」→「サイトセキュリティ」→「WAF」からWAFの設定と検知ログを見ることができます。
9月9日だけでも6件以上の攻撃が来ていることがわかります。
りょうこどれか一つでも攻撃が成功していたらと考えるとゾッとしますね。
Webサイトへの攻撃は思っているよりずっと頻繁に行われているのです。
セキュリティ対策3:悪い人に乗っ取られてしまった場合に備える
バックアップを取っておく
悪い人に大切なサイトを乗っ取られ、記事をすべて消されたり書き換えられたりしても、乗っ取られる前のデータさえあれば元の状態に戻せます。
例えばConoHaWINGでは特に設定をしなくても、14日分のバックアップが取られているのです。
しかしConoHaWINGのバックアップのみだと、乗っ取りから14日経過してしまうともう戻すことができません。
万が一の時のためにプラグインを使用してバックアップを取っておきましょう。
私が使用しているのは「BackWPup」です。
「BackWPup」でできること
- WordPressインストールフォルダ・ファイルデータのバックアップ
- WordPress用データベースのバックアップ
- サーバ内ディレクトリへの保存
- 外部サービス(FTPサーバ・Dropboxなど)への保存
- バックアップ時のメール通知機能
- スケジュールバックアップ機能
- バックアップファイルの世代管理機能
セキュリティ対策として重要なのは、サーバ以外の場所にバックアップファイルを保存できる機能です。
サーバ全体が乗っ取られてしまうと、バックアップファイルも消されてしまうことがあります。
少し面倒かもしれませんが、一定の周期でレンタルサーバ以外の場所にもバックアップを取っておくことをオススメします。
ブログ作成用PCにウイルス対策ソフトを入れる
「サイトが乗っ取られたらどうなるの?」で解説したとおり、サイトが乗っ取られるとウイルスが仕込まれることがあります。
ウイルスが仕込まれると何が不都合なのでしょう。
- サイトに来てくれた人が悪意のあるサイトに自動的に移動させられてしまう
- サイトに来てくれた人がウイルスに感染してしまう
- サイト内の大切なデータを外部に送信してしまう
サイトの見た目の変化は一切なく、ウイルスだけ仕込まれてしまうと気づくのが難しいです。
しかしブログを管理しているPCにウイルス対策ソフトを入れておくと、いち早く気づくことができます。
ウイルス対策ソフトがWordPressサイトのウイルス(トロイの木馬)を検出した際の表示画面例
上図のウイルスを検知したウイルス対策ソフトはESET(イーセット)インターネットセキュリティです。
仕事でも家でも5年以上愛用していますが、動作が軽く価格と性能のバランスが良いオススメのウイルス対策ソフトです。
\ブログ運営するなら必ずウイルス対策ソフトを/
まとめ:大切なサイトを悪の手先にしないためにセキュリティ対策をしよう
WordPressのセキュリティ対策を実施するのは2つの理由がありました。
- 大切なサイトを失わないようにするため
- 大切なサイトが他のサイトを攻撃する加害者にならないようにするため
具体的な対策としては下記があります。
- ログイン画面・IDを隠す
- パスワードは複雑ものとし、他のサイトの再利用はしない
- WordPressやプラグインは極力最新にする
- 不要なプラグインは削除する
- WAF機能をONにしておく
- バックアップを取っておく
- ブログ作成用PCにはウイルス対策ソフトを入れる
りょうこサイトを乗っ取られてしまうと、最悪今までの記事がすべて消滅し、悪の手先として活動してたなんてことになってしまいます。
セキュリティ対策は必ず実施しましょう。
万が一サイトが乗っ取られてしまったりウイルスに感染してしまったら、個人でできる対応には限界があります。
バックアップからデータを復旧するなどの方法はありますが、スキル的に不安がある場合はプロにお願いするのも一案です。
私のお勧めは「サイト引越し屋さん」。サイト引越しがメインのサービスですが、ウイルス駆除の相談にも乗ってもらえます。相談だけなら無料ですので、ウイルス感染の通知やレンタルサーバから警告が来てしまった方は、一度お問い合わせしてみてください。
\まずは無料相談を!/
コメント