こんばんは!松本です。
今日は、ワードプレスのデメリットの1つ、セキュリティ面の話と、その対策について。
ワードプレスのセキュリティ対策…???
ワードプレスが優れたツールであることは間違いなく、メリットもたくさんある。
ただ、どんなに良いものにも、もちろんデメリットがある。
デメリットの中で指摘されることがあるのが、「セキュリティ」の話だ。
「不正アクセスの対象になりやすい(狙われやすい)」だとか、
「世界中の人が使うオープンソース(色々マルっと公開しているということ)」だとかで、セキュリティ面に疑問を感じる人もいる。
当然のことだ。
そしてさらに、ワードプレスに挑戦する人が増えるとともに、その中にセキュリティ対策に自信がない人も増えているかも…
今日はその辺を考えてみる。
誤解1 パソコンのウイルスソフトでOK?
結論:だめ!
パソコンのウイルス対策ソフトは、あくまでパソコンを守るものである。
あなたのワードプレスのデータは、あなたのパソコン内にあるわけではない。
サーバーにある。
パソコンを守っていても、サーバーへのアクセスを突破されてしまうと地獄の始まりである。
サーバー内の情報は、ブログのダッシュボードにログインできれば書き換えることができる。
というわけで、ウイルス対策ソフトでは不十分。もちろんパソコンを守るためには必須だよ!!
誤解2 アクセス少ないから大丈夫?
私のブログ!?まだ友達がチョチョっと見に来るくらいだから!!
不正アクセス??ハッキング???
ないない!!!!!このブログ、心配性なおばちゃんが書いてるんやねー
と思ったそこのあなた。
ハリセン持って行くね…
アクセスが少ない?
PVが少ない?
不正アクセスの対象になるような内容のブログじゃない?
から大丈夫???
結論:全部だめ!!そういう話じゃない!
不正アクセスは、世界中に幾種類も、幾パターンもあるけど、上に挙げたようなことが基準ではないのだ。
なぜなら、「明確な悪意」を持って、セキュリティ上突破しやすそうなサイトを探しているだけだから。
だから、アクセスが少ないとかPVが少ないとか関係ないのである。
ドメインを取って、ウェブ上にサイトが生まれた瞬間から狙われていると言ってもいいくらい。
誤解3 別にブログの中身見られても大丈夫?
そしてこれ。
「いや、まあ悪意のある誰かに、ワードプレスにログインされたって、そんな大したことないけど…???」
「見られて困るようなこと載せてないけど…?」
「本名も顔も出してないし、メールアドレスだってプライベートとは分けているしね!!!」
と思ったそこのあなた。
結論:だめ。今からハリセン100個持っていくね……
不正アクセスだ、ハッキングだと狙っている連中の狙いは、あなたのブログの内容ではない。
実は、あなたの個人情報でもないことも多い。でも個人情報は大事にしてね
ターゲットは、誰でもいい。
「誰かのサイトを乗っ取ること」。
次に、「乗っ取ったサイトを自由に操作すること」が目的であり、
サイトへの(サーバーへの)侵入経路さえ確保できれば、相手がワードプレスでもそうじゃなくても、男性でも女性でも、どんなネタでブログ運営していようと、関係ないのである。
自由に操作できるようになると、あなたのブログをめちゃくちゃにしたり、海外の変な怪しいサイトに大量のリンクを気づかないうちに貼っていたり、やりたい放題できるようになってしまう。
そして厄介なことに、そこまでされていても、あなたのブログの見た目は変わらないこともある。気が付かないうちに乗っ取られていることもあるということだ。
それの何が危険かって、もちろんウイルス云々もあるけど、
Googleにあなたのブログが「怪しい変な、悪意のあるサイトに協力してるサイト」認定される可能性もあるってことだ。
(侵入できたら、奴らはまず「バックドア」と呼ばれる見えない隠し入口を作る。作られたが最後、侵入経路を絶つのは大変な作業が必要)
だから、まだ乗っ取られた経験のないあなたこそ、対策すべき。
乗っ取られてからの大変さを知りたい人は、以下のサイト様に詳しくあったよ…
http://takanablog.tank.jp/wordpress/security/
http://wp-e.org/2014/05/15/2463/
以下のプラグインを入れたらもう最強!敵なし!!完璧!!!というわけではないです。
でも、何もしないよりは遥かに安全!
対策1【プラグイン SiteGuard WP Plugin】
プラグイン1つ目。
SiteGuard WP Pluginというプラグイン。
国内で割と有名。日本で作られているので使いやすい。
https://www.jp-secure.com/siteguard_wp_plugin/
超ざっくり言うと、不正アクセスを試す誰かに対して、ログインしにくくするプラグインだと思っておいてOK。
例えば、今のあなたのブログのログイン画面がこれなら、今すぐ入れるべし。
特に、え??これの何がダメなの???みんなこれでしょ?と思ったそこのあなた!
あなたに言ってるんだよ!!
はい。これ、丸腰も丸腰、装備ゼロ。
今すぐ対策しよう。
プラグイン SiteGuard WP Pluginのインストール
まずはダッシュボードから、プラグイン→新規追加。
右上の検索窓に SiteGuard WP Plugin と入れてみると、該当のプラグインが出てくる。
今すぐインストール→有効化 でOK。
有効化した瞬間に、こんな画面が出てくる。
ログインページを開いて、このURLを新たにブックマークしよう。
ワードプレスのログインページは、基本的に
サイトのURL/wp-login.php
サイトのURL/wp-admin
のどちらかで使っているはず。
つまり、「ログインページに誰でも行ける=不正ログインも試せる」ということ。
このプラグインは、まず速攻で、このログインページのURL(サイトのURL/wp-login.phpの方)をランダムなものに変えてくれる。
[aside type=”boader”]サイトのURL/wp-adminからアクセスした場合は、新しいログインページに自動的に移動する仕組みとのこと。(自動的に移動することをリダイレクトと言う)
だけど、とりあえず気にしなくていい。
プラグイン SiteGuard WP Pluginの設定
ダッシュボードに「SiteGuard」という項目ができるので、ダッシュボードをクリック。
デフォルトではこうなっているので、必要に応じて変更。
項目ごとにON/OFFを切り替えるだけなので、使いやすい。
ちなみに私は、「ログインページ変更」「更新通知」はOFFにして使っている。
ログインページはさっき変えたし、プラグインの更新情報までメールしてくれなくても自分で確認するからね。
プラグイン SiteGuard WP Pluginの役割
「プラグイン SiteGuard WP Pluginは、ブログにログインしにくくする」と書いた。
セキュリティ対策のプラグインがない状態だと、例えばログイン情報を間違えるとこのように表示される。
もしくは、こう。
これが危ないことは分かると思う。
「こっちが間違ってるよ」と教えることは、同時に「こっちは合ってるよ」と教えることだからだ。
突破すべき関門の、どちらが間違っているか教えてあげる機能は、親切だが心配でもある。
SiteGuard WP Pluginを使うと、こうなる。
どちらを間違えたのか指摘しない。
さらに、画像認証がプラスされる。(設定で英数字にもできる)
これらの対策で、不正アクセスを試す誰かにヒントを与えない仕組みになっている。
対策2【プラグイン Edit Author Slug】
プラグイン2つ目。
実は、1つ目のSiteGuard WP Pluginだけだと、ちょっと不安。
なぜか???
知らず知らずの間に、ログインに必要な「ユーザー名」を大公開してしまっている人が多いから!!!
ユーザー名を公開することは、ログイン情報を半分公開しているってことだ。
[su_note note_color=”#fdfacd” text_color=”#000000″]
✔ ユーザー名が公開されていることを知らなかった!
✔ ユーザー名は簡単に検索で調べられることを知らなかった!
✔ ユーザー名を隠す方法を知らなかった![/su_note]
1つでも当てはまったあなた、以下を読むべし。
最後まで読んで設定をぬかりなくすべし!
プラグイン Edit Author Slugのインストール
プラグインの追加はいつも同じ操作。
プラグイン→新規追加と進み…
右上検索窓に Edit Author Slug と入力。
該当プラグインを「今すぐインストール」→「有効化」までしよう。
プラグイン Edit Author Slugの設定
ここから、あなたのユーザー名を表示させない設定をしていく。
まず、ダッシュボードの「ユーザー」→「あなたのプロフィール」と進む。
複数名がログインできるサイトの場合は、「ユーザー一覧」から全員分、以下の設定をするといいよ!
自分のプロフィール設定画面が出てくるので、下にスクロール。
Edit Author Slug欄の「投稿者スラッグ」を「カスタム設定」に変更。
そしてカスタム設定の右の枠に、ユーザー名と違う任意の名前を入れておこう。
「プロフィールを更新」ボタンも忘れずに!
もし、複数人で運営しているサイトの場合は、ユーザー一覧→それぞれの編集で同じように設定すればOK。
プラグイン Edit Author Slugの役割
このプラグインを使うことで、ユーザー名を隠すことができる。
ユーザー名が分かっている(ログイン情報が半分分かっている)状態と、
ユーザー名も分からない(ログイン情報ゼロ!)状態と、
どちらがより安全か、もちろん分かると思う。
なので、今回紹介した2つのプラグインを合わせて入れて設定しておこう!
オススメ!!
【重要】ちょっと待った!!!【重要】
これで「安心安心!!」と思ったあなたにあと一つだけ!!
「ユーザー」→「あなたのプロフィール」の、
「ニックネーム」「ブログ上の表示名」はどうなっているか確認しよう!!!
ここが「ユーザー名」と同じだったら効果半減。
ちゃんと、ユーザー名(ログインする時に入力する文字)と違うものに変更しておいた方がいいよ!!!
というわけで、今日はここまで!