WordPressのハッキング・不正アクセスセキュリティ対策完全版

WordPressでブログを運営していると、誰でも不正アクセスや

ハッキングなどの被害にあう可能性があります。

 

WordPressのセキュリティ対策をしておかないと、自分のWordPressのデータが

盗まれたり書き換えられたりするだけでなく、迷惑メールの送信源となってしまうなど、

知らないうちに犯罪に荷担してしまう可能性もあります。

 

そのような場合には、レンタルしているサーバー側からサイトが

強制停止されてしまう可能性もあります。

 

この記事ではエックスサーバー利用者のWordpressのハッキング・不正アクセスへの

セキュリティ対策について紹介します。

 

WordPressが不正アクセスされてしまった場合

引用元:https://www.yokumireba-zassyoku.com/entry/oyakudati05

 

WordPressの不正アクセスでの被害内容として多いのは、任意のファイルを

書き換えられたり、勝手にブログの内容を書き換えられたり、

知らないうちにPHPやJavaなどのプログラムを設置されたりなどがあります。

 

いつの間にか自分のブログからスパムメールを大量に送信されてしまう

被害は多いようです。

 

その場合には、被害の拡大を防ぐため、レンタルサーバー側で

利用者のアカウントを停止したりするなどの措置が取られる場合があります。

 

万が一、レンタルサーバーのアカウントを停止されてしまった場合には、

サイトが閲覧できなくなるだけでなく、レンタルサーバーで利用している

メールの送受信ができなくなったり、ファイルサーバーが使えなくなるなどの

制約を受ける可能性があります。

 

WordPressを利用してブログを運営するだけでなく、レンタルサーバーで

メールマガジンも発行している場合などには、ブログの運営だけでなく、

メルマガの送信にも影響が出てしまう可能性があります。

 

WordPressセキュリティ対策の基本マニュアル

 

WordPressへの不正アクセスを防ぐためには、

まずは最低限のセキュリティ対策をしておく必要があります。

 

セキュリティ対策を行う上での注意点は、Wordpressの設定を変更したり、

プラグインを更新する作業が必要になるため、誤ってデータが

消去されてしまった場合に備えて、必ずバックアップを

取っておく必要があります

 

PCのセキュリティ対策を行う

現在利用しているPCにセキュリティソフトを入れていない場合には、

今すぐ導入するようにしましょう。

 

Win、Mac問わずインターネットを利用する上でセキュリティソフトは必須です。

 

OSのアップデート

Win、Mac問わずOSのアップデート通知が来た場合には

すぐに最新のOSにアップデートしましょう。

 

Adobe・Flash player・FTPソフトのアップデート

Adobe、Flash playerやFTPソフトなどは利用者が多く、

不正アクセスの対象になりやすくなっています。

上記の理由から、ソフトウエアのアップデートも頻繁に行われています。

 

アップデート通知があった場合には必ず実施し、

常に最新のバージョンに保っておくようにしましょう。

 

WordPress本体を最新のバージョンに保つ

WordPressを利用していると、メニューにある「ダッシュボード」に

WordPress本体のバージョンアップの通知が届くことがあります。

 

上の画像のように、Wordpress本体に新しいバージョンが出来た場合には、

バックアップを取った上でバージョンアップを行うようにしましょう。

 

バックアップを取らないでバージョンアップを行うと、データの損傷などがあった場合に

ブログの復元が出来なくなってしまいます。

 

WordPressのバックアップには「BackWPup」というバックアップ専用の

プラグインを導入すると、ファイルやデータベースを

丸々バックアップしてくれるので便利です。

 

BackWPupの導入は、Wordpressの「プラグイン」メニューから、

「新規追加」でBackWPupを検索することで簡単に行えます。

 

BackWPupでは手動でのバックアップだけでなく、スケジュールを設定することで

自動でのバックアップも可能なので便利です。

 

利用しているWordpressテーマをアップデートする

WordPressテーマの更新は多く、頻繁にアップデートが行われています。

アップデートの通知が届いた場合には、すぐにテーマを更新するようにしましょう。

 

使用していないテーマを削除する

テーマを変更したなど、現在利用中以外のテーマが入っている場合もありますよね。

使っていないテーマが原因で、セキュリティ面に問題が発生する可能性もあります。

 

使用中のテーマ以外はすぐに削除するようにしましょう。

削除したいテーマを選択して、「テーマの詳細」をクリックすると、

テーマの詳細が表示されます。

 

右下に表示される「削除」をクリックすることで簡単にテーマを削除することができます。

 

プラグインのアップデート・不要プラグインの削除

WordPressではプラグインも頻繁にアップデートされます。

アップデートの通知が届いた場合には、すぐに最新のバージョンに更新しておきましょう。

 

プラグインのアップデートは、ダッシュボードの「更新」メニューまたは

「プラグイン」から行うことができます。

 

「すべて選択」にチェックを入れ、「プラグインを更新」をクリックするだけで

アップデートが必要なプラグインをまとめて更新することができます。

 

使用していないプラグインも削除するようにしましょう。

 

Akismet Anti-Spam (アンチスパム)プラグインの導入

Akismet Anti-Spam (アンチスパム)プラグインは、ワードプレスに投稿した

記事へのURL付きの意味不明なコメントを防止してくれるプラグインです。

 

Akismet Anti-Spamの導入はWordpressの「プラグイン」メニューから、

「新規追加」でAkismet Anti-Spamを検索することで簡単に行えます。

 

SiteGuardプラグインを導入する

SiteGuardは、管理ページへの不正アクセス攻撃への保護に特化したプラグインです。

 

SiteGuardは日本のセキュリティ会社が開発したプラグインのため、

設定画面も日本語で表示されており、分かりやすく、使いやすい

セキュリティプラグインです。

 

SiteGuardプラグインをインストールすると、

WordPressのメニューにSiteGuardが追加されます。

 

SiteGuardは様々な設定が可能です。

詳細な設定方法については公式サイトを参考にして下さい。

 

SiteGuard WP Plugin公式サイト

 

WordPressのログインパスワードを変更

WordPressのログインパスワードの文字数が少ない場合には、

ブルートフォースアタックと呼ばれる、考えられるパスワードの

組み合わせの総当たり攻撃によって、簡単にログインされてしまう

可能性があります。

 

ログインパスワードは大文字、小文字の英数字を組み合わせた、

最低でも10文字以上で設定するようにしましょう。

 

自分でパスワードを考えるのが面倒な場合には、以下の手順で

強固なパスワードを簡単に作成することができます。

 

WordPressのメニューから、「ユーザー」→

「あなたのプロフィール」をクリックします。

 

表示される画面の一番下にある「新しいパスワードを生成する」をクリックします。

 

するとWordpressが強固なパスワードを自動で生成してくれます。

 

生成されたパスワードは一番強固なので、このパスワードを利用するのが望ましいです。

このままパスワードを利用する場合には、「プロフィールを更新」をクリックします。

 

作成したパスワードを忘れないように必ずメモしておきましょう。

 

パスワードを変更したら、必ず一度ログアウトして新しいパスワードで

ログインできるのを確認するようにしましょう。

 

ログイン試行回数を設定する

ログイン試行回数を設定すると、短時間に連続したログイン失敗があった場合には

一定時間アクセスを制限することができます。

 

ログイン試行回数を設定することにより、パスワード総当たり攻撃

(ブルートフォースアタック)による不正アクセスを防止することができます。

 

エックスサーバーではサーバーパネルの「Wordpressセキュリティ設定」から

「ログイン試行回数制限設定」をオンにすることで設定可能です。

引用元:https://naoto-biz.com/wordpress-security/

 

ログイン試行回数制限設定をオンに設定すれば、不正アクセスなどで一定回数以上、

連続してログインに失敗すると、ログイン制限がかけられ

24時間はログインできなくなります。

 

エックスサーバーを利用していない場合でも、プラグインの

「Limit Login Attempts Reloaded」を利用することで

ログイン試行回数を設定することができます。

 

PHPのバージョンアップ

PHPのバージョンが古いままブログを運営するのは

セキュリティ面からも好ましくありません。

 

エックスサーバーの場合にはコントロールパネルから

現在利用中のPHPのバージョン確認と切替が可能です。

引用元:https://naoto-biz.com/wordpress-security/

 

エックスサーバーのWAF設定を利用する

エックスサーバーではセキュリティを向上する「WAF設定」を提供しています。

 

WAF設定はサーバーパネルの「セキュリティ」にある

「WAF設定」から行うことができます。

引用元:https://www.xserver.ne.jp/manual/man_server_waf.php

 

WordPressのログインページURLを変更する

不正アクセスを狙う人たちはネット上から数多くのサーバーにアクセスし、

WordPressがインストールされていることを確かめるところから始まります。

 

WordPressのログインページは通常以下のようなURLになっています。

 

  • https://xxx.com/wp-admin
  • https://xxx.com/wp-login.php

 

アクセスしたサーバーにwp-admin又はwp-login.phpのURLが存在した場合には、

サーバーから「200 OK」、URLが存在しなかった場合には「404 Not Found」の

ステータスコードが返ってきます。

 

そのため、不正アクセスを試みる人たちにWordrpressが設置されている

サーバーが分かってしまいます。

 

そこで、WordPressのログインURLを別のものに変更することにより、

サーバー上にWordpressが設置されていることが分からなくなります

 

サーバーにWordpressが設置されていることが分からなければ、

そもそも不正アクセスの対象にもならないため、

未然に不正アクセスを防ぐことができます。

 

 ログインURLを設定するプラグインを導入する

ログインURLの変更は「Login rebuilder」というプラグインを

インストールすることで行えます。

 

Login rebuilderをインストールして有効化すると、Wordpressの設定メニューに

「ログインページ」が表示され、クリックするとLogin rebuilderの

設定画面が表示されます。

 

Login rebuilderの主な設定項目を説明します。

 

無効なリクエストの応答

 

WordPressの標準ログインURL、wp-admin又はwp-login.phpで

アクセスされた場合のステータスをどうするかを設定します。

 

403又は404のステータスコードを返したり、

ブログのトップページを表示させることができます。

 

ログインファイルキーワード

設定するとランダムにキーワードが入力されます。

キーワードはメモ帳などに控えておく必要があります。

 

新しいログインファイル

この部分に好みの文字列を入力することで、

WordPressのログインURLを設定することができます。

 

第2ログインファイル

複数の人間でWordpressを管理している場合のログインURLを設定します。

管理者が一人の場合はこの項目は入力不要です。

 

ステータス

ログインURLを変更したら、「稼働中」にチェックを入れることで

ログインURLの変更が反映されます。

 

ステータスが「準備中」のままではログインURLは変更されませんので注意が必要です。

 

ログ保存

ログイン時にログを保存するか設定します。

自分の好みで設定すると良いでしょう。

 

まとめ

WordPressのセキュリティ対策、不正アクセス防止にはPC本体で行うものと

レンタルサーバー上で行う設定、Wordpress本体のバージョンアップや

セキュリティプラグインの導入など様々な方法があります。

 

基本的なセキュリティ対策を行っておくことはもちろん、

アクセスログのチェックなど定期的な監視が必要です。

 

この記事で紹介した方法を実行することで、Wordpressの

不正アクセスの可能性をほぼ0にすることができると思います。

 

この記事がWordpressのセキュリティ対策と不正アクセスブロックに役立てば幸いです。

 

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です