「自分年金」の仕組み作成のために、WordPressを使ってパワーサイトを構築していますが、パワーサイトは言わば「資産」です。その「資産」が悪意のあるハッカーに攻撃されて、サイトの記事が全部消えて無くなったら、私なら相当へこみます、暫く立ち直れないかもしれません。
そう、WordPressは非常に人気があるんです。そのためWordPressで作成したサイトは、悪意のあるハッカーに狙われるリスクが高いとも言えます。
・サイトを乗っ取られ、記事が全て消えた、改ざんされた
・サイトのコンテンツを丸ごとコピーされた
・自分のサイトをアクセスした人が、ウイルスに感染した
このような事態が発生する事も、肝に銘じておく必要があります。
今回は、私が当サイトで実施しているWordPressのセキュリティ対策を紹介したいと思います。
WordPressサイトへの主な攻撃と対策
WordPressで作成したサイトに対する攻撃の代表例と、その対策を紹介します。
主な攻撃例 2種類
悪意のあるハッカーは、いろいろな方法で攻撃してきますが、その中でも代表的な事例を紹介します。
1.Wordpress管理者ページへの不正なログイン攻撃
WordPressのサイト管理者としてユーザー名&パスワードを入力して、管理画面にログインしますが、そのログイン情報がバレてしまい、悪意のあるハッカーに不正にログインされ、サイトを乗っ取られてしまうといった攻撃パターンです。
ブルートフォースアタック(総当り攻撃)と言われる、ユーザー名とパスワードの可能な組み合わせを全て試す、暗号解読方法の1つです。サイト記事に書かれたユーザー名から、ブルートフォースアタックでパスワードを解読されて、不正にログインされるケースもあります。
また、Wordpress管理者ページへのログイン情報(ユーザー名、パスワード)として、メールアドレスから推測されてしまうようなログイン情報を使用している場合や、WordPressをインストールした初期のログイン情報(ユーザー名「admin」はその代表例)のまま使用している場合、このような攻撃を受ける可能性が高まると言えるでしょう。
ハッカーに乗っ取られたサイトは、彼らの好き放題にページを消されたり、書き換えられたり、不正なデータをあなたのサイトに混入するなど、やりたい放題にサイトが改ざんされてしまいます。そうなったら被害は甚大です。
2.脆弱性をついた攻撃
CMS(コンテンツ・マネジメント・システム)である、WordPress自体に脆弱性があります。
当然、Wordpressで作られたサイトも間違いなく脆弱性を持っています。
また、WordPressを便利にするプラグインにも脆弱性が存在します。
そして、そのような脆弱性を放置しておくと、悪意のあるハッカーは脆弱性を悪用して、あなたのサイトの記事を消したり、改ざんしたり、不正なデータをあなたのサイトに埋め込むことも出来てしまいます。
主な攻撃例 2種類対する対策
1.Wordpress管理者ページへの不正ログイン攻撃に対する対策
(1)WordPressセキュリティ対策用のプラグインをインストールし不正ログイン対策を行う
(2)インストールしたプラグインを最新版にアップデートする
(3)WordPress管理画面のユーザーの『ユーザ名』は「admin」以外の文字列を使う
『ユーザ名』はログインユーザ名として使われるものなので、
デフォルト値の「admin」はNGです。
(4)WordPress管理画面のユーザーの『ブログ上の表示名』は『ユーザ名』とは別名にする
『ブログ上の表示名』は記事に表示できますが、ログインユーザ名を知られないように
するためにも、『ユーザ名』とは別名にする必要があります。
(5)ログインパスワードは高い強度のパスワードにする
ログインパスワードはWordPress管理画面のユーザーの『新しいパスワード』で
自動生成したものに変更する。
自動生成したパスワードは、高い強度のパスワードになるので、
ブルートフォースアタック(総当り攻撃)で解読され難いパスワードになります。
2.脆弱性をついた攻撃に対する対策
(1)Wordpress自体を最新版にアップデートする
Wordpress自体もバグ修正、脆弱性修正などでバージョンアップを行っています。
WordPress自体を最新版にアップデートしましょう。
(2)プラグインも最新版にアップデートする
プラグインもバグ修正、脆弱を修正などでバージョンアップをしています。
プラグインも最新版にアップデートしましょう。
(3)WordPressセキュリティ対策用のプラグインをインストールする
下記で述べるセキュリティ対策用のプラグインをインストールしましょう。
WordPressセキュリティ対策用のプラグイン2選
WordPressのセキュリティ対策におすすめのプラグインを紹介します。
1.Akismet
「Akismet」は、WordPress をインストールするとデフォルトで入っているプラグインです。
「Akismet」は、スパムコメントやスパムと思われるトラックバックを自動判定して分類し、サイト管理者に通知してくれるプラグインです。投稿記事のコメント欄を開放している場合は、必ず有効化したいプラグインです。
設定するには「APIキーを取得」し、「取得したAPIキーを有効」にする必要があります。
「APIキーの取得」に若干の煩わしさがありますが、頑張って設定しましょう。
設定方法は以下のサイトが参考になると思います。
参考:Akismetの使い方ーWordPressプラグイン【初心者向け】
2.All In One WP Security & Firewall
「All In One WP Security & Firewall」は、WordPressに対する豊富なセキュリティ対策の機能が、トータルに提供されています。提供されている全ての機能を設定する必要はないと思いますが、最低限の機能は押さえたいところです。
(1)WordPressの各種ディレクトリやファイルのパーミッションの変更機能
WordPressのインストールディレクトリや、
「wp-admin」ディレクトリに対してプラグインが
推奨するパーミションに変更することができます。
(2)WordPressのバージョン情報を非表示にする設定
WordPressのバージョン情報は、サイト画面上には表示されませんが、
サイトのソースコード(head部分)には記載されています。
これを非表示する機能です。
(3)ログインを禁止にする機能
ログインに数回失敗すると、そのIPアドレスを自動的に
一定時間「ログイン禁止状態」にする機能です。
不正なログインを試みられた時でも、自動的に悪意のあるユーザーを
ログイン禁止状態にしてくれるため、必ず有効にしておきたい設定です。
(4)Pingback機能を無効化する機能
Pingback機能とは、自分が作成したサイトの投稿記事に対して
被リンクが張られたことを通知する機能のことです。
この機能を利用して、自分が作成したサイトから外部のサイトに
DDoS攻撃を仕掛けられる事があるので、
このPingback機能は無効化した方が安全といえます。
(5)投稿コメントからスパムをブロックする機能
ロボットによるスパムコメントをブロックするファイアウォールルールを適用してくれます。
(6)ファイアウォール機能(2018/11/19に実施)
ファイアウォール機能を利用して下記項目を有効化します。
・.htaccessファイルの保護
・サーバーの署名を無効化
・ファイルのアップロードサイズを10MBに制限
・wp-config.phpファイルの保護
・pingback機能を完全に無効化
・wp-content/debug.logにあるデバックのログファイルへのアクセスをブロック
(7)ファイル操作を禁止する機能(2018/11/19に実施)
すべてのWPインストールで提供されているreadme.html、license.txt、wp-config-sample.phpなどの
ファイルへのアクセスを禁止することができます。
これらのファイルへのアクセスを防止することにより、潜在的なハッカーからの重要な情報
(WordPressのバージョン情報など)が隠れてしまいます。
(8)各種設定ファイルのバックアップ機能(2018/11/19に実施)
「.htaccess」や「wp-config.php」などのファイルをバックアップできます。
以上が、私が設定を有効にしている機能です。
当プラグインは、まだまだ豊富な機能が提供されています。以下に続きます。
勉強して、自分に必要と思われる機能を設定してみて下さい。
(9)右クリック・テキスト選択・コピーを禁止する機能
WordPressのサイトに対して、右クリックのメニューを非表示にしたり、
テキストのコピーを無効化できる機能です。
(10)一定時間で自動的にログアウトする機能
ログインしたユーザーを一定時間で強制ログアウトさせることができます。
(11)データベースのテーブルのプリフィックス(接頭辞)を変更する機能
デフォルトのテーブルプリフィックス「wp_」などを後から変更できます。
但し、初心者は設定しない方がよいと思います。
(12)PHPファイルの編集を無効化する機能
管理画面から設定できるテーマなどのPHPファイルエディタ機能を無効にできます。
(13)ログインユーザー名の変更機能
「admin」ユーザーなどのユーザー名が変更できます。
(14)ブラックリストの設定機能
特定のIPアドレスやユーザーエージェントを持つクライアントからのアクセスを制限します。
(15)ブルートフォースアタックの防御機能
デフォルトのWordPressログインページのURLを変更することで、効果的なブルートフォース攻撃を防御をしてくれます。
設定方法は以下のサイトが参考になると思います。
参考:All In One WP Security & Firewallの使い方とおすすめの設定方法
参考:【プラグイン】All In One WP Security・設定と使い方
最後に
世界中のサイトのうち、WordPressで作成されているサイトは、なんと約3割ぐらいあるそうです。
過去・現在とも、MicroSoft社のWindows OSが盛んに狙われている様に、WordPressに人気があるためにWordPressで作成したサイトも悪意のあるハッカーに狙われています。
現代ではサイバー攻撃は身近に迫った現象です。
WordPressで作成したあなたのサイトが攻撃されたら、長い時間を掛けて構築してきた記事が消えてしまったり、改ざんされてしまいます。是非、WordPressのセキュリティ対策を実施していきましょう。
今回紹介したプラグインは、どれも無料で利用できます。是非、利用してセキュリティを高めたパワーサイトをWordPressで構築しましょう。
どうでしょうか? あなたの大切な資産であるパワーサイトを、ガッチリとセキュリティ対策するための、お役に立てたでしょうか?
今回は、Wordpressで作成したサイトを攻撃する脅威と対策について紹介しました。
