ワードプレスのセキュリティ対策してます?
- 投稿者URLでログインIDが表示されるのをブロックしてますか?もろバレてませんか?
- ログインIDとブログ表示名同じじゃありませんか?
- 更新されてないプラグイン使ってませんか?
- ワードプレスの更新ちゃんとしてますか?
セキュリティ対策してるつもりでも上記のことはうっかりしがちな部分ですよね。。。。
今回は、
◆ワードプレスでの最低限これはやっておいた方いいという『セキュリティ対策』
についていってみます…
❤︎1、IDとサイト表示名を変える【注意事項あり】
1-1、ID・表示名を変える必要がある理由
ワードプレスは設定しないと『IDがそのままブログ・サイト上の表示名になる』ようになってるから
ユーザーアカウント名(ログインID)がそのままサイト上の表示名としてる方も多いかもしれない。。。
そのままだとログインIDがバレバレということになるのであとはパスワードのみなので
ログインアタックを受けやすくなってしまう
だから初期にすぐブログ・サイト上の表示名を変えた方がいい
(しばらく運営してしまってからブログ上の表示名を変えてもネット上にはしばらくその情報が残ってしまう)
んが、
だからと言ってIDを変更する場合には最新の注意が必要…
1-2、ID・表示名変更の際の注意点
新しく作成したIDにそれまでのコンテンツが全て引き継がれるようにしなければ
それまで投稿してきた記事も削除されてこの世からなくなってしまう
なのでここも要注意!
記事を書いてしまってからこれを設定する場合は特に注意ってこと。。。
1-3、ID・表示名変更の仕方
※上記の通り、一歩間違えると取り返しのつかないことになりかねない部分でもあるので、
もし実行される場合はバックアップをしっかりとり、しっかり吟味し、自己責任のもとに行ってください。
<(_ _)>
手順としては
新規でユーザー名(ID)を追加して、変えたいユーザ名(ID)を削除するということになる
WP管理画面のユーザー>あなたのプリフィール>
新規ユーザー追加
必須項目入力(パスワードは”強力”に)
権限グループを”管理者”にで新規ユーザーを追加
新しいIDでログイン
※ここ注意
以前のIDを削除するときは
“全てのコンテンツが新しく作成したIDに引き継がれるようにしてからにする”
❤︎2、投稿者URLにユーザー名を表示させないようにする
で、さらにそれだけではユーザーIDはすぐに調べられます。。。。。。。。
投稿者URLで調べると表示されてしまうのですぐバレます
(※そのやり方は知ってる方も多いと思うのですがあえてここでは書きません)
ワードプレス使っていて『は?なにそれ!?』って方はもろバレてるんじゃないかな…
(対策してないとアカウントユーザーIDがそのまま表示されてしまう)
ただ、それを防ぐためのワードプレスプラグインで有名なものがあるのでそれについて書きます。
“Edit Author Slug” というプラグインです。
それでログインユーザーIDを調べられても本当のIDは表示できなくできる
ワードプレスの新規プラグインインストール画面からインストールして有効化したら、
ユーザー>あなたのプロフィールの下の方に”Edit Author Slug” を設定できる欄があるのでそこでIDとは別の表示されて支障ないスラッグに設定しておく
確認は
WP管理画面>ユーザー>ユザー一覧で、投稿者スラッグを確認できる
とりあえずユーザーIDは知られない方が良いので設定しておいた方が良い
実際セキュリティプラグインでチェックしてみたら、
その設定したスラッグをIDだと思ってログインアタックされた形跡がありました
つまり
投稿者URLで調べると表示されてしまうやり方でIDを調べてログインアタックする誰かも実際存在する
ということですよね…………
これでもし本当のIDが表示されてしまっていて他にセキュリティ対策もしてなかったならログインされてしまったかもしれないということですよね
なのでログイン制限やロックは他の手段でもやっておいた方がいい…
くわばら くわばら…………….
❤︎3、全体のセキュリィティを高められるプラグインを導入&設定する
ワードプレスではトータル的なセキュリィティを高められるプラグインも沢山あります。
もちろん全カバーではないし、完璧ではないですが、やらないよりやった方が良いですよね。
“All In One WP Security & Firewall” などもいろいろできるので良い↓
- 接頭辞の変更
- ユーザーアカウントIDと表示名(ニックネーム)が同じでないかチェック
- スパムブロック
- ログインロック設定
(IDを晒さないのとログインロックを設定して ”ブルーフォースアタック” 対策をする) - ディレクトリとファイル・パーミッションをスキャンして結果を調べられる
- ユーザー新規作成管理
- 基本的なファイアウォール保護
- ファイルの書き換えがあったかをチェックできるようにする
- WPのページバージョンを表示させないことにより、サイトの情報を公開せず、脆弱性をつかれづらくする
など最低でもしておいた方が良いことなどができる…
他にもプラグインはあるのでそれはご自分で調べて選択するのもいいと思うです。
❤︎4、何はともあれバックアップは必要
何をするにもまずはバックアップですよね,,
本当はプラグインを導入する際も先にバックアップすべきなんですが、上記のことは記事を入れる前にやっておくといいと思う。
何かあっても記事がまだない段階ならワードプレスをインストールし直すのもそんなに問題じゃないし…
私はまずバックアップより上記の設定をしてしまってからさらに必要最小限のプラグインも導入&設定してから最初のバックアップをするようにしています。
記事を入れだしたら定期的にバックアップという感じ….
ただ、記事を入れだしてからも必要なプラグインは増えていくし、セキュリィティ強化のためのプラグインも導入したくなるかもしれない。
その場合はバックアップしてからにした方が良い。
それは自己責任として個人の判断で選択するしかないでしょうけれど
ワードプレスバックアッププラグインは “BackWPup” が有名ですね、、
最近は復元も簡単とされる “UpdraftPlus” もかなり有名です。
どちらにせよ自分に合ったものを選択してバックアップしておくことが必須
さらに、
「エックスサーバー」なら自動バックアップ機能があるので万が一の場合でもデータ復旧のためのデータ提供の申し込みができるので最悪なことは防げる可能性が高い
自分でもバックアップは取っておく&バックアップがあるサーバーを使う
❤︎5、ワードプレスのバージョンを最新にする
ワードプレス自体を最新のバージョンに更新しておくことが最も重要
とされています…..
まず脆弱性を狙ってくる場合、古いバージョンのワードプレスを機械的に探してターゲットを絞ってくることが多いとされているようですよ
最新に更新してるだけで多少ターゲットにされづらくできるということですよね…
バックアッップをとってできるだけ最新バージョンを保つことが基本かなと
❤︎6、古いプラグインは使わない&インストールは公式から
案外古いプラグインを普通に使ってる方は多いようですし、時に使うことが必要な場面も確かにあるのですがががが…………………
1年以上更新されてないプラグインはやめておいた方が本当は無難です
定期的にプラグインの更新、バージョンチェックは必要なのと、新規でプラグインをインストールするにも、
ワードプレス公式のもののみにした方がいい。
インストールする前に最終更新をチェックして1年以上更新されてないものは使わない!(互換性の面はわりと、、『まだ試されてません』となっていても大丈夫なことが私は多いけどこれもチェックしてから決めた方がいい)
▷https://ja.wordpress.org/plugins/better-wp-security/
▷https://ja.wordpress.org/plugins/all-in-one-wp-security-and-firewall/
また、プラグインは停止しただけでは無効にはならない
やめるなら完全に削除する必要がある
プラグインによっては管理画面からただ削除するだけでは完全に削除できないものもあるのでその辺りも調べてから完結すべき(ファイルから削除する必要があるものなど)
すでに使っているプラグインでも更新されずに古くなってしまったものはないか定期てきにチェックして管理した方がいい。
などなどが最低ライン必要なところだと思うです…..
ってことで以前からこのブログでも書いておきたいと思っていた内容ですが、
上記のことをしたからって安心ってわけではないというのと、
人それぞれで心配しすぎてもしょうがないって考えの人もいるでしょうし、
実際、上記のことを全くしてないブロガーさんで普通にワードプレスを運営してる方も多いのも現状で、それで何事もなくいけてる方も多いでしょう
でもできることはしておいた方がいいように思うので今回書いてみました。
それと、テーマはSWELLが熱いですぞ..
.開発者の了さん(@ddryo_loos)には感謝しかない↓
ってことで
楽しいクリエイトあれ!
しゃらんるわああぁああぁああ❤︎
\(`^`)b