ワードプレスの基本的なセキュリティ対策について

Pocket

 

ワードプレスのセキュリティ対策してますか?

  • 投稿者URLでログインIDが表示されるのをブロックしてますか?もろバレてませんか?
  • ログインIDとブログ表示名同じじゃありませんか?
  • 更新されてないプラグイン使ってませんか?
  • ワードプレスの更新ちゃんとしてますか?

セキュリティ対策してるつもりでも上記のことはうっかりしがちな部分ですよね。。。。

今回はワードプレスでの最低限これはやっておいた方が。。。。というセキュリティ

対策についてです

 

ワードプレスのセキュリティ対策

 

〜〜項目〜〜〜〜〜〜〜〜

❤︎1、IDとサイト表示名を変える

❤︎2、投稿者URLにユーザー名を表示させないようにする

❤︎3、全体のセキュリィティを高められるプラグインを導入&設定する

❤︎4、何はともあれバックアップは必要

❤︎5、ワードプレスのバージョンを最新にする

❤︎6、古いプラグインは使わない&インストールは公式から

〜〜〜〜〜〜〜〜〜〜〜〜

スポンサーリンク

 

❤︎1、IDとサイト表示名を変える

バックアップも大事でしょうけれど、まずはここ先に最初にやっておいた方が良い。。。

ユーザーアカウント名(ログインID)ですがそのままサイト上の表示名としてる方も多いかもしれない。。。

そのままだとログインIDがバレバレということになるのであとはパスワードのみなのでログインアタックを受けやすくなってしまう

ワードプレスは設定しないとIDがそのままブログ・サイト上の表示名になるようになってる

 

だから初期にすぐブログ・サイト上の表示名を変えた方がいい(しばらく運営してしまってからブログ上の表示名を変えてもネット上にはしばらくその情報が残ってしまう)

んが、だからと言ってIDを変更する場合には最新の注意が必要です
以前このブログでも書きましたが、

 

※ 新しく作成したIDにそれまでのコンテンツが全て引き継がれるようにしなければ
それまで投稿してきた記事も削除されてこの世からなくなってしまう

なので要注意です

記事を書いてしまってからこれを設定する場合は特に注意ってことです。。。

 

手順としては
新規でユーザー名(ID)を追加して、変えたいユーザ名(ID)を削除するということになる

WP管理画面のユーザー>あなたのプリフィール>

 

新規ユーザー追加

 

必須項目入力(パスワードは”強力”に
権限グループを”管理者”にで新規ユーザーを追加

 

新しいIDでログイン

 

 

※ここ注意
以前のIDを削除するときは“全てのコンテンツが新しく作成したIDに引き継がれるようにしてからにする”

 

IDを変える場合には集中して確認しながらやる、記事を書いてしまってから後で気づいてやる場合はバックアップもしっかりとって自己責任のもとに行ってくださひね。。。。。。。。。。

 

 

❤︎2、投稿者URLにユーザー名を表示させないようにする

で、さらにそれだけではユーザーIDはすぐに調べられます。。。。。。。。

投稿者URLで調べると表示されてしまうのですぐバレます
そのやり方は知ってる方も多いと思うのですがあえてここでは書きません)

ワードプレス使っていて『は?なにそれ!?』って方はもろバレてるんじゃないかな…
(対策してないとアカウントユーザーIDがそのまま表示されてしまう)

ただ、それを防ぐためのワードプレスプラグインで有名なものがあるのでそれについて書きます。

 

“Edit Author Slug” というプラグインです。

それでログインユーザーIDを調べられても本当のIDは表示できなくできる

 

ワードプレスの新規プラグインインストール画面からインストールして有効化したら、

ユーザー>あなたのプロフィールの下の方に”Edit Author Slug” を設定できる欄があるのでそこでIDとは別の表示されて支障ないスラッグに設定しておく

 

確認は

WP管理画面>ユーザー>ユザー一覧で、投稿者スラッグを確認できる

 

とりあえずユーザーIDは知られない方が良いので設定しておいた方が良い

実際セキュリティプラグインでチェックしてみたら、その設定したスラッグをIDだと思ってログインアタックされた形跡がありました

つまり

投稿者URLで調べると表示されてしまうやり方でIDを調べてログインアタックする誰かも実際存在する ということですよね…………

これでもし本当のIDが表示されてしまっていて他にセキュリティ対策もしてなかったならログインされてしまったかもしれないということですよね

なのでログイン制限やロックは他の手段でもやっておいた方がいい…

くわばら くわばら…………….

 

 

❤︎3、全体のセキュリィティを高められるプラグインを導入&設定する

これもできるだけ最初の段階でやった方がいい….

ワードプレスではトータル的なセキュリィティを高められるプラグインも沢山あります。もちろん全カバーではないし、完璧ではないですが、やらないよりやった方が良いですよね。

“All In One WP Security & Firewall” などもいろいろできるので良い

  • 接頭辞の変更
  • ユーザーアカウントIDと表示名(ニックネーム)が同じでないかチェック
  • スパムブロック
  • ログインロック設定
    (IDを晒さないのとログインロックを設定して ”ブルーフォースアタック” 対策をする)
  • ディレクトリとファイル・パーミッションをスキャンして結果を調べられる
  • ユーザー新規作成管理
  • 基本的なファイアウォール保護
  • ファイルの書き換えがあったかをチェックできるようにする
  • WPのページバージョンを表示させないことにより、サイトの情報を公開せず、脆弱性をつかれづらくする

など最低でもしておいた方が良いことなどができる…

他にもプラグインはあるのでそれはご自分で調べて選択するのもいいと思うです。

 

スポンサーリンク

 

❤︎4、何はともあれバックアップは必要

何をするにもまずはバックアップですよね,,

本当はプラグインを導入する際も先にバックアップすべきなんですが、上記のことは記事を入れる前にやっておくといいと思う。

何かあっても記事がまだない段階ならワードプレスをインストールし直すのもそんなに問題じゃないし…

私はまずバックアップより上記の設定をしてしまってからさらに必要最小限のプラグインも導入&設定してから最初のバックアップをするようにしています。

記事を入れだしたら定期的にバックアップという感じ….

ただ、記事を入れだしてからも必要なプラグインは増えていくし、セキュリィティ強化のためのプラグインも導入したくなるかもしれない。

その場合はバックアップしてからにした方が良い。

それは自己責任として個人の判断で選択するしかないでしょうけれど

 

ワードプレスバックアッププラグインは “BackWPup” が有名ですね、、

最近は復元も簡単とされる “UpdraftPlus” もかなり有名です。

どちらにせよ自分に合ったものを選択してバックアップしておくことが必須

▶︎『UpdraftPlus 』の気になるところ(復元も簡単なワードプレスバックアッププラグイン)

▶︎BackWPupでSIGXCPU (CPU時間制限超えました) エラー解決法>❤︎2、最大スクリプト実行時間とサーバーの負荷を軽減で調整するなども書いてます

なども参照

 

さらに、

エックスサーバー
http://www.xserver.ne.jp/ なら自動バックアップ機能があるので万が一の場合でもデータ復旧のためのデータ提供の申し込みができるので最悪なことは防げる可能性が高い

んが、自分でもバックアップは取っておいてその申し込みは最後の手段とした方がいい(手数料がいくらかかかる)

 

 

❤︎5、ワードプレスのバージョンを最新にする

それとやはりこれです

ワードプレス自体を最新のバージョンにしっかり更新しておくことが最も重要とされています…..

まず脆弱性を狙ってくる場合、古いバージョンのワードプレスを機械的に探してターゲットを絞ってくることが多いとされているようですよ

最新に更新してるだけで多少ターゲットにされづらくできるということですよね…

バックアッップをとってできるだけ最新バージョンを保つことが基本かなと

 

 

❤︎6、古いプラグインは使わない&インストールは公式から

案外古いプラグインを普通に使ってる方は多いようですし、時に使うことが必要な場面も確かにあるのですがががが…………………

 

1年以上更新されてないプラグインはやめておいた方が本当は無難です

定期的にプラグインの更新、バージョンチェックは必要なのと、新規でプラグインをインストールするにも、ワードプレス公式のもののみにした方がいい。

 

インストールする前に最終更新をチェックして1年以上更新されてないものは使わない!(互換性の面はわりと、、『まだ試されてません』となっていても大丈夫なことが私は多いけどこれもチェックしてから決めた方がいい)

https://ja.wordpress.org/plugins/better-wp-security/

 

https://ja.wordpress.org/plugins/all-in-one-wp-security-and-firewall/

 

また、プラグインは停止しただけでは無効にはならない

やめるなら完全に削除する必要がある

プラグインによっては管理画面からただ削除するだけでは完全に削除できないものもあるのでその辺りも調べてから完結すべき(ファイルから削除する必要があるものなど)

すでに使っているプラグインでも更新されずに古くなってしまったものはないか定期てきにチェックして管理した方がいい。

 

などなどが最低ライン必要なところだと思うです…..

 

ってことで以前からこのブログでも書いておきたいと思っていた内容ですが、上記のことをしたからって安心ってわけではないというのと、人それぞれで心配しすぎてもしょうがないって考えの人もいるでしょうし、実際、上記のことを全くしてないブロガーさんで普通にワードプレスを運営してる方も多いのも現状でそれで何事もなくいけてる方も多いでしょう

ま、でもできることはしておいた方がいいように思うので今回書いてみました。

これからクリエイターの方はますます個人ブログの強化が必要になってくるのと独自ドメイン&ワードプレスの方ももっと増えてくるように思う。

なので少しずつでも色々やっておきたいし知っておきたいなと思う

 

しゃらんるわああぁああぁああ❤︎

 

レンタルサーバーはどこがお勧めか?実際活用しているサーバーを紹介!

(‾ェ‾)ゞ

 

\(`^`)b

スポンサーリンク

 

REACH_rh.jam project / Creative Support
REACH_rhがあなたのクリエイトをサポートします
サポート内容をチェックしてみる ↓

rhjampj_v-min

 

❤色々やり散らかしております、宜しくどうぞ御贔屓に<(_ _)><(_ _)><(_ _)>

Twitter-REACH_rh Facebook-REACH_rh G+ -REACH_rh Insta-REACH_rh note-REACH_rh

YouTube-REACH_rh SoundCloud-REACH_rh PIXIV-REACH_rh CREATORS BANK_REACH_rh

関連コンテンツ

Pocket