ワードプレスの基本的なセキュリティ対策について

Pocket

 

ワードプレスのセキュリティ対策してますか?

  • 投稿者URLでログインIDが表示されるのをブロックしてますか?もろバレてませんか?
  • ログインIDとブログ表示名同じじゃありませんか?
  • 更新されてないプラグイン使ってませんか?
  • ワードプレスの更新ちゃんとしてますか?

セキュリティ対策してるつもりでも上記のことはうっかりしがちな部分ですよね。。。。

今回はワードプレスでの最低限これはやっておいた方が。。。。というセキュリティ

対策についてです

 

ワードプレスのセキュリティ対策

 

〜〜項目〜〜〜〜〜〜〜〜

❤︎0、何はともあれバックアップは必要

❤︎1、ワードプレスのセキュリティプラグインを使う

❤︎2、IDとサイト表示名を変える

❤︎3、投稿者URLにユーザー名を表示させないようにする

❤︎4、ワードプレスのバージョンを最新にする

❤︎5、古いプラグインは使わない&インストールは公式から

〜〜〜〜〜〜〜〜〜〜〜〜

スポンサーリンク

 

❤︎0、何はともあれバックアップは必要

何をするにもまずはバックアップですよね

最初のセキュリティ設定はまだ記事が入る前にワードプレスをインストールしたら先にやっておくのが良い気がする

記事が入る前なら別に何があっても良いかなと。。。

ま、それは自己責任として個人の判断で選択するしかないでしょうけれど

 

更にしばらくサイトを運営していて途中でセキュリティを強化したり、違うセキュリティプラグインに変えるなどの場合は油断しない方がいい

必ずバックアップを取っておきましょう

エックスサーバー
http://www.xserver.ne.jp/ なら自動バックアップ機能があるので万が一の場合でもデータ復旧のためのデータ提供の申し込みができるので最悪なことは防げる可能性が高い

んが、自分でもバックアップは取っておいてその申し込みは最後の手段とした方がいい(手数料がいくらかかかる)

 

ワードプレスバックアッププラグインは “BackWPup” が有名ですね

その際サイトが大型サイトになってくると一括フルバックアップではなく、データベースとファイルで分けた方がスムーズ

負荷を軽減してバックアップをスムーズにするあれそれの、
▷BackWPupでSIGXCPU (CPU時間制限超えました) エラー解決法>❤︎2、最大スクリプト実行時間とサーバーの負荷を軽減で調整するなども書いてます↓

BackWPupでSIGXCPU (CPU時間制限超えました) エラー解決法

 

 

❤︎1、ワードプレスのセキュリティプラグインを使う

ワードプレスにはトータル的なセキュリティ設定できるプラグインが複数存在しますよね

どれを使うかはその人次第な部分も大きいと思う

どちらにせよ、セキュリティプラグインは結構深い部分の設定にもなるので、しっかり設定して管理できるものを選択した方がいい

つまり、どれか選んで深く調べてある程度ちゃんと設定しないと良くない

 

しかもプラグインでセキュリティの設定をしたからって安心ではない

最低限必要ということでしょう……..

 

下記の項目くらいはやっておいた方が良い

===================

  • データベーステーブルの接頭辞の変更(デフォのままwpはNG)
  • ユーザーアカウントIDと表示名が同じでないかチェックし、同じなら変更
  • 投稿者アーカイブURLからもIDを表示されないようにする
  • ログインロック設定(IDを晒さないのとログインロックを設定して ”ブルーフォースアタック” 対策をする)
  • スパムブロック
  • WPのページバージョン、テンプレテーマなどを表示させないことにより、サイトの情報を公開せず、脆弱性をつかれづらくする
  • 基本的なファイアウォール保護

====================

などなど

 

ワードプレスプラグインの、“All In One WP Security & Firewall”、“iThemes Security”

この辺りのはやや面倒ですが、わりかし細かくトータル的な設定をできます

設定の仕方は結構複雑といえばそうなんんですが

でもネットで検索しながらやればできますのでチャレンジしてみてくださいw

 

 

❤︎2、IDとサイト表示名を変える

で、ユーザーアカウント名(ログインID)ですがそのままサイト上の表示名としてる方も多いかもしれない。。。

そのままだとログインIDがバレバレということになるのであとはパスワードのみなのでログインアタックを受けやすくなってしまう

ワードプレスは設定しないとIDがそのままブログ・サイト上の表示名になるようになってる

 

だから初期にすぐブログ・サイト上の表示名を変えた方がいい(しばらく運営してしまってからブログ上の表示名を変えてもネット上にはしばらくその情報が残ってしまう)

んが、だからと言ってIDを変更する場合には最新の注意が必要です
以前このブログでも書きましたが、

 

※ 新しく作成したIDにそれまでのコンテンツが全て引き継がれるようにしなければ
それまで投稿してきた記事も削除されてこの世からなくなってしまう

なので要注意です

 

手順としては
新規でユーザー名(ID)を追加して、変えたいユーザ名(ID)を削除するということになる

WP管理画面のユーザー>あなたのプリフィール>

 

新規ユーザー追加

 

必須項目入力(パスワードは”強力”に
権限グループを”管理者”にで新規ユーザーを追加

 

新しいIDでログイン

 

 

※ここ注意
以前のIDを削除するときは“全てのコンテンツが新しく作成したIDに引き継がれるようにしてからにする”

 

IDを変える場合には集中して確認しながらバックアップもしっかりとって自己責任のもとに行ってくださひね。。。。。。。。。。

 

 

❤︎3、投稿者URLにユーザー名を表示させないようにする

で、さらにそれだけではユーザーIDはすぐに調べられます。。。。。。。。

投稿者URLで調べると表示されてしまうのですぐバレます
そのやり方は知ってる方も多いと思うのですがあえてここでは書きません)

ワードプレス使っていて『は?なにそれ!?』って方はもろバレてます
(対策してないとアカウントユーザーIDがそのまま表示されてしまう)

ただ、それを防ぐためのワードプレスプラグインで有名なものがあるのでそれについて書きます

 

“Edit Author Slug” というプラグインです

それでログインユーザーIDを調べられても本当のIDは表示できなくできる

 

ワードプレスの新規プラグインインストール画面からインストールして有効化したら、

ユーザー>あなたのプロフィールの下の方に”Edit Author Slug” を設定できる欄があるのでそこでIDとは別の表示されて支障ないスラッグに設定しておく

 

確認は

WP管理画面>ユーザー>ユザー一覧で、投稿者スラッグを確認できる

 

とりあえずユーザーIDは知られない方が良いので設定しておいた方が良い

実際セキュリティプラグインでチェックしてみたら、その設定したスラッグをIDだと思ってログインアタックされた形跡がありました

つまり

投稿者URLで調べると表示されてしまうやり方でIDを調べてログインアタックする誰かも実際存在する ということですよね…………

これでもし本当のIDが表示されてしまっていて他にセキュリティ対策もしてなかったならログインされてしまったかもしれないということですよね

ま、他にも対策はしているのでそれだけでは無理でしょうけれどなかなかやな感じですよね笑

くわばら くわばら…………….

 

 

❤︎4、ワードプレスのバージョンを最新にする

それとやはりこれです

ワードプレス自体を最新のバージョンにしっかり更新しておくことが最も重要とされていますよね

まず脆弱性を狙ってくる場合、古いバージョンのワードプレスを機械的に探してターゲットを絞ってくることが多いとされているようですよ

最新に更新してるだけで多少ターゲットにされづらくできるということですよね

バックアッップをとってできるだけ最新バージョンを保つことが基本w

 

 

❤︎5、古いプラグインは使わない&インストールは公式から

案外古いプラグインを普通に使ってる方は多いようですが…………………

 

1年以上更新されてないプラグインはやめておいた方が無難です

定期的にプラグインの更新、バージョンチェックは必要なのと、新規でプラグインをインストールするにも、ワードプレス公式のもののみにした方がいい

 

インストールする前に最終更新をチェックして1年以上更新されてないものは使わない!(互換性の面はわりと、、『まだ試されてません』となっていても大丈夫なことが私は多いけどこれもチェックしてから決めた方がいい)

https://ja.wordpress.org/plugins/better-wp-security/

 

https://ja.wordpress.org/plugins/all-in-one-wp-security-and-firewall/

 

また、プラグインは停止しただけでは無効にはならない

やめるなら完全に削除する必要がある

プラグインによっては管理画面からただ削除するだけでは完全に削除できないものもあるのでその辺りも調べてから完結すべき(ファイルから削除する必要があるものなど)

すでに使っているプラグインでも更新されずに古くなってしまったものはないか定期てきにチェックして管理した方がいい

 

などなどが最低ライン必要なところだと思う

 

ってことで以前からこのブログでも書いておきたいと思っていた内容ですが、上記のことをしたからって安心ってわけではないというのと、人それぞれで心配しすぎてもしょうがないって考えの人もいるでしょうし、実際、上記のことを全くしてないブロガーさんで普通にワードプレスを運営してる方も多いのも現状でそれで全然平気な方も多いでしょう

ま、でもできることはしておいた方がいいように思うので今回書いてみました

これからクリエイターの方はますます個人ブログの強化が必要になってくるのと独自ドメイン&ワードプレスの方ももっと増えてくるように思う

そうすればどうしてもターゲットにされやすくなるかもしれない

なので少しずつでも色々やっておきたいし知っておきたいなと思う

 

しゃらんるわああぁああぁああ❤︎

 

レンタルサーバーはどこがお勧めか?実際活用しているサーバーを紹介!

(‾ェ‾)ゞ

 

スポンサーリンク

 

REACH_rh.jam project / Creative Support
REACH_rhがあなたのクリエイトをサポートします
サポート内容をチェックしてみる ↓

rhjampj_v-min

 

❤Twitter, Facebook, G+, Feedly にて当サイト更新情報配信中です
宜しくどうぞ御贔屓に<(_ _)><(_ _)><(_ _)>

 Twitter   asset.f.logo.lg   btn_g_red_normal.png-34

REACH_rh note

follow us in feedly

 

関連コンテンツ

\(`^`)b

Pocket

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

3 × 4 =