Wordpress

ブログ初心者のためのWordPressのセキュリティに関して

ワードプレスの虚弱性について

私がワードプレスでブログを始めて少し経った頃にサイトを乗っ取られるという事件が起きました。

自分のサイトが乗っ取られるなんて考えていなかったですし、そこまで、セキュリティが弱いものだとは思ってませんでした。

 

自分のサイトの記事が勝手に変えられていたことと、記事が削除されていたことで、乗っ取られたのがわかりました。

その当時のサイトはログイン画面のURLを変えることによって対処することができました。

 

ワードプレスのログイン画面はブルートフォースアタック(総当たり攻撃)によってすぐに突破されます。

初めのログイン画面URLはほとんど共通的に『「サイトURL(ドメイン)/(ディレクトリ/)wp-login.php」』で表示されます。

こんな簡単なURLだったら誰でもは入れてしまえそうですね。

しっかりとした対策をしておいてください。

ゆあ
ゆあ
こんな大切なことブログを始めた最初に知りたかったなぁ

 

ログイン画面のURLを変えよう

変える

『Login rebuilder』

私がログイン画面のURL変更に使っているのが『Login rebuilder』というプラグインです。

『Login rebuilder』はログイン画面のURLを独自の名前のURLに変更し、標準のログイン画面のURLを使用できないようにするプラグインです。

ゆあ
ゆあ
そんなプラグインあるんだ!?

 

インストール出来たら設定変更をしよう

 

『Login rebuilder』をインストールしたら有効化して、設定を変えていきます。

 

Login rebuilder

 

『設定』→『ログインページ』をクリックします。

 

一番上から設定していきます。

『無効なリクエストの時の応答』サイトトップへのリダイレクトに設定しておきましょう。

 

次にログイン画面のURLを決めていきます。

『ログインファイルのキーワード』自動生成されるので何も触りません。

 

初期設定では、『新しいログインファイル』のところに『your-login.php』となっていると思います。

ここを『任意のファイル名.php』に変更してください。

その下に書かれた【URL: http://あなたのサイトアドレス/任意のファイル名.php】が新しいログイン画面のURLになります。

必ずお気に入り登録か、URLの保存をしてくださいね。

 

ログイン画面の確認

まずは本来のログイン画面の

【URL:http://あなたのサイトアドレス/wp-login.php】

へアクセスしてみます。

ワードプレスログイン画面でなく、自分のサイトのTOPページが開けばOKです。

 

次に、先ほど生成された新しいログインURLへアクセスしてください。

WPのログイン画面が表示されて入れば大丈夫です。

 

adminユーザーはやばたにえん

adminユーザーの危険性

初期の状態ですと、ワードプレスのユーザーは『admin』になっています。

これのどこがいけないのかというと

adminユーザーは乗っ取られやすいということです。

 

現在では世界的に大規模なハッキングが行われる事例が大変問題となっています。

ユーザーが『admin』ということはログイン画面のIDが『admin』ということになります。

あとはパスワードだけで乗っ取ることが可能となってしまうのです。

 

ユーザー名とログインパスワードを変えよう

 

メニューにある『ユーザー』→『ユーザー 一覧』をクリックします。

 

 

次に『新規追加』をクリックして新規ユーザーを登録します。

 

 

  1. ユーザー名(ID):お好きな半角英数字で(必須)
  2. メールアドレス:通知を確認できるメールアドレスで(必須)
  3. パスワード:パスワードを表示して変更、お好きな半角英数字で
  4. ユーザーに通知を送信:チェックを外す。(通知したい場合のみチェック。)
  5. 権限グループ:管理者に設定
  6. 新規ユーザーを追加をクリック

 

以上で新規ユーザー登録とパスワード設定が完了します。

完了した後に、必ずadminユーザーは削除しておきましょう!

 

adominユーザー削除

 

新規ユーザーを作成すると『admin』の横に削除の項目が出てきます。

 

 

削除をクリックすると上記のような画面が出てきます。

『全ての投稿を以下のユーザーにアサイン:先ほど設定したユーザー名』にチェックを入れて削除を実行します。

このチェックを間違えると

今まで書いた記事がadminユーザーと共に削除されてしまいます。

ゆあ
ゆあ
よく確認して削除しようね

 

スパム対策にAkismet

有能なAkismet

『Akismet』というスパム対策のプラグインがあります。

有料と無料とあるのですが、無料でもスパム対策の機能としては十分です。

  1. コメントスパム対策ができる。
  2. プラグイン『Jetpack』と連携してセキュリティ強化
  3. プラグイン『contactfoam7』と連携してメールスパム対策
  4. 無料で使うことができる

以上の事ができますね。

ゆあ
ゆあ
Akismetって有能なんだね

 

インストールとAPI取得

 

まず『Akismet』をインストールして有効化します。

 

 

有効化したら上のほうの『Akismetアカウントを設定』をクリックします。

 

 

上画像のような画面に切り替わったら、『APIキー取得』をクリックしてAPIキーを取得していきます。

 

 

すると上画像のようなサイトに飛ぶので真ん中のボタンをクリックします。

 

 

次に上から

  1. メールアドレス
  2. 名前
  3. パスワード

 

を入力して、『Sin up』をクリックします。

 

 

そうすると、上画像のような画面になると思いますので、次にプランを設定していきます。

プランは『Basic(ベーシック)』を選んでください。

 

 

すると、上画像みたな画面に切り替わります。

この時にお金かかるじゃんって思っちゃうところなんですが…

右上の金額が書いてあるバーをドラッグして一番左に持っていくと¥0になります。

 

 

¥0になったのを確認して左側の入力欄に

名前を入力してください。

できましたら『continue』ボタンをクリックします。


 

 

上画像がでてきたら赤四角で囲んだところをクリックして完了です!

以上で設定は終わりですね。

 

まとめ|セキュリティ対策はブログ初期にすぐしとこう

  • WordPressはセキュリティが弱い
  • ログイン画面のURLは『Login rebuilder』を使おう
  • adminユーザー絶対に使わない
  • スパム対策はAkismetで決まり

 

あわせて読みたい
Wordpressバックアップ
ブログ初心者のためのWordpressの定期バックアップのやり方PCをあまり触ったこと無い人にとってバックアップってそこまで大事に感じないと思います。 でも、バックアップを取っていなかった場合は...

 

あわせて読みたい
ワードプレス
ブログ初心者がWordpressを初めて使う前に知りたい事WordPressの開始準備が終わったらすぐに記事を書いたり、デザインを作ったりしたいですよね?でもその前にやっておくと後々困らない事が...