はてなブログPROからWordpressに移行して早1か月。色々と不慣れな環境ではありますが、快適にブログ活動をしております。今回は開設してから「必ず導入したほうがいいプラグイン」について「概要」を記事にします。参考程度にお読みください
※おすすめ設定などを細かく記載すると当ブログのセキュリティの脆弱性につながるので割愛しております。予めご了承ください。
WordPressとは
WordPressが世界でも屈指のユーザー数を誇る「オープンソースCMS」です。「ユーザーが多い」「無料利用可能」になると、単純に「攻撃ターゲットにされやすい」というデメリットが発生します。特に管理画面へのログインなどはデフォルトだと「ドメインアドレス+管理用URL」になりますので、簡単に入口に到達出来てしまいます。
悪質な攻撃手口
主に管理画面に不正アクセスをして、下記のような攻撃が想定されます。
- 記事の改ざん(商品リンクの変更など)
- 悪質なサイトへの誘導(リンクの設置)
- 情報抜き取り
このような攻撃に対して我々がやらなくてはいけないことは「管理画面への不正アクセスを防止する」ことが一番初めにやらなくてはいけないセキュリティと考えました。
各テーマの開発者が推奨するセキュリティを確認
有料テーマを使っている場合は、開発元が推奨する「セキュリティプラグイン」を検討しましょう。テーマにより適しているプラグインが変わるのと、単純に今までの被害報告などを考慮した「テーマにあったベストなセキュリティのノウハウ」を熟知してます。他のサイトで調べることも大事ですが、まずはテーマ開発元の推奨プラグインを確認することが最善だと思います。
DRO当ブログはSWELLを利用しているので開発元のサイトで丁寧に説明がありました。
実際に攻撃を受けたけどセキュリティで助かった
まだ利用して1か月ですが、導入してわずか2日で攻撃を食らいました。「管理画面の不正アクセス」です。幸い稼働直後にプラグインを入れていたのでこの不正アクセスは防ぐことが出来ました。下記に紹介する「Wordfence Security」のおかげで未然に防ぐことが出来ました。
DRO上が実際来たアラート通知になります。不正アタックをしてきたユーザーのIPアドレスやアクセス経路、場所などがわかるので、以後ブロックすることも可能です。
「Wordfence Security」は必須
これは定番中の定番セキュリティプラグインです。実際にSWELLサイトでも「これを入れておけば安心」と推奨をしております。無料と有料がありますが、無料版でも十分だという意見が多いです。個人的にも基本機能で充分ですし、今回主題にしている「管理側への不正アクセス抑止」を考慮すると充分だと思います。
- サイト全体の安全性に関わるスキャン実行
- 不正アクセスのログ集積とロックアウト設定
- 2段階認証の設置
スキャン設定は「Learning Mode」に設定をすればデフォルトで問題ないと思います。またアクセスについては自分のログインを含めて全てメールに通知が飛んできます。ブログが巨大化した場合は通知頻度も設定が可能ですが、自分はデフォルトの「都度通知」にしてます。二段階認証は任意のスマホの「Authenticator(オーセンチケーター)」と連携して設定が可能です。
DROAuthenticator は「Google」や「Microsoft」や「salesforce」などのアプリがありますが、どれでも設定は可能です。
「WPS Hide Login」で管理画面のURLを変える
「Wordfence Security」でも効果的ですが、デフォルトの管理画面のURLは推測されてしまいますので、不正アクセスを事前に防ぐためにも「管理画面のURL変更」は必須です。それを実施できるプラグインが「WPS Hide Login」になります。面倒な設定もいらず、導入するとURLが簡単に変更できます。
プラグインを導入し、有効化すると上記のようにWordpressの管理画面内の「設定」「一般」内の最下にログインURL設定と、デフォルトのURLにアクセスした際のリダイレクト先(404ページなどを指定可能)を設定できる項目が追加されます。
まとめ
日が浅いですが、必ず入れておいたほうがいいプラグインについて紹介しました。細かい設定方法などはまとめサイトが多く存在しますので、色々と調べて設定することをおすすめします。ただ他のプラグインも多数存在しますが、実際に効果があり、なおかつSWELLを利用している場合は干渉が少ないものだけを紹介させていただきましたので、同じ環境の方は導入をおすすめします。
以上、おすすめセキュリティプラグインについてでした。
コメント