WordPressの運用に当たってはセキュリティ対策が必要です。
今回は簡単にプラグインで実現できる方法をご紹介いたします。
目次
WordPressで狙われる手口とは
近年、WordPressのサイトが不正アクセスのターゲットになっております。
本来WordPressは無料のブログプログラムとして広く普及し、これをうまくカスタマイズしてホームページとして使用することもできます。またさまざまな無料のプラグインがあることも人気の秘密で数多くの無料プラグインがサイトのカスタマイズを手軽に行えることでも有名です。一方、WordPressそのものがオープンソースなのでプログラムの脆弱についての情報の広がりもあり、常日頃からWordPressのサイトはセキュリティについてのメンテナンスが必要になってきております。
WordPressのハッキングの手口は大きく分けて、
・管理者権限のログイン方法を総当り攻撃でハッキングする方法。
→ 管理者権限を用いてダッシュボードより有害なプログラムを仕込ませる。
→ プログラムを動かす。
・プログラムの脆弱な部分をついたハッキング
→ 管理者権限を奪取
→ 管理者権限を用いてダッシュボードより有害なプログラムを仕込ませる。
→ プログラムを動かす。
代表的な手口としてはこのような流れになります。
WordPressに仕込むプログラム(ウィルス)は、メールの大量送信を行うもの、データーベースから情報を盗み出すものなど、仕込まれたWebサイトからこのような動作を行わせるなりすまし攻撃が代表的です。
また、フィッシングサイトとして動かされたりするケースなどあり、実にさまざまなことが実行される危険性をもっています。
また、中にはいたずらでサイトのデータを消されたり、書き換えられたりとサイトそのものの改ざんなども目立ちます。
深刻なダメージをあたえる攻撃者は実際はなりを潜め、気がつかれないようにサイトにさまざまな仕掛けを施していきます。
管理者が必ずやらなければいけないこと
WordPressのサイト管理者は常にサイトのセキュリティに気を配らなくてはなりません。
以下は代表的な項目になります。
・管理者権限のパスワードは複雑で分かりにくものにする。
・管理者権限のパスワードは定期的に変更する
・WordPressのバージョンアップ
・プラグインのバージョンアップ
・テンプレートのバージョンアップ
・定期的なバックアップ(WordPressとMySQL)
・通信ログの確認
・自分のPCのセキュリティ強化
以上は代表的なものになります。まだまだ細分化するときりがありませんが、
最低でも上述した項目は実施すべきです。
また、レンタルサーバーによっては怪しいアクセスを感知してサイトそのものに制限をかけるサーバーがあります。
その際、サイト全体が変な動作をする場合があります。
そういった際はレンタルサーバーにも確認する必要があります。
セキュリティ対策に有効なプラグイン
そこで手軽にWordPressのサイトのセキュリティを強化できるプラグインをご紹介いたいます。