こんにちは!ともわん(@TomoOne4)です。
ブログはWordPressを使って書いている人が多いと思いますが、
セキュリティ対策も超重要です。
今回は、こういった内容です。
【解消できる課題】
・WordPressでブログ運営をしていく上で気をつけるべきセキュリティ対策を知りたいけど、初心者だからわからない・・・
・よくわからないけどセキュリティやらないといけない感じはしている
・なんか漠然と心配
【解消策】
・「これだけやっておけばいい」という対策3選がわかる
・やりたい場合はやってもいいという対策5選がわかる
企業であれば、不正ログインなどで信頼性や評判が一気に落ち、個人情報が漏れた場合には賠償問題になりますが、
個人のブログはどうでしょう?
これも同様です。
不正ログインされて記事をやばい感じに書き換えられたり、変なリンクに飛ばされるようにされてしまったり、頑張って書いた記事が消されてしまったりなどよろしくない状態になってしまいます。
これは自分が実際やっている対策で、今の所セキュリティの被害なしのものです。
ブロガーの優先度順に紹介していきます。
ちなみに、パスワードは大文字、小文字、記号など考慮して複雑なものにしておきましょう!
絶対やるべきWordPressのセキュリティ対策3選
この3つの対策は絶対やりましょう。クラウドサーバやVPSを使っていない限りは、どれもお使いのサーバで簡単にできるはずです。
プラグイン、WordPressの常時最新化(アップデート)
まずはこれが1番です。
WordPressのセキュリティ対策TOP2のうちの1つです。
WordPressはマイナーアップデートを
プラグインは常にアップデートを
必ずやりましょう。
WordPressのマイナーアップデートとは、
末尾の数字が上がるアップデートのことです。(ex. 5.5.1 → 5.5.2)
新しいWordPressであれば、基本は何もしなくてもマイナーアップデートはされていくので心配いりません。
マイナーバージョンのアップデートが来ていたら、自動でアップデートさせ、メジャー(ex. 5.5.1 → 5.6)の場合はバックアップとって手動でアップデートするという運用にしましょう。
また、
最新版のWordPressの場合、プラグインのアップデートは
管理画面のプラグインのところに自動更新するかどうかが選べるようになっているので分かりやすいです。
ただし、プラグインの自動アップデートは要注意です!
(WordPressのバージョンに対応していないものもあるので、モノによっては機能がバグることがまれにあります。)
常時SSL
今や絶対必用なものがこの常時SSL対応です。
というのも、常時SSL化されていないサイトでは通信が暗号化されずにやり取りされるため、パスワードやCookie情報などを盗まれたりする可能性があります。
また、ブラウザで「保護されていない通信」のような
あからさまにサイトとしてだめな表示が出されること、さらにSEO的にも影響するため、絶対に対策をしましょう!
常時SSL対応とは、
SSL証明書という、第3者が発行する証明書を自分のサーバに適用し、サーバの設定をすることで常時SSL(https://で始まるURL)にすることができることを言います。
レンタルサーバなどであれば、サーバのサービスでやってくれるので安心です。
例えば、ConoHa WING
は、コントロールパネルから超簡単に設定できます。
などでも、コントロールパネルから手順通りに行えば数分で設定ができます。 
ちなみに、証明書には無料のものと有料のものがあり、セキュリティ的には違いはないので、無料のLet’s Encryptというものでも問題ないです。
無料のものはちょっと、、、という人は有料の証明書を購入しましょう!
SSL証明書は誰が、どうやって証明してくれたかで金額が変わる代物です。
管理画面へのベーシック認証
これは、サーバ側で設定するアクセス制御の方法です。
ベーシック認証を設定することで、サーバ側とWordPress側で合計2段階の認証が実現します
(しかもこれから紹介する2段階認証よりもウザくない)
レンタルサーバなどであれば、無料のサービスでやっています。
ConoHa WINGは、コントロールパネルから「ディレクトリアクセス制限」で /wp-admin (WordPressで決まっている管理画面のディレクトリ)を指定してユーザー名とパスワードを決めるだけです。
ユーザー名とパスワードはWordPressの管理画面で使っているものと同じにしないでください!(意味なくなってしまうので・・・)
さくらのレンタルサーバだとコントロールパネルのファイルマネージャーから設定するだけで完了します。こちらもディレクトリは /wp-admin を指定します。
ここまでやっていればブロガーであればほぼ問題ないです!!
やりたい人はやってもいいWordPressのセキュリティ対策5選
ここからは、正直必須ではないです。
やってみたい対策があれば、やってもいいくらいのレベル感です。
管理画面への2段階認証
WordPressレベルでの認証を設定できる方法で、プラグインで実現することが多いです。
僕は、Two Factorというプラグインを使っています。
これは、
- 使い捨てパスワードでログイン
- ワンタイムパスワードみたいな感じでログイン
- つどつどメールで送られてくるパスワードでログイン
などができるのでセキュリティ強化にはいいのですが、管理画面に入るときにウザくなってきたので使うのを辞める予定です。。
URLかえる
WordPressは、決まって管理画面へのURLが、https://xxxxxxx.com/wp-admin というようにURLの末尾に /wp-admin を加えることでアクセスできるようになっています。
そこで、このルールをカスタマイズして、例えば https://xxxxxxx.com/abababababa にアクセスしたら管理画面へのログイン画面にアクセスできるように変更させる対策です。
プラグインでできます。
SiteGuard WP Pluginなどが有名ですね。
IPアドレス制限
IPアドレス制限は、
特定のURL(正確に言うとディレクトリ配下)へのアクセスをしようとしたときに、設定したIPアドレス以外からは受け付けない、もしくは設定したIPアドレスは受け付けないという制限設定をすることです。
ベーシック認証のときと同じように、管理画面へのアクセス部分のみIPアドレス制限をかけるとセキュリティがぐっと上がりいます。
このIPアドレス制限がぶっちゃけ1番確実なセキュリティ対策です。
例えば、自宅のIPアドレスと会社などのIPアドレスからのみアクセスを許可し、それ以外のIPアドレスからのアクセスを拒否してしまえば物理的に自宅や会社のネットワークを使っている場合にしか入れないのでかなり安全になります。
難点は、IPアドレス制限をしてしまうと
決まったIPアドレス以外からアクセスしようとした時(例えば、カフェや移動中など)だと弾かれてしまう点と、
固定のIPアドレスがないと、使い勝手が悪い点です。
作業場所を固定しないブロガーの場合はだとやらないほうがいいと思います。
逆に、固定のPC(社内)からしか更新しない企業の持っているWebサイトのWordPressであればこれはやるべきです。
WAF
WAF = Web Application Firewall は、アプリケーションのファイアーウォールのことで不正攻撃などから守るために使われます。
正直、ブロガーのWordPressにはあまりいらないと思います。
企業のWebサイトであればやったほうがいいのですが、ビジネス向けのWAFは結構高いので、
ブログであれば、やるとしても無料のSiteGuard WP Pluginで十分です。
ログイン回数の制限
何回かログイン間違えると一定時間入れなくなるあれです。
Limit Login Attempts Reloadedというプラグインなどで実現できます。
僕は、パスワード間違えまくって自滅することもあるので、使っていないです笑
まとめ:セキュリティ対策は
セキュリティで一番いいのは、なにも起こらないことです。
そのためには、やらなければならないことが多少あります。
企業レベルになるとお金をしっかりかけて対策を行うものですが、
個人レベルであればやるべきことをしっかりやるだけでかなりの効果が期待できますし、使っているサーバのコントロールパネルからなんとかできる部分も多いので、しっかり対策を行っていきましょう!
現状自分の中では、ブロガーのサーバおすすめとしては取り上げてきた、
あたりが、使いやすいしコントロールパネルから簡単に設定ができるのでいいかなと思っています。
