こんにちは。Petitです。
今回は、サイトの運営には欠かせないセキュリティー対策について、どんな設定やプラグが必要か解説します。
自分自身もまだまだ初心者ですので、基本の「き」という感じですが参考になれば幸いです。
「Akismet Anti-Spam」
これは、コメント欄へのジャックを防ぐプラグです。
Akismetには、コメント欄寄せられた内容が正常かどうかを判断できるシステムがあり、正常でない場合はスパムコメントとして防ぐことができます。
基本的にはダッシュボードに初めから入っているプラグインです。
WordPressの開発に関わっている会社が運営しているプラグインになるので、安心して使うことができます。
Akismetは有効化するとアカウントの設定を求められます。アカウントの設定には、APIキーが必要になります。
まだ、APIキーを取得していない場合は、メールアドレス・ユーザー名・パスワードを設定すれば取得できます。(ある程度のアクセス以上がある場合は有料になるようですが、基本的には無料で利用できます。)
無料を利用する場合は「BASIC」をクリックします。そして、値段を0にすれば、クレジットカードの登録をする必要もありません。
「SiteGuard WP Plugin」&「Limit Login Attempts」
これは、管理アカウントへの不正アクセスを防ぐためのプラグです。
管理画面への不正アクセスの予兆を察知したときに、ある程度の対策ができるプラグインです。
紹介した2つのうち、どちらかを利用すればよいです。
1つ目の「SiteGuard WP Plugin」は、2つのうちでは、より強力なプラグインとなります。もう一方の「Limit Login Attempts」は、一定回数ログインに失敗ががあった場合、ログインの制限をするというプラグインになります。
これらの2つは、初めからWordPressに入っているものと入っていないものがあります(WordPressを導入したサーバーのインストーラーによって変わる)ので、元から入っていない場合はダウンロードする必要があります。
強力なプラグインである「SiteGuard WP Plugin」を導入すると、ログインするURLが変わります。プラグインを有効化した時に出てくる新しいブックマークを保存しておく必要があります。これを忘れると、自分がログイン出来なくなります。
「SiteGuard WP Plugin」は他にも様々な設定をすることができます。ログインページの変更の他に、一定回数ログインに失敗するとログインロックをかけたり、ログインがあったことをお知らせするログインアラートなどもあります。
この中のログインロックは”5秒間に3回間違えると1分間ロックする”といった、機械的な不正アクセスを防ぐのに有効な設定になっています。これで全ての不正アクセスを防ぐことができるわけではありませんが、ブルートフォース攻撃やリスト攻撃からの攻撃を受けにくくする効果があります。

ブルートフォース攻撃やリスト攻撃って、どんな攻撃のことかな?

ブルートフォース攻撃は「総当たり攻撃」とも呼ばれていて、パスワードに使われていると推測される文字列を1つずつ変えながら片っ端から試し続ける攻撃になります。パスワードの桁数や使用文字数が少ないとすぐに解かれてしまいます。
リスト攻撃とは、攻撃する人がどこかから入手したIDやパスワードを用いて不正アクセスを試みる攻撃です。同じようなパスワードを利用する人が多い傾向にある現状を利用した攻撃と言えますね。
WordPressのアップデート
アップデートを行うことで、脆弱性への対応をすることができます。
もし、WordPress自体に不具合や脆弱性があることが分かった場合は、WordPressがアップデートを行い、その脆弱性を補った修正版が配布されるからです。
ダッシュボードの中には「更新」があり、それを選択すれば更新を行うことができます。また、更新が必要な場合には、WordPressのメニューのヘッダー部分に「更新」のマークが出て、最新版があることを知らせてくれます。
現在のバージョンが「5.3.2」となっている場合、最後の「.2」の部分は基本的に自動で更新されます。
しかし、「5.3」の部分は自分で更新する必要があります。それは、その部分に変更がある場合は、設定自体が変わるような大きな変更があるからです。
だから、更新がある場合は、どのような変更があるのかを理解して必要に応じて更新する必要もあります。そうしないと、せっかく設定したものが更新されてしまい、また、同じようなことをしなくてはならなくなる可能性もあります。
まとめ
今回は、基本的なセキュリティ対策について解説をしました。最新版のバージョンを使うこと以外にも、様々なプラグインを使うことで、セキュリティーを高めることができます。
しかし、プラグインを入れすぎると重くなるというデメリットもあります。
今回紹介した「Akismet」はけっこう重い感じのプラグインになります。コメント欄に対するスパム攻撃を防ぐプラグインですので、コメントの機能を使わなければ設定する必要はありません。
自分のサイト運営に合わせて必要なプラグを選び、快適なサイト運営をすることも大切と言えます。
自分のサイトにピッタリの対策を探してみてくださいね。
それでは、また。