セキュリティ対策してます?
本日も”Webledge“をご覧いただきありがとうございます。管理人のけーすけ(@webledge_blog)です。
WordPressっていいサービスですよね〜。結構カスタマイズは簡単だし、SEO的にもなんか良いような感じするし、無料で使えるし、欠点はない!・・・って思ってませんか?
WordPressはかなりいいサービスではありますが、完璧ではない。やはり無料な分脆弱性はあるんですよね〜。かといってMovable Typeを利用するのも・・・と考えている方は多いのではないでしょうか。
そこで今回は、きちんとWordpressをセキュリティ対策するためのプラグインをご紹介していこうと思います。実際に僕もかなりこれらのプラグインに助けられているので、ぜひ参考にしてくださいね!
プラグインを入れる前に・・・
ちょっと待って!まずはバックアップ!
WordPressって海外でも日本でも人気のサービス・システムなんですよね。だから僕たちが思ってるよりもずっとずっとシステムについて知られていることが多いんです。
例えばログイン画面のURLとか、ユーザー名とか、調べようと思えば簡単にできちゃう。だからセキュリティ対策は重要だし、そこに便利なものとしてWordpressのプラグインがある。
・・と、ここまではわかっているのですが、じゃあ、Wordpressのプラグインって誰が作っているのでしょうか。それは不特定多数の方なんですよね〜
要するに、別々の方が作っている。もちろんプラグインは基本的に併用はできるのですが、たま〜にコードが邪魔し合ってしまうこともあるんですよね。こればかりは避けられない。
ということで、プラグインを導入する時にはしっかりとバックアップを!
以前にご紹介したBackWPupとかが有名なので、ぜひ使ってみてくださいね。
万全なセキュリティ対策のためのWordpressプラグイン5選
失敗回数を制限!Limit Login Attempts
みなさんスマートフォンって何を使っていますか?僕はiPhoneを利用していますが、iPhoneユーザーならわかると思います。何回もパスコードを間違った時どうなりますか?
そう、ロックがかかりますよね?
その機能をWordpressの管理画面でも有効化するのがこのLimit Login Attemptsです。
有効化したあとは「設定」メニューから各種設定を行うことができます。
この画面で何回失敗したらロックするか、ロックが解除されるまで何時間必要とするかなどを設定できます。ちなみに僕は4回程度にしていますが、だいたい5以下にしておけば十分なんじゃないかな、と思います。
もしも自分で5回以上間違ってしまった場合はFTPに接続して該当のプラグイン(Limit Login Attempts)を一度削除してみるしかないかなと思います。
ログイン時にキャプチャを設置!SI CAPTCHA Anti-Spam
WordPressの管理画面にログインする時にまだユーザー名とパスワードだけですか?それ結構危険ですよ。
ということでこんな感じで、毎回ログイン時に画像が変わるようなキャプチャを表示することができるプラグインがSI CAPTCHA Anti-Spamです。
スパムとかウィルスとかって大抵人の手とかではなくロボットなんですよね。ロボットって機械的な動作しかできないので、こういうキャプチャを入力するとかが大の苦手なんです。
もちろん僕も入れています。
有効化したあとは「プラグイン」メニューから「SI Captureオプション」で編集します。
僕のブログはコメント欄を設置していないので、このくらいの設定で十分。エラー時のコメントも自分しかみないのでなんでも大丈夫。基本的には有効化するだけで十分なので、ぜひ利用してくださいね!
ログインページURLを変更!Login rebuilder
WordPressってログインページがだいたい「自分のURL/wp-admin」か「自分のURL/wp-login.php」なんですよね。これってWordpressをしっている方ならだれでもわかっちゃう。
ということでそのURLを変更するのがこのLogin rebuilderというプラグイン。プラグインを新規追加して有効化すると
なぜか「ログインページ」というプラグインの名前に変更されるという謎の仕様。
各種設定をすればすぐに利用可能です。ちなみに「稼働中」にした場合はログインURLがすぐに変更されますが、変更してすぐの場合は「自分のURL/wp-admin」を入力するとリダイレクトされます。
一定時間が経つとこれは解消され、「自分のURL/wp-admin」でのログインができなくなるので、新しいログインファイルを入力してくださいね。
スパムコメントから身を守る!Akismet
これは最初から付いていますよね?明らかにスパムだとわかるコメントとかは排除指定くれるプラグインです。何もしなくていいからとりあえず入れておくだけ。
このようにAPIキーを入れておけば万事OK。とりあえず有効化し忘れている方はぜひ有効化を。
モロバレなユーザー名を隠す!Edit Author Slug
これ、実はtanweb.netさんの記事を参考にさせていただいたのですが、「自分のURL/?author=1」と入力するとなんと!ユーザー名が表示されてしまうという!
これでユーザー名がバレてしまったらあとはパスワードだけになってしまう・・・それは怖いので、とりあえずこれを隠すプラグインがEdit Author Slugです。
これを有効化したあと、「ユーザー」→「あなたのプロフィール」と進みます。
そしたらここでCustomを設定できるので、ここに別のユーザー名を入力しておきます。すると・・・
ほら!変わってる!もちろんログイン時のURLには変更がありませんのでご安心を。
まとめ:セキュリティって重要だぞ
セキュリティって結構重要。Wordpressだと特に、無料配信されている分、十分に対応しないと心配ですよね。
かといってセキュリティのプラグインをバカバカいれてればサイトが重くなってしまう。ということで上のプラグインは入れておいたほうが良い最低のものを紹介しました。
もしこれでも少し面倒とか、もう少しサイトを軽くしたいという方はwpXレンタルサーバー
をおすすめします。当ブログももちろんwpXで、したのようなセキュリティ項目がデフォルトで付いています。
- 国外IPアドレスからのWordPress管理画面へのアクセスを制限
- 管理画面のログイン試行回数の制限(Limit Login Attemptと同じ作用)
結局スパムとかはやはり海外からのものが多いので、これだけあればだいたいはカバーできます。その他の部分を上のプラグインで補完する形でぜひやってみてくださいね!
