WordPressに入れるべき無料セキュリティ系プラグイン4つとその理由

Wordpressセキュリティプラグイン

どうも、wasabi( wasabi_nomadik)です。

 

うちのブログは、「独自ドメイン (お名前.com)+レンタルサーバー (エックスサーバー)+Wordpress」で構築されており、これはブログから収益を得たいと考えている人や確固たるセルフブランディングをしていきたいと考えている人におすすめの方法ですし、実際私はこのブログによってあらゆる仕事がまわり、生計を立てています。

 

WordPressは世界のウェブサイトの27.8%を占めているシステムであり、CMS (コンテンツマネジメントシステム) のシェアとしては約58.9%、約6割のブログがワードプレスによって構築されているほど信頼性も利便性も高いツールです。

 

また詳しく書きたいと思いますが、ビジネスが発展していくにつれてWordpressで完全自分だけのプラットフォームを持って、自分を確立していくことの強みをひしひしと感じており、Wordpress様様で本当にWordpressでサイト運営してて良かった〜とその度に実感しています。

 

実際どんなふうにしてブログを活用しているのかについては過去記事「海外で生きていくためのブログ・ポートフォリオ術」を読んでいただければと思いますが、そんなメリットの多いWordpressでも1つ、気をつけなければいけないことがあります。それは、セキュリティです。

 

それはなぜなのか、そしてどうやってセキュリティを強くしたらいいのかについてシェアしたいと思います。

 

WordPressでセキュリティに気をつけなければいけない理由

ログイン画面が誰にでも推測可能

ワードプレスの弱点は、誰でも簡単にログイン画面のURLに飛べてしまうという点です。デフォルトのログイン画面は http://〇〇(ドメイン)/wp-admin/で共通しているからです。

 

また、ログインIDとブログ上で表示される名前がデフォルトでは一緒になっているので、そこを調整しておかないとログインIDも推測されやすく、ハッカーはパスワードを入力するだけで中に入れてしまいます。

 

テーマやプラグインのアップデート時の変更が丸見え

オープンソースならではのWordpressの良い点でもあり、悪用もされやすい点ですが、テーマやプラグインにアップデートがあると、Changelogから誰でも変更点を見ることができます。

 

そもそもどうしてテーマやプラグインにアップデートが頻繁にされているのかというと、こうしたシステム内の脆弱性や機能の欠点を発見しては改良していくからなのですが、こうしたアップデートがされているのにアップデートをしないで古いバージョンを使ったままでいると、ハッカーはChangelogで公開された変更点から弱点を見つけ出して攻撃することができてしまうかもしれないので、アップデートはとても重要なのです。

 

一応自動でアップデートを設定することもできますが、仮に自分が寝ている間にアップデートが行われてエラーがあった場合、取り消しなどすぐ対応できない可能性もあるので手動でアップデートすることをおすすめしています。私もアップデートをする際はまず実際にアップデートした人のブログなどを読んでから問題がなさそうだったら自分のところでも実行する、というふうにしています。

 

そもそもなんでハッカーは不正ログインするのか?

私のサイトはある程度ビュー数もあるということもあって、セキュリティ対策をする前はかなりコンスタントに不正ログインを試みて失敗した人の痕跡が毎日何件もあったのですが、サイトの訪問者数が少ない人も気は抜けません。ハッカーが不正ログインをしたい大きな理由はいろいろありますが、サイトの中の重要な情報を抜き出したり重要な情報を書き換えたいからというよりも、多くのハッカーはサーバーの中に入ってスパムメールを送ろうとしているからです。

 

これをやられると最悪で、自分のサーバーのIPが主要なプロバイダーやメールサービスにブラックリストに入ってしまって、自分のサイトのドメインを使っている独自メールで送ったメールやメルマガが相手の迷惑メールボックスに入ってしまってきちんと届かないという事態になりかねません。もちろんGoogleでの評価もガタ落ちしますし、大打撃をくらいます。仮にブラックリストに入ってしまってもIPをブラックリストから外すことは可能ですが、時間もお金もかかるので、そういう事態を避けるためにもセキュリティは大事というわけです。

 

ちなみに自分のサイトがブラックリストに入っていないか、このサイトで調べることができます。

 

 

そうならないために、入れておくべき無料プラグイン4選!

これはWordpressのバックアップを取れるプラグインです。バックアップを取っておくことは非常に重要で、これさえきちんと定期的に管理していれば最悪何かがあったときでもサイトをすぐにもとどおり復旧させることができます。

 

サイトが存在する限り、どんなに対策をしっかりやっても100%ハッキングされないという保証は残念ながらありません。しかし、バックアップを取っておけば最悪の事態に備えることができるのまずこれは絶対やってください。

 

  • Akismet Anti-Spam (アンチスパム)

これも、コメント欄に来るスパムをごっそり除去してくれる優秀プラグインなのでおすすめです。デフォルトで最初から入っているので、有効化して使いましょう。

 

私はこれがなければ現在1,000件近くのスパムコメントに悩まされていることになります。(笑)これを入れていても時々すきまをかいくぐってスパムコメントは来るのですが、入れているおかげで連続して大量に送られてくるスパムコメント通知に悩まされることはなくなりました。

 

これはマジおすすめで、問答無用で入れて欲しいプラグインです。管理ページとログインページの保護に特化したプラグインなのですが、日本語対応ですごく使いやすいです。特に、私がとても助かるな〜と思っているのは以下3つの機能です。

 

  1. ログインページのURL変更
  2. 日本語の画像認証
  3. 繰り返し不正ログインを繰り返すユーザーのロック

 

まず、先ほども上記で述べた通りWordpressの弱点はログインURLが共通しているため、ドメイン名さえ分かれば簡単にアクセスされてしまうことです。これを防ぐために有効なのは、根本的にログインURLを変えてしまうことなのですが、このプラグインを入れればログインURLがデフォルトで「login_<5桁の乱数>」に設定されるため圧倒的な数の不正ログインを減らせます。URLは自分で好きなように設定することもできます。

 

5桁の乱数でもちょっと弱いのでインストール後は自分で推測されにくいURLを設定しましょう。私はこれをやって不正ログインの試行痕跡が一気になくなりました。このプラグインを入れると「ログイン履歴」から不正ログインの痕跡も見れます。

 

また、日本語の画像認証があることもスパムや不正ログインを減らすのにかなり効果的です。アルファベットだと世界共通で理解できますが、日本語であるというだけで難易度がぐっと上がるためです。

 

そして、不正ログインを繰り返すユーザーをブロックする機能があることも、このプラグインの良いところです。これによって機械的な攻撃をしてくるユーザーを排除できます。

 

ただ本来、できることなら1番良いのはwp/adminにある.htaccessファイルに、自分のパソコンのIPアドレスのみアクセスできる制限をしてしまうことです。そうすることで自分のパソコン以外からはログイン画面にアクセスできなくなるので、セキュリティが高くなります。そのやり方はこのブログがおすすめ。

 

ただ、ファイルをいじるのが不安な人や、私のように海外にあちこち行ったりしてよくIPアドレスが変わる人は対策が若干めんどうなので、そういう人はとりあえず上記のプラグインを使うのがおすすめです。

 

ここまでいろいろ言ってきましたが、最も重要なのは「パスワードを強固にする」ことです。他人に推測されにくい複雑なパスワードを設定し、さらにこのプラグインを使って二段階認証を設定しましょう。二段階認証の設定をすると、ログインする際に携帯のGoogle Authenticatorに表示される数字を入れないとログインできなくなるのでセキュリティがより一層強化されます。

 

いかがでしたか?

実はまだまだセキュリティにかんして書きたいことはいろいろあるのですが、ひとまずこの辺で終わりにしておきます。

 

なにか質問がある方や、「これは紹介しておくべきでしょ!」というプラグインや方法などほかにもありましたらぜひコメント欄で教えてください。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA


海外でフリーランス。きっかけを掴んでみませんか?

wsbiオンラインサロンTOP

【募集再開!】本気で海外移住・フリーランスを目指す人のための超実践的コミュニティ

「海外に住んでみたい」
「海外で自分のやりたいことに挑戦してみたい」

同じ目標を持った仲間が集まるスクールで、モチベーションを高めながら夢を叶えるためのスクールが11月4日より新規生徒募集を開始しました。

税金、年金、保険、ビザなど具体的な海外移住のノウハウからフリーランスの営業方法、仕事のアドバイスやメンタル面の話まで必要な情報をwasabiがありったけシェアします。実践を大事にするサロンで海外へのきっかけを作ってみませんか?