もし不特定多数のお客さんを呼び込みたければ、路面に店を出すじゃないですか。
魚を釣り上げたければ、群れがいるポイントで垂らすじゃないですか。
そんな感じで、悪いヤツは仕掛けたいターゲットが大勢群がっている場所に目を付けるワケです。
ライバルだったMovable Typeを退けCMS界隈で世界的に広いシェアを持つWordPressも、その悪いヤツが狙う場所のひとつです。
WordPressはオープン・ソースとして一般にプログラムのソースコードを公開してるわけで、おかげで無料で使えてるんですけど同時に脆弱性も見つかりやすいわけでして。
セキュリティ対策をしましょう。いやホントに。
この記事の目次 - Contents -
悪党は、他人のWordPressを乗っ取って何をするのか
私は今のところ悪党ではないのでよくわからないんですけど、聞いた話によるとこんな感じだそうです。
- 内容の改ざん
- ウィルスやスパイウェア、つまりマルウェアの仕込み
- スパムメールの発信源化
やる奴が一番悪いけど、対策してないのも間接的に加担してるわけで、責任の一端はありますね。確実に。
最低限やるべき基本
今回のエントリー(記事)はプラグインが主役なのでここについてはざっとしか触れませんが
- ユーザー名をadminのままにしない
- ブログ上の表示名をユーザー名と同じにしない
- 2段階認証しておく→[WordPress 2段階認証]で検索すればやり方出てくるよ
以上、これらは基本と言えるでしょう。加えてプラグインを装備するわけです。
代表的っぽいプラグイン3つ
1.まず入れるなら All In One WP Security & Firewall(オールインワン・ワードプレス・セキュリティアンドファイアウォール)
セキュリティに関する設定がひとつにまとまっており、それはそれは便利なプラグインです。ログイン試行回数の制限や先に書いた管理者ユーザーのユーザーネームの変更、ブルート・フォースアタック(総当り攻撃)対策など多岐にわたります。
ブルートフォースアタック【bruteforceattack】
パスワード解析方法の一つ。総当り攻撃。インターネット上で公開されている辞書ツールを使って、考えられるあらゆるパターンのパスワードを順番に試す攻撃方法。
最近では、PCの高性能化による解析の高速化、ブロードバンド接続されたインターネットからのアタックなどが想定される。このため文字数は最低でも8桁以上、可能なら12桁程度の英数字混合に修正するようにするとよいだろう。ただし、絶対はありえないので、パスワードは定期的に変更することが必要。
2.状況解析と対策 Wordfence Security(ワードフェンス・セキュリティ)
セキュリティ状況の解析とかいうと小難しい感じがしますけど、普通に「今こうだからこうした方がいいよ」を示してくれます。素直に従えばいいだけです。
3.シンプルでわかりやすい SiteGuard WP Plugin(サイトガード・ワードプレス・プラグイン)
ブルート・フォースアタック(総当り攻撃)の不正ログインから守ってくれます。設定画面も日本語で、使い方もそれほど複雑ではないです。つまりそんなに細かいところまではアレですので、不正ログイン防御に絞って使えれば。
注意点
ざっとセキュリティに関して基本なプラグインだけ並べました。もちろんこれで100%安全とは言い切れませんが、防げる確立は放置しておくのに比べてずっと高くなるはずです。
あと、特にこういった繊細なプラグインを入れる前にはくれぐれもバックアップとっといてからね。
最新記事 by 高橋 としあき (全て見る)
- 実店舗や自営業者の電子決済導入は損か得か? - 10/30/2017
- アイキャッチ画像の文字組みにも、ちょっとだけこだわってみる。 - 08/24/2017
- Web上で「他者と差別化する」ための、競合調査の手順 - 08/15/2017