自由研究
[Web制作Tips]

WordPressでメディアを運営するなら覚えておきたいセキュリティ対策

自由研究
いきを
WordPress

どうも。時短で働くWebディレクターのいきをです。

2歳半の息子がよくしゃべるようになってきたんですが、

ぱめー!!!  訳:ダメー!

ぴぴぱ!  訳:(手が)汚れちゃった!

へーの!  訳:せーの!

とカツゼツがすごいので、解読に時間がかかります。

エクスクラウドのテックサポートブログがリニューアルしてから2ヶ月ほど経過しましたが、おかげさまでいい感じにPVなども伸びており、担当者としては嬉しい限りです。
みなさまありがとうございます!

今回は何回かの連載に分けて、WordPressでメディアを運用する場合のコツを簡単に紹介していきます。
まずはセキュリティ編。

WordPressのサイトを改ざんされたことありますか?

企業で運営しているメディアだと、アカウント乗っ取りやサイト改ざんが起きた場合に会社の信用にも関わってきます。
改ざんをされないよう、セキュリティ対策はしっかりやっておきたいところ。

セキュリティ対策の目的は、悪意のある第三者から自分のサイトが攻撃されるリスクを減らしていくことです。
どれか一個やっていればいいというものではなく、複数の対策を講じることでよりリスクへ減らすことができます。
当ブログでも複数のセキュリティ対策をしているので紹介します。

ログインまわりのセキュリティ対策

WordPressなどの著名なCMSに対しては不正にログインを試みようとパスワードアタックが頻繁に起きます。ログイン画面やID、PASSWORDに対してセキュリティ対策を行うことで、不正ログインによりサイトが改ざんされるリスクを減らすことが可能です。

ログイン画面のURLを変更する

デフォルトの
http://tech.ex-cloud.jp/wp-login.php
のままだとログインアタックの危険にさらされる可能性が高いため、変更しましょう。

All In One WP Security & Firewall
であればプラグインから簡単にログイン画面のURLを変更できます。ちなみにこちらのプラグイン、非常に多機能でログインの試行回数制限やデータベースの接頭辞の変更などもできるため、これ1つで複数のセキュリティ対策を追加することができます。
[2017年2月8日追記]※プラグインの一部の機能はNginxでは動作しないためエクスクラウドのWordPressホスティングで利用する場合にはご注意ください。

ログインは二重認証を利用する

captcha

二重認証にすることでブルートフォースアタックなどの総当たり攻撃にあった場合に突破されるリスクを減らします。

Captcha by BestWebSoftを利用すればランダムに表示される足し算、引き算、掛け算など単純な計算の答えを記載しないとログインができない状態になっています。
これにより機械的な管理画面へのパスワードアタックを防ぎます。

Fail2banを利用したSSH、およびWordPressパスワードアタック対策

fail2ban

Fail2banを利用するとSSHやログインの際ののログを監視し、同一IPアドレスから連続して一定回数のエラーを確認したら、そのIPアドレスからのアクセスを禁止する設定を加え、不正なパスワードアタックを防止することができます。

ブログ上の表示名はユーザ名と一致しないものを設定する

ブログ上の表示名とユーザ名が同じ場合、不正ログインをされるリスクが高まります。WordPressに記事が投稿された際、ユーザ名がそのままWordPressのブログ上の表示名にならないよう、ブログ上の表示名とユーザー名については一致しないものを設定してください。
またadminはもっとも狙われやすいユーザ名なので、管理者用のアカウントで使用しないようにしましょう。

アクセスできる権限を制限

複数の人がブログを更新するため、勝手に設定を編集できないよう、権限の設定をアカウントごとに個別で割り振りましょう。
ユーザーの設定画面で権限グループを変えれば権限の変更が可能です。

権限グループにはデフォルトで下記の種類があります。

  • 特権管理者 – サイトネットワーク管理機能や他のすべての機能へアクセスできるユーザー
  • 管理者 – シングルサイト内のすべての管理機能にアクセスできるユーザー
  • 編集者 – 他のユーザーの投稿を含むすべての投稿を発行、管理できるユーザー
  • 投稿者 – 自身の投稿を発行、管理できるユーザー
  • 寄稿者 – 自身の投稿を編集、管理できるが、発行はできないユーザー
  • 購読者 – プロファイル管理のみを実行できるユーザー

参考:ユーザーの種類と権限 – WordPress Codex 日本語版

記事を勝手に公開してほしくない投稿者には「寄稿者」の権限を設定しておくと安心です。
ただ「編集者」以上の権限がないと、他の人の非公開記事を閲覧することができないため、記事の確認を回したい人には編集者権限を与えるか、そこまでの権限を付与したくない場合には記事ができあがった時点でスクリーンショットをとり確認を回すなどの工夫が必要です。
またWordPressでは権限周りの設定がかなり細かくできるため、必要に応じてカスタマイズすると使いやすいです。

WordPressの脆弱性を狙った攻撃へのセキュリティ対策

WordPressは多くのサイトで利用されているメジャーなCMSなので、攻撃対象とされることが多いです。とくにWordPress自体の脆弱性を狙った攻撃も多いため、対策が必要です。

WordPressは常に最新のバージョンを保つ

WordPress本体とプラグインについては常に最新のバージョンに保つことで、脆弱性を狙った攻撃からのリスクを減らすことができます。アップデートでプラグインが動かなくなったりするケースもあり、検証に気をつかうので地味にめんどくさいのですが、やらないと怖いことになります。。。

使っていないプラグインは停止ではなく削除

プラグインの脆弱性を狙った攻撃もあるため、不要なプラグインは削除するようにします。
またプラグイン選定のときにプラグイン自体の更新が止まっているものは利用しないようにしましょう。

WAFを導入する

クラウド型WAF

WAF(Webアプリケーションファイアウォール)はWebアプリケーションの脆弱性をついた攻撃(SQLインジェクションやクロスサイトスクリプティングなど)を防いでくれます。
一般的にWAFはサイト閲覧者とWebサイト・アプリケーションの間に設置されるため、攻撃を防ぐだけでなく、情報流出やマルウェアによるウィルス拡散を防止する役割もあります。
オンプレミス型だとシグネチャ更新に専任エンジニアを常駐させる必要があったり、費用が高かったりとハードルが高いですが、近年主流のクラウド型であれば価格も安価で、DNSの設定を変えるだけでシグネチャの更新はWAF側で自動的に行われるため、簡単に導入できるのでオススメです。

ユーザーの情報を守るセキュリティ対策

サイト全体を常時SSLでHTTPS化する

sslの役割
SSL証明書を利用してサイトをHTTPS化することで情報を暗号化し、ユーザーのログイン情報や決済情報だけでなく、Cookieへの不正アクセス(盗聴)も防止することができます。
さらにSSL証明書を利用することでウェブサイトの運営者・運営組織が実在することを証明できるため、なりすましサイトの防止に役立ちます。

 

 

 

以上、WordPressでメディアを運営するなら覚えておきたいセキュリティ対策でした。
人気のCMSだからこそサイバー攻撃の標的になりやすいWordPress。
メディア運営に限った話ではありませんが、WordPressを利用される方は自分のサイトを守るためにぜひやってみてください。

ちなみに上記であげたほとんどのセキュリティ対策はエクスクラウドのWordPressホスティングでデフォルトで提供されています。
WordPressホスティングで提供されているセキュリティ対策詳細

セキュリティ対策がされたWordPressを手間なく使えるのでおすすめです。

この記事を書いた人

いきを

時短で働くWebディレクター。 好きな食べ物は米。

連載『WordPressでメディア運営』の記事

この記事のタグ

オススメの記事

この記事を読んだ人にオススメのサービス

エクスクラウドのWordPressホスティング

WAF&SSLつきの超高速KUSANAGI標準搭載のWordPress専用サーバー。全てがオールインワン、さらに初期構築などの手間が不要なため手軽に超高速なWordPress環境をご利用いただけます。14日間無料お試しで超高速なWordPress環境を体感してください。

ページトップへ