岐阜でアクセス解析に興味があればご連絡ください。岐阜を中心にITコンサルティングを行っています。

WordPressはセキュリティ対策をしっかり行わなければいけない理由

WordPressのセキュリティ対策はちゃんとしていますか?
以前このブログで書いた通り、Wordpressはセキュリティ対策をちゃんとしておく必要があります。

パナマ文書の流出原因はWordpressの脆弱性!Wordpressを最新化しましょう | Ladder Consulting

WordPressはSEOに強いし、プラグインやテーマも豊富で便利です。しかし、一番使われるソフトということは、ハッカーから狙われやすく、脆弱性が見つかるとすぐに攻撃されてしまいます。

ハッカーはいたずら目的で攻撃する場合もありますが、悪意のあるプログラムを仕込んで、サイトに訪れた人にばらまくなど訪問者に被害を与える場合もあります。さらに個人情報を取り扱っているサイトの場合、情報漏洩の懸念もあります。

 

WordPressへのセキュリティ対策は何を行うべきか?

WordPressで一番気をつけるべきなのは、「不正なログイン」です。Wordpressを狙うハッカーは、攻撃手段として「ブルートフォース攻撃」という、無作為にユーザー名とパスワードを入力して「不正ログイン」を試みます。

その攻撃を防ぐため、次の方法を行います。

 

「admin」ユーザーを削除する

不正ログインの履歴を確認してみると、「admin」ユーザーで試みているケースが多いことに気づきました。これはデフォルトで「admin」というユーザーが作成されており、それを変更しないサイトが多いからです。そのため、ユーザー名を「admin」にしてログインを試みてくるケースが多くなっているのですね。

なので、まずは「admin」ユーザーを消して、推測されづらいユーザー名に変更しましょう。

 

そして、できればユーザーのニックネームを変更しておきましょう。ユーザー名はシステム管理上使う名前で、ニックネームはサイトに表示される名前です。最初の設定では、ユーザー名=ニックネームになっているので、そのままにしておくとニックネームからユーザー名を知ることができるようになります。

変更は「ユーザー」→ユーザー名を選択→「ニックネーム(必須)」から行うことができます。

 

パスワードを複雑なものにする

次にパスワードを複雑なものに変えましょう。パスワードを定期的に変えるという対策がよく述べられていますが、パスワードで重要なのは複雑なものにすることと、複数のアカウントで同じパスワードを使い魔さないことです。

ちなみにパスワードを定期的に変更することは、セキュリティ対策にあまり効果はないという意見があります。

パスワードの定期的変更がセキュリティ対策として危険であることにGoogleとIPAは気づいている | まるおかディジタル株式会社

 

また、二要素認証という方法もあります。二要素認証とは、通常のユーザーID、パスワードの組み合わせに加えて、別の要素で認証をすることです。例えばユーザーID・パスワードで認証を試みると、事前に指定したメールアドレスにワンタイムパスワード(4桁の数字等)が送られ、入力すると認証されるというものです。

これによってパスワードが破られても、認証まで至る確率は非常に低くなります。

 

不正ログインを防止する「SiteGuard WP Plugin」

WordPressのプラグインにはセキュリティ対策として便利なものがあり、これを利用することで比較的容易にセキュリティレベルを上げることができます。

先ほど述べた通り、Wordpressで一番気にする必要があるのが不正ログインの可能性です。それを防ぐ便利なプラグインが「SiteGuard WP Plugin」です。

SiteGuard WP Plugin — WordPress Plugins

 

このプラグインは、以下の機能があります(一部抜粋)。

  • ログインページの変更(ログインページ名そのものを変更してしまう)
  • 画像認証(画像に示された文字を入力しなければいけないので、機械的な攻撃を防ぐ可能性を高める)
  • ログインロック(ログインエラーが続くと接続元を一定期間ロックする)
  • ログインアラート(ログインがあったことをメールで知らせる)

通常のログインページにしていると、不正ログインを試みる攻撃は日々何度も受けていることがわかりました。しかし、このプラグインでログインページの名前を変更したところ、不正ログイン攻撃はほとんどなくなりました。

ということで、このプラグイン導入をお勧めします。

 

中小企業ではセキュリティ対策への理解が得られづらい場合がありますが、ちゃんとセキュリティ対策をしないとウェブサイトが破壊されたり、顧客から信用をなくしたりします。経営者がセキュリティ対策について理解していない場合は、この本を読みましょう。