WordPressを不正なアクセスから守るためにやっておきたいこと

OpenClips / Pixabay

WordPressを導入する人が多くなってきたことに比例するように増加してきたのが、管理画面への不正なアクセスを試みるハッカー達からの攻撃です。

直近でいえば、ロリポップサーバーのWordpressを使用したサイトの大がかりな改ざん事件ですが、これについてはロリポップサーバー側から詳細な説明がなされています。

上記の説明を見る限り、サーバー側のサーバー構成上の不備もあったようですが、それ以前に一部のユーザーのWordpressからの不正な侵入が第一の原因であったことは否めません。

自分のWordpressだけが改ざんにあったりするだけではなく、共有サーバーを使用している場合には多くの方に被害が及びますし、サイトの訪問者を通じて、ウイルス拡散などの社会的な事件へと発展する可能性もあるので、今後セキュリティ対策はしっかり行っていきたいと思います。

まず、実際にどれくらいの不正なアクセスが試みられているのかを把握するために、Crazy Bone(狂骨)というプラグインを導入しました

このプラグインは、WordPress へのログイン履歴を保存し参照するためのプラグインで、日本人の方が開発したものです。

まずは、このプラグインを利用して、不正なアクセスのIPアドレスを確定します。

IPアドレスが特定できたら、WP-Banというプラグインを導入して、IPアドレスごとにアクセス制限をかけます。

詳しい使い方は、下記の記事が参考になります。

※注意　上記の記事内で日本語化パッチのダウンロード先のリンクがありますが、アクセスすると同時に日本語化ファイルのダウンロードが開始されます。

WP-Banの設定項目の中に、「アスタリスクをワイルドカードとして使えます」という表記がありますが、アスタリスクというのは「*」のことで、この記号を使って、任意の文字列を指定するということです。

また、「ユーザーエージェント」という聞き慣れない言葉も出てきますが、これは簡単に言うと「アクセスしてきた人が使用している機器」と思っていればいいです。

詳しく知りたい方は、下記を参照してください。

その他、わからない用語などがあれば、Google先生にお尋ねすれば体外の疑問は解消するはずです（笑

より高度なセキュリティを求めるなら、もっと高機能で、ほとんどのセキュリティ対策を一元管理できるプラグインもあるにはあります。

ただ、上記の記事にもしつこいくらい注意されてますが、本当に初心者向きではありません。

WordPressとPHPの知識がある程度ある方でないと、使用したがために取り返しのつかない状態になる確率が高いです。

高機能で、無料とは思えないプラグインですが、一応この場では「上級者向き」と定義させていただきます。

上記の方法によって、一定水準の安全性は確保できると思いますが、その他にも定期的に管理画面へのログインパスワードを変更するなど、こまめなメンテナンスが重要ですね。

IPアドレスを特定し、それぞれをブロックするなどの手間はかかりますが、万が一ハッキングの被害にあったら…と考えれば、やる価値は充分にあると思います。

では、楽しいWordpressライフを！

[ip_social_widget type=”sales” id=”1579″][/ip_social_widget]