WordPressを不正なアクセスから守るためにやっておきたいこと

>

OpenClips / Pixabay

WordPressを導入する人が多くなってきたことに比例するように増加してきたのが、管理画面への不正なアクセスを試みるハッカー達からの攻撃です。

直近でいえば、ロリポップサーバーのWordpressを使用したサイトの大がかりな改ざん事件ですが、これについてはロリポップサーバー側から詳細な説明がなされています。

第三者によるユーザーサイトの改ざん被害に関するご報告

サイト改ざんへの予防・対策に関する重要なお知らせ

 

上記の説明を見る限り、サーバー側のサーバー構成上の不備もあったようですが、それ以前に一部のユーザーのWordpressからの不正な侵入が第一の原因であったことは否めません。

自分のWordpressだけが改ざんにあったりするだけではなく、共有サーバーを使用している場合には多くの方に被害が及びますし、サイトの訪問者を通じて、ウイルス拡散などの社会的な事件へと発展する可能性もあるので、今後セキュリティ対策はしっかり行っていきたいと思います。

Crazy Bone(狂骨)プラグインの導入

まず、実際にどれくらいの不正なアクセスが試みられているのかを把握するために、Crazy Bone(狂骨)というプラグインを導入しました

このプラグインは、WordPress へのログイン履歴を保存し参照するためのプラグインで、日本人の方が開発したものです。

WordPress のログイン履歴を保存するプラグイン「狂骨」

「狂骨」に諸々機能追加した Ver.0.4.0 をリリース

まずは、このプラグインを利用して、不正なアクセスのIPアドレスを確定します。

WP-Banプラグインの導入

IPアドレスが特定できたら、WP-Banというプラグインを導入して、IPアドレスごとにアクセス制限をかけます。

詳しい使い方は、下記の記事が参考になります。

指定したIPアドレスやユーザーエージェントからのアクセスをブロックするWordPressプラグイン「WP-Ban」

※注意 上記の記事内で日本語化パッチのダウンロード先のリンクがありますが、アクセスすると同時に日本語化ファイルのダウンロードが開始されます。

WP-Banの設定項目の中に、「アスタリスクをワイルドカードとして使えます」という表記がありますが、アスタリスクというのは「*」のことで、この記号を使って、任意の文字列を指定するということです。

ワイルドカードを使用した条件指定によるフィルタ設定例

また、「ユーザーエージェント」という聞き慣れない言葉も出てきますが、これは簡単に言うと「アクセスしてきた人が使用している機器」と思っていればいいです。

詳しく知りたい方は、下記を参照してください。

ユーザー エージェント文字列を理解する

その他、わからない用語などがあれば、Google先生にお尋ねすれば体外の疑問は解消するはずです(笑

高機能、上級者向けプラグイン

より高度なセキュリティを求めるなら、もっと高機能で、ほとんどのセキュリティ対策を一元管理できるプラグインもあるにはあります。

高度なセキュリティ対策とDBバックアップができるWordPressプラグイン

ただ、上記の記事にもしつこいくらい注意されてますが、本当に初心者向きではありません。

WordPressとPHPの知識がある程度ある方でないと、使用したがために取り返しのつかない状態になる確率が高いです。

高機能で、無料とは思えないプラグインですが、一応この場では「上級者向き」と定義させていただきます。

まとめ

上記の方法によって、一定水準の安全性は確保できると思いますが、その他にも定期的に管理画面へのログインパスワードを変更するなど、こまめなメンテナンスが重要ですね。

IPアドレスを特定し、それぞれをブロックするなどの手間はかかりますが、万が一ハッキングの被害にあったら…と考えれば、やる価値は充分にあると思います。

では、楽しいWordpressライフを!

[ip_social_widget type=”sales” id=”1579″][/ip_social_widget]

By

%d人のブロガーが「いいね」をつけました。