Wordpress4.7の脆弱性を注意喚起するメールが届いており、4.7.2へのアップデートを推奨していました。
そして今朝、某大臣のHPがハッキングされたという報道を見て、その大臣さんのウェブソースを除いてみると…やっぱりワードプレス。
一番使われるから、一番攻撃されやすい。
今日は、私が行っているセキュリティ強化の方法をご紹介します。
- まず、ログインIDをユニークにするのが出発点。
- パスワードは日本語にしています。
- セキュリティプラグインは「Wordfence」がベスト。
- wp-login.phpをリネームすればさらに効果的。
ログインID「admin」は即刻変更しましょう
まさかとは思いますが、ログインIDを「admin」にしていらっしゃることはないですよね。もしそうだったなら、それはすぐにでも変更しておくべきでしょう。
これをadmin以外の固有のものにしておくことがワードプレスのセキュリティを強化する第一歩です。
ハッキングはワードプレス自体やプラグインの脆弱性を突かれる場合と、IDとパスワードの組み合わせで総当たり攻撃をされる場合があるそうですね。
この総当たり攻撃に備える意味で、ログインIDの変更は重要であると思います。
パスワードは日本語を使っています
私は、自分でも10以上のウェブを運営していますが、パスワードは全て日本語をまぜています。たとえば「kokudou1gousenn」と言った具合です。
これが果たして効果的なのかどうかは微妙ですが、私は常に日本語でパスワードを考えています。
セキュリティプラグインは「Wordfence」がベスト
さて、ここからが本題です。ワードプレスを使っている訳ですから、プラグインでウェブを拡張・強化できますね。セキュリティプラグインの大本命はやはり「Wordfence」でしょう。
これは、サーバーファイルのウィルススキャンから、ログインブロックまでをしてくれる高性能セキュリティプラグインです。たとえば「3回ログインに失敗したら30分間ログインをできなくする」という設定にして、攻撃を抑制することができます。
これはWordpressを使うなら必ず入れておきたいプラグインの一つです。
wp-login.phpをリネームすればさらに効果的
そこそこのサーバー会社であれば、サーバー側でもセキュリティ設定がなされていますが、最も効果的なのは、そもそものログインページを変更してしまうことではないでしょうか。
いわゆるブルートフォースアタックはログインページに対してなされるものでしょうし、ログインページが変わってしまえば、そもそも攻撃ができないことになります。
私が使っているプラグインは「Rename wp-login.php to anything you want」です。
これは、シンプルにログインページをリネームしてくれるものです。これに「wp-login.php」をリダイレクトさせられたらもっといいでしょう(現在は404を返すようになっています)。
リネーム以外にも、ログイン時の失敗に関するセキュリティやIPの登録ができます。
そう、そして、このログインページを日本語にしておけば、正直ログインページにたどり着くこと自体が不可能です(但し、日本語自体はUTF-8でエンコードされます)。
まとめ
サーバーがどこであっても、この4つをやっていれば被害に遭うことはそうそうないと思います。
ワードプレスは便利である反面狙われやすいCMSのようですので、セキュリティはしっかりしておくにこしたことはありません。実際、私も3.7くらいの時代に、ID「admin」で作って放置していたウェブが撃沈された経験があります。
この4つの作業でセキュリティ強度は劇的に高まりますので、是非お試しください。