ログイン等の認証突破に関する対策

WordPressに関するセキュリティ被害でもっとも大きな原因は、単純にログインを破られることです。デフォルトの状態のWordPressは、何度ログインに失敗しても試行を続けることができますので、多くの攻撃者が自動的にログインを試行するプログラムを用いて、様々なパスワードを何回も自動入力することによってログイン画面を突破します。こうした攻撃に晒されれば、辞書に載っている英単語や短い数字の羅列のような単純なパスワードは短時間で破られてしまうことでしょう。

もっとも基礎的な対策は強固なログインパスワード

第二回で説明したように、WordPressのユーザーのパスワードは必ず強固なものにする必要があります。また、他のサービスで用いているパスワードを使い回してはいけません。複数のユーザーが利用するのであれば、これらをログインできる全員に徹底しなければいけません。

プラグインからセキュリティを強化する - All In One WP Security

さらにプラグインからセキュリティを強化してみましょう。プラグイン一覧画面から「All In One WP Security」を有効化し、管理メニューに追加された[WPセキュリティ]を押して設定画面に移動します。

安全なWordPress運営のために。おさえておきたい設定とプラグイン
(画像=▲All In One WP Securityのダッシュボード、『さくマガ』より引用)

このプラグインでは様々なセキュリティ強化のための設定がおこなえますが、今回は筆者が最低限必要と考えているものを設定しておきます。

ログイン試行回数の制限

ログイン失敗を短時間で繰り返す者がいた場合、自動的にログイン画面へのアクセスを一定時間封じることで攻撃を非効率化させることができます。

管理メニュー[WPセキュリティ]→[ユーザーログイン]を押して[ログインのロックダウン設定]画面に移動、[ログインロックダウン機能を有効化]にチェックを入れ[設定を保存]ボタンを押すことで対策がなされます。デフォルトの場合、5分間に3回ログイン失敗したときに、60分間その操作者(IPアドレスで判定します)はログイン画面にアクセスできなくなります。

安全なWordPress運営のために。おさえておきたい設定とプラグイン
(画像=『さくマガ』より引用)

設定後はログインパスワードの入力を確実におこない、あなたがロックアウトされないように気をつけてください。

コメントスパム対策

ログインだけでなく、コメント機能を使った攻撃にも注意が必要です。大量のコメントスパムを投稿することでサーバに負荷を与える攻撃者に対応することができます。管理メニュー[WPセキュリティ]→[スパム防止]から[コメントスパム設定]に移動し、[コメントフォームの Captcha を有効化]と[スパムボットからのコメント投稿をブロック]の両方にチェックをつけ、[設定を保存]してください。

安全なWordPress運営のために。おさえておきたい設定とプラグイン
(画像=『さくマガ』より引用)

以上の設定で、プラグインが強力にコメントスパムをブロックしてくれます。

コメント機能そのものを使わない場合はプラグイン「Disable Comments」を使って無効化するのもオススメです。

その他、このプラグインにはログインURLそのものを変更してしまう機能などさまざまなセキュリティ機能がついていますが、何も考えずにすべての機能を有効化してしまうと、あなたにとって不便な環境ができてしまう場合もあります。設定を加えるときは注意書きをよく読んでから実行するようにしてください。

Site Kitでサイトの運用を効率化する

あなたはブログを運用する時にGoogleアナリティクス(アクセス解析)やGoogleサーチコンソール(検索解析)を使いますか? あるいはAdsense広告を掲載しての収益化を考えていますか? もしそうであれば、先ほど有効化したGoogleによるプラグイン「Site Kit」が便利です。

このプラグインはそれぞれのサービスへのサイトの登録やタグ埋め込み作業を簡略化してくれるほか、WordPressの管理画面の中で、それぞれのサービスのサマリーデータが参照できるようになるなど、Googleのサービスに関連するサイト運用を便利にしてくれます。

この記事では詳しい使い方は説明しませんが、こうしたGoogleサービスを使うのであれば、ぜひ入れておきたいプラグインです。

安全なWordPress運営のために。おさえておきたい設定とプラグイン
(画像=▲ Site Kit はWordPressの管理画面内でGoogleの各種サービスのサマリーを扱えるようにしてくれます、『さくマガ』より引用)

WordPressサイトの自動バックアップ

最後に、WordPressサイトのバックアップについて説明しておきます。

WordPressがなんらかの原因で正常に動かなくなってしまった・攻撃者によってサイトが被害を受けた……考えたくないことですが、そういったことは起こりえます。そんなときにバックアップデータから過去の状態に戻すことができるようにしておけば、取り返しのつかない事態を防ぐことができます。

WordPressサイトでは、ファイルだけでなくデータベースのバックアップが重要です。データベースにはあなたが書いた記事のデータやサイトに施した各種の設定、インストールしたプラグインのリストなど大切なデータがたくさん詰まっています。これを失ってしまっては、サイトは元通りになりません。

望ましいバックアップの頻度はあなたのサイトの更新頻度によって変わりますが、定期的・自動的にファイルとデータベースのバックアップを取るようにしておけば安心です。

WordPressの自動バックアップには大きく分けてふたつの方法があります。

プラグインによる自動バックアップ

定期的な自動バックアップをおこなうためのプラグインは数多くありますが、広く利用されているもののひとつとして「BackWPup」をご紹介しておきます。

このプラグインはファイル・データベース両方のバックアップに対応しており、バックアップ先も

  • 公開先のウェブサーバ
  • メールを通じての送信
  • Dropboxなど各種のクラウドサービス
  • FTPを通じて他のサーバ

など様々な場所を指定することができます。

安全なWordPress運営のために。おさえておきたい設定とプラグイン
(画像=▲ プラグイン「BackWPup」の設定画面。スケジュールを指定しての自動バックアップができます、『さくマガ』より引用)

レンタルサーバの自動バックアップ

プラグインによるバックアップは便利ではある一方、頻度やバックアップするデータ種別によってはデータ量が膨大になってしまい管理に困ることも考えられます。レンタルサーバに自動スナップショット機能(借りているサーバ領域をそのままバックアップしてくれる機能)がついているならば、メインのバックアップはサーバに任せてしまうのも有効です。この場合、プラグインによるバックアップは補助的なものとするといいでしょう。

自動バックアップ機能の有無とその料金はレンタルサーバ選びのひとつの基準にするといいでしょう。なお「さくらのレンタルサーバ」にも自動スナップショット機能はついており、リストア(バックアップをもとにサイトのデータを復旧すること)を含めてオプション料金はかかりません。

安全なWordPress運営のために。おさえておきたい設定とプラグイン
(画像=▲ さくらのレンタルサーバの「バックアップ&ステージング」機能の管理画面、『さくマガ』より引用)

自動バックアップの手順についてはお使いのレンタルサーバのマニュアルなどを参照してください。

以上、ここまで3回の記事で

  • WordPressの基礎知識
  • サーバとドメインの準備
  • WordPressのインストール
  • ブロックエディタの基礎的な使い方
  • プラグインの選び方
  • WordPressのセキュリティ対策
  • 運用に便利なプラグインの紹介

といった内容について説明してきました。最低限WordPressを利用できるだけでなく、あなたが安全にサイトを運用するための知識に力をいれたつもりです。

WordPressはブログだけでなく、様々なタイプのサイトにも応用できる魅力的なCMSです。ぜひこの記事をきっかけに、その世界を楽しんでいただければ幸いです。

最後までお読みいただき、ありがとうございました。


提供・さくマガ(「やりたいこと」を「できる」に変えるWEBマガジン)

【こちらの記事も読まれています】
生産性向上の方法とは? 3つの具体的施策と2社の成功事例から考える
男性の育休について、男性育児休業取得率から考える
ブラック企業ものがたり。アンガーマネジメントを全て間違えてた課長
フレックスタイム制とは? さくらインターネットでの導入事例を紹介
パラレルキャリアとは? パラレルキャリアのメリットや実践での注意点を解説