皆さま、おはこんばんにちわ!
先日、この「たこやきサンタロー。」ブログが操作不能となってしまい、ブログをイチから立ち上げなおしたお話をさせていただきました。
【ConoHa WING+WordPress】いきなりブログにアクセスできなくなり、心底困った話【説明編】 【ConoHa Wing+WordPress】いきなりブログにアクセスできなくなり、心底困った話【解決編】ConoHa WINGのサポートセンターに問い合わせたところ、悪意のあるプログラムが埋め込まれてしまっているというお話がありました。
思い返してみれば、Wordpressを初めて間もなく、何をすればいいのかもわからない状態でいたため、セキュリティ対策をなに一つできていませんでした。
そこで今回は私のようにブログ初心者でかつ、簡単に実施できる最低限のセキュリティ対策について記載していこうと思います。
- ブログをはじめて間もない方
- WordPressをご利用中の方
- とりあえず、簡単に必要最低限のセキュリティ対策を実施したい方
目次
私が実施した必要最低限のセキュリティ対策3つ
セキュリティ対策1:Wordpressのログインパスワードを複雑にする
WordPressにログインするパスワード、皆さんは複雑な文字列を設定しているでしょうか?
- ログインIDと同じ文字列
- 10文字以下の文字列
- 自分のプロフィール情報から推測しやすい文字列(例.名前と生年月日の組み合わせ等)
ログインパスワードですが、必ず、推測されない文字列を選定しましょう。また文字列の長さとしても50~100文字くらいがおすすめです。
実際に実践してみます。
今回は1Passwordのパスワードジェネレータという無料のパスワード生成サービスを活用します。
1Passwordのパスワードジェネレータのサイトにアクセスしてください。
①パスワードの長さ(文字数)と文字列に数字、記号を含めるかを設定します。数字、記号のチェックはありの状態で、パスワードの長さはできれば50~100文字で設定しましょう。
②「安全なパスワードをコピー」をクリックしましょう。(なにかしらのダイアログが表示された場合は無視して大丈夫です。)
③Wordpressのログインパスワードを変更します。管理画面にアクセスし「ユーザ」→「プロフィール」をクリックします。
④②でコピーしたパスワードを「新しいパスワード」に貼り付けます。貼り付けは「Ctrl」+「V」で行うことができます。
⑤「プロフィールを更新」ボタンを押下します。これでパスワードの変更は完了です。
セキュリティ対策2:ログインIDが第三者からわからない状態に設定する
初期設定状態のWordpressのセキュリティはかなり低い状態です。
何も対策していないと安易に第三者からログインIDが抜き取られてしまいますので、まだ対策されていない方は今すぐ対応が必要です。
ログインIDが知られてしまった場合、後はパスワードがわかってしまえば悪意のあるユーザーから簡単にログインされてしまいます。
ここでパスワードまでが安易に推測できるような文字列だとログインされてしまう確率も高くなってしまうので、前述の「Wordpressのログインパスワードを複雑にする」も大切になってくるわけです。
話が脱線してしまいましたが、早速ログインIDが第三者からわからない状態にするための対策を実践してみます。
まず自身のブログがログインIDがわかってしまう状態か確認してみましょう。
自身のブログがログインIDがわかってしまう状態かの確認方法
例えば当ブログの場合、URLは「https://www.takoyakisantaro.com」になります。
このURLの末尾に「?author=1」と入力し、再度Enterを押してください。
そうすると以下のような英数字の文字列が表示されると思います。
ここがセキュリティ対策できていないと、WordpressのユーザIDが表示されてしまっていると思います。
ログインIDが第三者からわからない状態に設定する方法
では第三者からユーザIDがわからない状態に設定します。
今回は「Edit Author Slug」というプラグインを使用します。設定は自体は一瞬です。
①Wordpressの管理画面にアクセスし、「プラグイン」→「新規追加」をクリックします。
②検索窓に「Edit Author Slug」と入力し、検索をかけます。
③対象のプラグインが表示されますので「今すぐインストール」をクリックします。インストール後はプラグインを「有効化」してください。
④再び、Wordpressの管理画面から「ユーザー」→「プロフィール」にアクセスし、画面下にスクロールすると「投稿者スラッグ編集」が表示されまています。初期表示でWordpressのユーザIDが選択状態になっていると思います。
⑤英数字の文字列を選択します。
⑥「プロフィールを更新」ボタンをクリックします。これで設定完了です。
改めてURLの末尾に「?author=1」と入力し、再度Enterを押してください。
先ほど、ユーザIDが表示されてしまっていた方は⑤で選択した英数字の文字列に置き換わっているのが確認できると思います。
セキュリティ対策3:セキュリティプラグインの導入
「SiteGuard WP Plugin」というセキュリティプラグインを導入します。
初心者にはうれしい、入れてしまえば勝手にセキュリティが向上します。
- 一定数ログインに失敗するとロックされる
- ログイン時に画像認証を求められるようになる
- ログインページのURLが変更される
などです。
では実践してみます。
①Wordpressの管理画面にアクセスし、「プラグイン」→「新規追加」をクリックします。
②検索窓に「SiteGuard WP Plugin」と入力し、検索をかけます。
③対象のプラグインが表示されますので「今すぐインストール」をクリックします。インストール後はプラグインを「有効化」してください。
これで完了です。
④Wordpressの管理画面にアクセスし、「SiteGuard」→「ダッシュボード」をクリックします。
ログイン画面のURLが以下赤枠のものに変更されるため、忘れずにお気に入り登録してください。
まとめ
今回はとりあえずやっておきたい必要最低限のセキュリティ対策について記載しました。
とても簡単に設定できましたね!
ブログ初心者の方はセキュリティ対策を後回しにしがちですが、とりあえず必要最低限のセキュリティ対策はしっかり行いましょう!
今後も少しずつセキュリティ対策を強化していこうと思っているので、また共有できるものあれば記事にしたいと思います。
また、今回紹介したセキュリティ対策の他のデータのバックアップはしっかりとった方が良い
ってことでした。
【ConoHa WING+WordPress】いきなりブログにアクセスできなくなり、心底困った話【説明編】上の記事にも記載しましたが、私のようブログが攻撃されてからでは遅いので、セキュリティ対策と非常時に備えたデータのバックアップはしっかり実施しておきましょう。
まだ何も対策をとれていない方は、今すぐ対策しましょう。
データのバックアップ方法について後日記事に纏めたいと思います!