WordPressのセキュリティ対策(初心者編)。

前回の記事では、WordPressのセキュリティ強化のために、WordPressのwp-config.phpファイルのパーミッションを変更してみたということを書きました。

今年(2013年)の4月になってから、世界中のWordPressサイトを狙った大規模攻撃が行なわれているようで、「WordPress 攻撃」といったワードでネット検索をすると、けっこうな数のニュース記事がヒットします。

たとえば、ITmediaエンタープライズさんの記事、「WordPress狙う大規模攻撃が発生、管理者アカウントを標的に」や、@ITさんの記事、「標的は「admin」のユーザー名、WordPressを狙う攻撃激化」。

WordPressサイトを乗っ取るために、管理画面のユーザー名をデフォルトの「admin」のままにしているユーザーを狙って、パスワードを総当りで見つけ出そうと、数万件のIPアドレスから攻撃が行なわれているとのこと。

このことについては、いつも当サイト管理人が閲覧させていただいている、WordPress開発元のAutomattic社社員、高野直子さんのブログ、JA.NAOKO.CCの記事、「WordPress へのブルートフォースアタック対策: パスワード強化」にも書かれていました。

Automattic社社長?であり、WordPress共同開発者、WordPressの顔といってもいい、Matt Mullenweg(WordPressはこんなに人気なのに、彼の名前の日本語表記が定まっていないのは非常に残念)さんによると、ユーザー名をadmin以外のものにして、パスワードをStrong表示が出るくらい強固なものにすることで、「問題が起こることはほぼないでしょう」(上記記事より引用)とのことです。

心強いお言葉です。

一番良いのは、WordPressのインストール時に、ユーザー名「admin」を他のユーザー名に変更することですが、すでにユーザー名「admin」でインストールしてしまった方は、あらかじめ別の管理ユーザーを作成して、投稿記事・固定ページをそのユーザーに移動させてから、「admin」を削除してください。

その他のほとんどの対策はあまり意味が無いでしょう、とも書かれてますね。WordPressでは、ユーザー名とパスワードを適切なものにするのが、一番のセキュリティ対策ということになります。

ただ、それではみもふたもないので、ここでは、それ以外のWordPressのセキュリティ対策についても、少し書いてみます。

個人的に一番重要だと思うのは、WordPress公式サイト以外で配布されている、身元のはっきりしない、でもかっこいい海外のテンプレートをインストールしないことだと思います。

WordPress公式サイトで配布されているテーマは、そのままでは使いづらいのも確かですが、テーマのフォント設定を日本語フォントに変えるだけでも見映えはずいぶん違ってくるので、自分でカスタマイズしてみるのもいいと思います。

WordPress解説本には、サンプル例のテーマがダウンロードでき、個人がカスタマイズして利用できるようになっているものもあるので、そういうものを利用するのもよいと思います。

※ 「このサイトの作り方について」(株式会社コミュニティコム)(一例です)

また、あまり意味のない対策と言われていましたが、やはり、「Limit Login Attempts」のようなブルートフォースアタック対策プラグインをインストールしておくと、ユーザー名「admin」でどれだけ不正ログインが試みられているかが、管理画面から一目でわかるので、セキュリティ意識が高まるかと。

そして、これは決しておすすめしているわけではないのですが、当サイトでは「Login Dongle」という、WordPressのログイン画面に二重にパスワードをかけるプラグインも利用しています。

このプラグインをインストールすると、ログイン画面に正しいユーザー名とパスワードを入力しても、それだけでは管理画面にログインできなくなります。

管理画面にログインするためには、さらに、あらかじめ登録しておいた質問に対する答えを入力する必要があり、その入力は、ユーザーが使っているブラウザーに設置したブックマークレットからしかできないようになっています。

つまり、正しいログインユーザー名とパスワードがわかってしまっても、ユーザーが使っているパソコンのブラウザーからしか、あらかじめ設定した質問に対する答えを入力しないと、管理画面にアクセスできない仕組みになっています。

この手のプラグインは、質問に対する答えを忘れてしまうと、ユーザー自身が閉め出されて、ログインできなくなりますので、あらかじめ、閉め出されてしまった時の解決手順(当サイトのLogin Dongle記事に書いてあります)を頭に入れてから、試してみることをおすすめします。

このLogin Dongle。個人的には素晴らしいWordPress用セキュリティ対策プラグインだと思うのですが、あまり人気がないみたいです。

確かに、二度、別々のパスワードを入力する手間がかかるので、私の運営しているWordPressの中ではめずらしくアクセスが多い、当サイトでしか利用していません。

あとは、WordPressとインストールしたプラグインを、最新のものに保つということくらいでしょうか。

今回のWordPress大規模攻撃にお尻を叩かれたようなかたちになりますが、試しにインストールしたまま、全然更新していないようなWordPressサイトも、数日前に全削除してしまいました。

WordPressのセキュリティ対策については本当にいろいろなことが書かれているので、WordPressエンドユーザーとしては何をしたらよいのか混乱してしまうことも多いのですが、今回のWordPress大規模攻撃のおかげ?で、かえってすべきことと、する必要のないことがはっきりしてよかったと思います。

end.

  • このエントリーをはてなブックマークに追加

コメントをどうぞ

メールアドレスが公開されることはありません。