自分の身は自分で守るんだよ


wordpressを使ってて気を付けてほしいこと

セキュリティに関して

インターネットの世界では切っても切れないデカい問題の一つ

wordpressのCMSとしての認知度はバツグンで全世界で使われている。
※CMSというのは簡単にいうとブログに限らずwebサイトを構成するファイルや画像を一元管理できるシステムのこと

ぶっちゃ知識が少なくても使ってる人も多い、そんな状態で使っている人が多いということはそこから悪さをしようと考える輩もいる。

じゃあ、本題

先日、知人のブログが攻撃されて見れなくなったと相談を受けた。

その時の症状は、ブログにアクセスした時に別サイトにリダイレクトされるというもの

※リダイレクトというのはA.comにアクセスしたのにB.comというサイトに飛ばされてしまうこと。
消えたと思ってしまいがちだけど、実際に消えてるわけではないので安心してほしい

原因はwordpressを構成しているファイルに不正なプログラムを書き込まれていた可能性が高い。

結局どのファイルが原因なのか特定できずにwordpressの全ファイルを丸ごと入れ替えて対応しました。

wordpressのファイルを入れ替えた後にやったことは以下の2つ

1.ログインパスワードの変更

2.セキュリティプラグインをインストール

1.ログインパスワードの変更

真っ先にやってもらったのはパスワードの変更

①パスワードには半角英数字を混ぜること

②ログインIDとパスワードは同じにしないこと

これだけでもやっておくとだいぶ変わってくる。

2.セキュリティプラグインのインストール

『All in one WP Security & FireWall』

wordpressを使っているならインストールしておいて欲しい必須プラグインの一つ

色々と設定できる項目はあるんだけど最低限やっておいてほしいことは、

1⃣ログインURLを変更する

/wp-admin以外にすること
ここでの注意は予測されやすいもの(例えばドメインやログインID)は絶対に避ける事。

設定方法はこんな感じ

bruteforce

左メニューの「WP Security」から「Brute Force」をクリックすると上のような画面が表示されるので、①にチェックを入れて、②にログインURLにしたい任意の文字列を入力、③で設定を保存する。

それだけでログインURLは/wp-adminではなくなる。忘れないようにしっかりメモしておこう。

2⃣ログインの試行回数を変更しておくこと。

例えば5分以内に3回ログインをミスったらアカウントにロックがかかるようにしておく。

設定方法は以下の通り

loginlock

左メニューの「WP Security」から「User Login」をクリックすると上のような画面が表示されるので、①と②にチェックを入れておくだけで「5分間に3回ログインを失敗すると60分間ログインできなくなる」設定が有効になる。

もっと細かく設定を変更したい場合は③④⑤の数字を変更してみるといい。

この2つ(ログインURLの変更・ログイン試行回数の制限)をやっておくだけでもセキュリティとしてはかなり強力なので、まだやってないよーって人はやっておいてほしい。

まじで。

ただ、このプラグインをインストールすると別のプラグインの機能が動かなくなってしまうなんてこともあるので注意

Jetpackを使っている人はSecurity & FireWallの設定によってはJetpackとの連携が外れてしまったりすることもあるので気を付けて。

あなたが困っているときはすぐに助けたいが、いつでも直接見れるわけではないので最低限「自分の身は自分で守ろう」ってこと

それでは、また

SNSでもご購読できます。