最近、私が経営している会社で作成したwordpressサイトがハッキングされるという悲しい出来事が起こりました。
すぐにサーバー管理会社の方に連絡して適切な処置を施したため、ことなきを得ましたが、wordpressのセキュリティについて考えるいい機会になりました。
今回は、誰でも簡単にwordpressのセキュリティを高めることができる方法を紹介します。
この記事を読めば、以下の対策がすぐに完了します。
- 代表的な3つのハッキング手口とその危険性がわかる
- 無料プラグイン「SiteGuard」を使ってログインページを隠せる
- あなたのWordPressサイトを乗っ取りから守る第一歩が踏み出せる
あなたのサイトが攻撃を受けてからでは遅いので、必ずこの記事を最後まで読んで、対策しておくようにしましょう。
wordpressのセキュリティ上の問題点とは?
そもそも、あなたが今使っているwordpressのどこにセキュリティ上の問題点があるのでしょうか?
攻撃の対象となる主な箇所は以下の三点です。
- 管理画面へのログイン画面
- コメント欄や問い合わせフォーム
- 更新されていないWordpressやプラグイン
管理画面へのログイン画面のセキュリティー脆弱性
実はwordpressには、さまざまな攻撃箇所がありますが、まず一番初めに思いつくであろう箇所が「管理画面へのログイン画面」です。
というのも、デフォルトでは、「ドメイン/wp-admin」というURLにアクセスするとwordpressの管理画面にアクセスできるようになっています。
ですので管理画面にアクセスして、パスワードを総当たりで入力すれば、(理論上は)誰でも管理画面にアクセスすることができてしまうのです。
このような総当たり攻撃のことを「ブルートフォースアタック」と呼びます。
すごくアホっぽいですが、十分な時間があればどんなパスワードでも突破することが可能です。
対策方法としては、管理画面へのアクセスURLを変更する、画像認証を追加する、一定回数ログインに失敗したユーザーをブロックする、などが考えられます。
このうち、管理画面へのアクセスURLの変更方法については後述します。
コメント欄や問い合わせフォームのセキュリティー脆弱性
実はコメント欄や入力フォームでは、JavascriptやSQLなどのプログラミング言語を実行することができます。(SQLはプログラミング言語ちゃうやろ!というツッコミはご遠慮ください笑)
これを悪用して、データベースやサイトの表示に悪影響を及ぼすコードを実行することをXSS(クロスサイトスクリプティング)、SQLインジェクションと呼びます。
XSSやSQLインジェクションを受けると、あなたのサイトがユーザーに悪影響を及ぼすようになってしまったり、データベースが流出・改変されてしまう可能性があります。
対策方法としては、フォームに入力される文字をエスケープする、必要ないフォームを設置しない、などが考えられます。
WordPressを使用している場合、プラグインを使って問い合わせフォームを作成している場合がほとんどだと思いますので、問い合わせフォームのプラグインを常に最新バージョンに保っておくことも対策として重要です。
更新されていないWordpressやプラグインの脆弱性
wordpressやプラグインを古いバージョンのまま放置したりはしていないでしょうか?
もし心当たりがあれば、今すぐチェックしてみてください。
基本的に、古いバージョンのシステムはセキュリティ上の脆弱性が多く、ハッカーからの攻撃対象になりやすいとされています。
これは、バージョンアップを行うことで、脆弱性を解消していっているからですね。
また、古いバージョンのシステムはそれだけ一目に触れている時間も長いため、より多くの脆弱性を見つけられている可能性が高いということでもあります。
よほど特殊な理由がない限り、wordpressやプラグインのバージョンは最新にしておくようにしましょう。
SiteGuardを使って管理画面へのアクセスURLを変更してみよう
先ほどまでは、wordpressの主なセキュリティリスクや、その対策方法について解説しました。
この項目では、管理画面へのアクセスURLを変更する方法について解説していきます。
SiteGuardというプラグインを使うため、誰でも簡単に変更することができますよ。
手順は下記の通りです。
- SiteGuardをインストール・有効化
- ログインページ変更をクリック
- 任意のログインページ名を入力して保存
まずは、プラグインを追加します。
「プラグインを追加」から、「SiteGuard」を検索してください。
この盾のようなアイコンがでたら、それをインストール&有効化しましょう。
有効化すると、管理画面の左側にSiteGuardの項目が出現します。
この項目の上にカーソルを置いて、「ログインページ変更」をクリックしてください。
すると、このような画面が出てきますので、「変更後のログインページ名」の部分に任意の文字列を入力(変更したいURL)し、保存をクリックしましょう。
保存したURLはどこかに控えておきましょう。
忘れるとログインできなくなります。(もしできなくなった場合の解決方法は別の記事を作成しますので、そちらを参考にしてください。)
セキュリティーリスクは常に意識しよう
セキュリティーは普段忘れがちですが、結構重要です。
ハッカーから攻撃を受けることはあまりないため、おろそかにしがちなのですが、一度攻撃を受けてしまうと復旧作業がめちゃくちゃ大変なんですよ。
自分で復旧ができる場合はめんどくさいだけで済みますが、何もわからない人が攻撃を受けてしまうと、最悪の場合サイトをリセットしなければいけないことになります。
サイトで生計を立てている人のサイトがリセットされてしまうと、それだけで生活に大きな影響を及ぼしてしまいますよね。
今回紹介したような対策方法をとるのは少しめんどくさいと感じるかもしれませんが、転ばぬ先の杖だと思って、あらかじめ対策しておきましょう。
今回紹介したログインURLの変更は、WordPressセキュリティの第一歩にすぎません。
今後は
- 定期的にサイトのバックアップを取る
- 使っていないプラグインは削除する
- パスワードをより複雑なものにする
といった対策も習慣づけていくと、さらに安全なサイト運営ができますよ。まずはSiteGuardの導入から始めてみてください!
お疲れ様でした!
皆さんのコメントやシェアが非常に励みになります。
もし今回の記事が参考になったと思ったら、SNSでのシェアやコメントをお願いします!
これでセキュリティも向上するね!