ワードプレスは世界で一番使われているCMSです。
そのため、ハッカーからの攻撃対象としても狙われることが多いようです。
対策としていろんなセキュリティツールやプラグインが開発されていますが、今回は無料で簡単に出来る3つのポイントを紹介しています。
ID・パスワードの適切な管理
サイトがハッキングされるという事はほぼ「IDとパスワードが一致している」ことだという事です。
IDとパスワードが合致しない限りはそうそうハッキングされることはないと思います。
また、流行のブルートフォース攻撃はIDがデフォルト状態の’admin’ユーザを使って攻撃します。なのでadminユーザの削除は必ず行っておきましょう。
設定でadminユーザによるログイン試行を通知対象にしないというオプションも追加されています。
また、パスワードも簡単なパスワード、よく使われているパスワード等を使う事は避けましょう。
こちらのサイトも参考に
Adobeから流出したパスワードでよく使われていたものトップ100が公開される
htaccessファイルを使ったアクセス制限
最近はサーバーへのブルートフォース攻撃のせいで特定のIPアドレスからのみ、ログインする方法もあります。
接続するIPアドレスが判っていればそのIPアドレスのみにログインページのアクセスを許可する方法です。
IPアドレス制限の.htaccessファイルの記述方法ですが、次の記事を参考にしてみて下さい。
不正ログインチェックプラグインの導入
最後に、ワードプレスの管理画面に不正にログインされた場合に連絡をくれるプラグインを紹介します。
今回紹介するプラグインは「Login Alert Notification」です。
このプラグインはWordPress管理画面へのアクセスを検知してメール等のアプリへ通知するプラグインです。
不法なログイン等があればメールなどに通知が来ます。
Login Alert Notificationの設定
使い方は簡単です。
プラグインの新規インストールから「Login Alert Notification」で検索をかけてインストール⇒有効化をして下さい。
インストールの方法はこちらを参考にして見て下さい。
後は設定画面のE-mailの部分にサイトの設定で一般設定に登録しているメールアドレスが表示されていればOKです。
異常があれば、このメールアドレスにメールが送られてきます。
登録しているメールアドレスとは別のアドレスにメールを送りたい場合は、追加登録も可能です。
また、通常は不正なアクセスを素早く検知するためにログイン画面へのアクセス自体を通知しますが、これを止めるオプションも追加されているようです。
ここまでしていれば、かなりセキュリティ度は高くなると思います。
まとめ
今回は次の3つのサイトセキュリティ方法を紹介しました。
- ID・パスワードの適切な管理
- htaccessを使ったアクセス制限
- ログインチェックツールでのサイト監視
3つ同時に行う事で、かなり強いセキュリティになると思います。
まだ対策を取っていないワードプレスサイトがあれば、参考にしてみて下さい。
コメント