WordPress セキュリティ

デザイン五輪書

あなたのWordPressのセキュリティは大丈夫??

読了までの目安時間:約 28分

 

にほんブログ村 イラストブログ Photoshopへコンピュータグラフィックス ブログランキングへFC2ブログランキングブログランキングならblogram i2iブログランキング

あなたのWordPressのセキュリティ、大丈夫??

WordPressが乗っ取られる!?

WordPressを複数人で管理する

WordPressは、通常、一人の管理人が記事を書いたりデザインを変更したり、コメントの認証などを行います。
ですが、WordPressは複数の人数でサイトを管理する事も可能です。

設定は、WordPressの「サイドバー」の「ユーザー」の中にある「新規追加」から行います。

ユーザーの新規追加

ここで設定したメールアドレスとパスワードを使う事で、WordPressにログインする事が可能になります。

新規ユーザーを追加

その際、「権限グループ」の欄で、追加するユーザーの権限を選択する事ができます。

権限グループ

権限グループは、全部で5種類あります。
閲覧しかできない「購読者」、記事の編集も行える「寄稿者」、記事の投稿やファイルのアップロードも行える「投稿者」、自分以外のユーザーの書いた記事の編集やカテゴリーの管理、コメントの承認など、様々な事が行える「編集者」、全ての作業を行う事のできる「管理者」があります。

この「管理者」と言うのが問題で、きちんと信頼できる人のみを「管理者」に設定しないと、大変な事になります。
場合によっては、WordPressを乗っ取られる可能性だってあるのです。

▲もくじへ戻る

メンバーシップ機能にご用心!

この「管理者」設定ですが、WordPressの設定を誤ってしまうと、見知らぬ第三者を無尽蔵に「管理者」にしてしまう可能性だってあるのです。
恐らく大丈夫だとは思いますが、あなたのWordPressの設定を、ちょっと確認してみましょう。

「サイドバー」の中にある「設定」の中から、「一般」を選択して下さい。

一般

注目すべきは「メンバーシップ」「新規ユーザーのデフォルト権限グループ」です。

メンバーシップ

「メンバーシップ」の「だれでもユーザー登録ができるようにする」にチェックを入れると、誰でもあなたのWordPressのユーザーに登録をする事ができるようになってしまいます。
「だれでもユーザー登録ができるようにする」にチェックが入ると、あなたのWordPressへのログイン画面(サイトのURL/wp-admin/)に、新たに「登録」の項目が追加されます。

登録

ここをクリックする事で、あなたのWordPressのユーザーに登録する事ができるようになるのです。

このブログに登録

そして、あなたのWordPressの「ユーザー一覧」の中に、何食わぬ顔で、見知らぬ誰かのアカウントが表示されるようになってしまいます。

ユーザー一覧

この経緯で登録したユーザーが持つ権限は、「新規ユーザーのデフォルト権限グループ」で設定した権限グループが適用されます。
初期設定では、閲覧しかできない「購読者」の設定になっています。

ですが、ここを誤って「管理者」にしてしまうと、とても危険です。

危険な設定

この設定のままだと、通りすがりの誰でも、あなたのWordPressを好き勝手いじる事ができてしまいます。
言わば、あなたの家の玄関の扉を年中開けっ放しにしておくようなものです。

上記設定になっていた方は、速やかに設定を変更し、「ユーザー一覧」の中に見知らぬアカウントが混じっていないか、確認を取りましょう。

▲もくじへ戻る

ログインユーザー名がバレる!?

初期状態のままだと危険!

WordPressは初期状態のままですと、あなたのユーザー名があちこちに表示されます。

ユーザー名がバレる!?

ユーザー名が悪意ある相手にバレてしまうと、後は、パスワードさえ当ててしまえば、あなたのWordPressに不正ログインできてしまいます。
つまり、セキュリティ効果が半減してしまうと言う事になります。

▲もくじへ戻る

ブログ上の表示名を設定する

そこで、ユーザー名を表示しないように設定し、代わりの表示名を設定しましょう。
設定は、「サイドバー」の「ユーザー」の中にある「あなたのプロフィール」をクリックします。

あなたのプロフィール

「プロフィール」ページが表示されます。

「名前」の中にある「ニックネーム」に任意の文字を記入します。
ここに記入した文字がサイト上に表示されるように設定します。
特に思い付かない場合は、「管理人」でも良いでしょう。

続けて、「ブログ上の表示名」の部分のドロップダウンメニューをクリックし、先ほど記入した文字を選択します。

ブログ上の表示名

最後に、ページ下部にある「プロフィールを更新」をクリックします。

プロフィールを更新

これで、サイト上のあなたの表示名が変更されました。

▲もくじへ戻る

Akismet

Akismetとは?

WordPressをサーバーにインストールすると、最初から入っているプラグイン「Akismet」。
これは一体、どのような役割をするプラグインなのでしょうか。

実はこのプラグイン、スパムコメントを色々なサイトに書いて回るような迷惑なユーザーをブラックリスト化し、ブラックリストに登録されているユーザーから書き込みがWordPress内にあった場合に対処してくれる、セキュリティ系のプラグインなのです。
ブラックリストに登録されているユーザーからのコメントはコメント欄に表示されず、スパムフォルダ内で保留状態にしてくれます。

スパムコメントとは、人のサイトのコメント欄を使って、自分の保有しているサイトへ大量のリンクを貼る行為の事を指しています。

自分のサイトが沢山のサイトからリンクを貼られると、PageRankを稼ぐ事ができます。
PageRankが高いと、それだけGoogleやYahoo!の検索結果で有利に働くのです。
そこで、他人のサイトやブログのコメント欄を使って自分のサイトへリンクを貼ると言う、そのような迷惑行為が横行しているのです。

スパマーは自動ツールと言われる種類のソフトを使って、コメントを自動的に拡散しています。
書き込み先の記事を読んでいる訳ではありませんので、書き込み内容はその記事に合っているものではありません。

大抵は、ワードサラダと言われる、意味不明な単語の羅列である事が多いです。
加えて、「あなたの記事を読みました。私のサイトにも来て下さい。」のような、宣伝に見せかけたスパムコメントもあります。

現在、WordPressのコメント欄に書き込まれるリンクは「rel="nofollow"」と言われる属性が自動的に書き加えられるようになっていますので、コメント欄にリンクを貼られても、そのサイトからリンク先へPageRankの評価を渡す事はありません。
ですが、コメント欄が汚されるのには変わりありませんから、Akismetを導入しておくに越した事はありません。

▲もくじへ戻る

実際、Akismetは役に立つの?

私は、職業柄いくつかのサイトを運営した経験がありますが、Akismetが役に立つサイトと役に立たないサイトと、様々です。

私の経験上思うのが、新規日本語ドメインで作ったサイトの場合、スパムコメントを書き込まれる事が滅多にない為、Akismetの活躍の場は滅多にありません。
一方で、海外で使われていた中古ドメインでサイトを作った場合、スパムコメントの書き込みはしょっちゅうです。

そして、そのスパムコメントの9割以上はAkismetが弾いてくれています。
ですので、実際にスパムコメントの被害がある方にとっては、なくてはならないプラグインと言えるでしょう。

▲もくじへ戻る

Akismetを使用する

元からWordPressにインストールされているAkismetですが、有効化しただけではAkismetは使用できません。
ユーザー登録の作業が必要になります。

では、Akismetの有効化から順を追って、登録作業を行って行きましょう。
WordPressの「サイドバー」の中にある「プラグイン」の中から、「インストール済みプラグイン」を選択します。

インストール済みプラグイン

インストール済みのプラグインが一覧表示されます。
Akismetの下にある「有効化」をクリックして下さい。

Akismetの有効化

すると、「プラグイン」ページ上部に、Akismetへの登録を促すメッセージが表示されます。
「Akismetアカウントを有効化」をクリックします。

Akismetアカウントを有効化

Akismetのページが表示されます。
「API キーの登録が必要になります」と書かれているように、これから登録作業を行いたいと思います。

・・・とその前に、後ほどこのページは必要になりますので、タブを複製し、このページを残しておきましょう。
ページタブの部分で右クリックをします。
表示されたコンテキストメニューの中から、「タブを複製」を選択します。

タブを複製

同じページが複製されました。

「新しいAkismetキーを作成する」をクリックして下さい。

新しいAkismetキーを作成する

Akismetのサイトに接続されます。
「GET AN AKISMET API KEY」をクリックして下さい。

GET AN AKISMET API KEY

Akismetのサインアップ画面が表示されます。

Sign up

「E-mail Address」欄に「メールアドレス」、「Password」欄に「パスワード」を入力し、「Sign up→」をクリックします。
「Username」欄は、メールアドレスの頭文字部分が自動的に引用されます。

「Sign up→」をクリックすると、Akismetの各種サービスと料金が表示されます。
無料でAkismetを使用する場合は、「Personal」の中にある「SIGN UP」を選択します。

Akismetの料金表

Akismetへの振込画面が表示されます。

初期設定では「$36」の支払い設定になっています。
無料で使用する場合は、支払金額の設定を一番左側へ移動させます。

支払金額

支払金額を「$0」に設定すると、画面左側の「PAYMENT METHOD」と「PAYMENT DETAILS」が省略されます。
残った「CONTACT INFO」の中にある「First name」に名前、「Last name」に苗字を記述します。
ちなみに、ここに漢字を記入しても大丈夫です。

記述が終わったら、「CONTINUE」をクリックします。

CONTINUE INFO

「Akismet API」が発行されました。

Akismet API

Akismet APIをクリックします。
すると、Akismet API全体が選択されます。

マウスを右クリックし、表示されたコンテキストメニューの中から、「コピー」を選びます。

コピー

コピーしたAkismet APIですが、複数のWordPressのアカウントで使い回せます。
今後、複数のWordPressを管理する可能性のある方は、このAkismet APIを分かる場所に保存していた方が良いです。

さて、コピーしたAkismet APIを自分のWordPress内に貼り付ける訳ですが、Akismetのページからは、自分のページに戻る事ができません。
そこで、作業の途中で複製したタブが役に立ちます。

複製したタブをクリックします。
自分のWordPressに戻ったら、「キーをすでに持っています」のリンクをクリックします。

キーをすでに持っています

Akismet APIキーの入力画面が表示されます。
「Akismet APIキー」欄にコピーしたAkismet APIを貼り付け、「変更を保存」をクリックします。

Akismet APIキーの入力

これで、Akismetが使用できるようになりました。
「設定」欄の「一ヵ月以上の投稿につけられたスパムを自動削除する」や「コメントの投稿者の脇に承認したコメントの数を表示する。」は、お好みでチェックを入れて下さい。

Akismetの設定

▲もくじへ戻る

Akismetと合わせて行っておきたい設定

Akismetによってスパムコメントを防ぐ事ができるようになりました。
ただし、ピンバックやトラックバックによるスパムは、この方法だけでは防ぐ事ができません。

WordPressでは、スパムコメント同様に、ピンバックやトラックバックを貼られても自動的に「rel="nofollow"」属性が記述される為、スパムサイトにPageRankの評価点を渡す事はありません。
ですが、サイトにスパムサイトの書き込みがズラリと表示されるのは、あまり良い傾向ではありません。

そこで、ピンバックやトラックバックの受け付けを拒否すると言うのも、一つの対策法です。
ただし、ピンバックやトラックバックによる訪問者との交流方法を放棄する事にも繋がる為、どちらを取るか、検討して下さい。

ちなみに、この設定はプラグインを使用しません。
「サイドバー」の「設定」の中にある「ディスカッション」をクリックします。

ディスカッション

表示された「ディスカッションの設定」の中にある「投稿のデフォルト設定」の中に、設定項目があります。
「他のブログからの通知(ピンバック・トラックバック)を受け付ける」のチェックを外すと、ピンバックやトラックバックを拒否する設定になります。

トラックバックの拒否

ついでに、「コメントモデレーション」も確認しておきましょう。

コメントモデレーション

この部分は、設定した数以上のリンク数がコメント欄に含まれていた場合、そのコメントの公開を保留状態にします。
初期状態では「2」個に設定されています。

通常のコメントのやり取りで、1個のリンク位は記述される事もあるだろうと言う考えからでしょう。
ですが、例えば、悪戯目的に有害サイトへのリンクを1個だけ貼られてしまったとします。
その場合、コメントは保留状態にならず、そのまま公開されてしまいます。

貼られたリンクは全て自分で確認してから、改めてそのコメントを公開したいと言う方は、「1」個に設定し直すのも良いでしょう。

ちなみに、Akismetを有効にしている場合、コメントモデレーションの数字設定が何個であろうと、コメント欄にリンクが2個以上あった場合は、そのコメントは公開されず、スパムフォルダ内に移動されます。

▲もくじへ戻る

Force email login

Force email loginとは?

Force email loginは、WordPressへのログインを「ユーザー名」から「メールアドレス」へと変更するプラグインです。

クラッカーはあなたのWordPressに不正ログインをしようと、ツールを使って生成されたユーザー名で、何度も何度もログインをしようと試みます。(ブルートフォースアタック)
ですが、Force email loginによって「ユーザー名」でログインできないように変更していれば、クラッカーは永久的にあなたのWordPressにログインする事ができません。

特に、サーバーにお名前.comレンタルサーバーを使っている方には、Force email loginは必須プラグインです。
なぜならば、お名前.comレンタルサーバーでWordPressを作成すると、ユーザー名が「wpmaster」に固定されてしまうからです。

サイトがどこのサーバーを使っているのかは、ツールで調べれば、簡単にバレてしまいます。
お名前.comレンタルサーバーだとクラッカーにバレてしまうと、ユーザー名は「wpmaster」だと分かっているので、後はパスワードだけを照合させれば良いだけと言う事になります。

そう言う不正ログインのリスクを減らす為にも、Force email loginでログイン設定を変更しておきましょう。

また、Force email loginは、ログインに失敗すると10秒間ロックをかけてくれます。
その間、ログインページはエラー画面を表示しますので、クラッカーは続けざまにログインを試みる事ができず、諦めます。
ひょっとすると、運営していないサイトだと勘違いをしてくれるかもしれません。

加えて、クラッカーが立て続けざまにログインを試みると、あなたのサーバーへの負荷も大きくなりますが、Force email loginのお陰で、それも防ぐ事ができます。

▲もくじへ戻る

Force email loginのインストール

では、Force email loginをインストールしてみましょう。
「サイドバー」の「プラグイン」の中にある「新規追加」をクリックします。

プラグインの新規追加

「プラグインのインストール」ページが開きます。
検索窓に「Force email login」と記入し、「プラグインの検索」をクリックします。

プラグインの検索

検索結果に表示されている「Force email login」の下にある「いますぐインストール」をクリックします。

Force email login

「本当にこのプラグインをインストールしてもいいですか?」と言うダイアログが表示されますので、「OK」を選択します。

Force email loginのインストールが完了したら、「プラグインを有効化」をクリックします。

プラグインを有効化

これで、Force email loginが有効化されました。

▲もくじへ戻る

Limit Login Attempts

Limit Login Attemptsとは?

Limit Login Attemptsは、ログイン回数に制限をかける事のできるプラグインです。
設定した回数以上ログインを失敗すると、ロックがかかります。

初期状態だと、4回以上のログイン失敗で20分間のロック(ログイン制限)がかかります。
4回連続でロックがかかると、24時間のロックがかかってしまいます。
12時間が経過すると、ログイン失敗数がリセットされます。

この設定は、後ほど変更する事も可能です。

Limit Login Attemptsのロック機能のお陰で、WordPressに不正ログインをしようとするクラッカーの動きを制限する事ができます。
サイトのアクセス数が増えると、実際、不正ログインを試みた形跡がログの中に残されます。
セキュリティ対策をしていなければ・・・と考えると、ゾッとしてしまいます。

▲もくじへ戻る

Limit Login Attemptsのインストール

Limit Login Attemptsのインストール手順を説明します。
「サイドバー」の「プラグイン」の中にある「新規追加」をクリックします。

プラグインの新規追加

「プラグインのインストール」ページが開きます。
検索窓に「Limit Login Attempts」と記入し、「プラグインの検索」をクリックします。

プラグインの検索

検索結果の中から「Limit Login Attempts」を探し、下にある「いますぐインストール」のリンクをクリックします。

いますぐインストール

「本当にこのプラグインをインストールしてもいいですか?」と言うダイアログが表示されます。
「OK」をクリックして下さい。

Limit Login Attemptsのインストールが開始されます。
インストールが完了したら、「プラグインを有効化」をクリックします。

プラグインを有効化

これで、Limit Login Attemptsのインストールが完了しました。

「サイドバー」の「設定」の中にある「Limit Login Attempts」をクリックします。

Limit Login Attempts

「Limit Login Attempts Settings」のページで、ロックのかかる回数やロックが解除されるまでの時間を設定する事ができます。

Limit Login Attempts Settings

「Lockout」はログインの失敗からロックがかかるまでの回数制限を、「allowed retries」はロックが解除されるまでにかかる時間(分)を設定する事ができます。
「minutes lockout」はロックの回数制限数を、「lockouts increase lockout time to」は、そのロック回数制限を超えた場合に、ロックを解除する為にかかる時間(時間)を設定する事ができます。
「hours until retries are reset」は、ログイン失敗回数がリセットされるまでにかかる時間(時間)を設定する事ができます。

設定が完了したら、「Change Options」をクリックします。

Change Options

これで、設定した状態でログインのセキュリティを強化する事ができました。
ただし、あなたがログインに失敗した時も同様のロックがかかってしまいますので、気を付けて下さい。
ログイン画面にロックがかかってしまった場合は、設定した時間の経過を待つか、データベースの設定を書き換えるしかありません。

▲もくじへ戻る

SI CAPTCHA Anti-Spam

SI CAPTCHA Anti-Spamとは

ブログサービスや公式サイトなどで採用されている画像認証コード。
これをWordPressに設置する事ができます。

SI CAPTCHA Anti-Spam

使用するプラグインは「SI CAPTCHA Anti-Spam」です。

このプラグインの優れているところは、コメントの部分だけでなく、ログイン画面にも認証コードを設置する事ができると言う点です。
ですので、スパマーによるスパムコメントだけでなく、クラッカーによる不正ログインも防止する事ができます。

一方で、画像認証コードがあると、訪問者のコメントをする気を削いでしまうと言うデメリットもあります。
実際、私は画像認証コードが大嫌いです。
サイトによっては、採用している認証コードが「I(i)」なのか「l(L)」なのか、「1」なのか「7」なのか、「O(o)」なのか「0(数字)」なのかが微妙で見分けられず、イライラする事も多々あります・・・。

ですので、スパムや不正ログインのリスクを取るか、コメント率の低下を取るか、両方を検討してから導入を考えましょう。

▲もくじへ戻る

SI CAPTCHA Anti-Spamのインストール

では、SI CAPTCHA Anti-Spamプラグインのインストールを決めた方は、手順に従って作業を行って行きましょう。
「サイドバー」の「プラグイン」の中にある「新規追加」をクリックします。

プラグインの新規追加

「プラグインのインストール」ページが開きます。
検索窓に「SI CAPTCHA Anti-Spam」と記入し、「プラグインの検索」をクリックします。

プラグインの検索

検索結果の中から「SI CAPTCHA Anti-Spam」を探し、下にある「いますぐインストール」のリンクをクリックします。

いますぐインストール

「本当にこのプラグインをインストールしてもいいですか?」と言うダイアログが表示されます。
「OK」をクリックして下さい。

SI CAPTCHA Anti-Spamのインストールが開始されます。
インストールが完了したら、「プラグインを有効化」をクリックします。

プラグインを有効化

これで、SI CAPTCHA Anti-Spamのインストールが完了しました。

▲もくじへ戻る

SI CAPTCHA Anti-Spamの設定

初期状態では、ログイン画面に画像認証コードは表示されません。
ですので、SI CAPTCHA Anti-Spamの設定を変更しましょう。

「サイドバー」にある「プラグイン」の中から、「SI Captchaオプション」を選択します。

SI Captchaオプション

「キャプチャ:」欄の1行目「ログインフォームでキャプチャを有効にする。」にチェックを入れる事で、クラッカーによる不正ログインのリスクを減らす事ができます。
ぜひ、チェックを入れておきましょう。

キャプチャ

「オプション更新」をクリックする事で、変更が適用されます。

オプション更新

▲もくじへ戻る

まとめ

思い立ったが吉日

今回は、WordPressのセキュリティ強化に関する情報をご紹介しましたが、いかがでしたでしょうか?

これだけ色々な事をしなければならないと思うと、「自分のサイトはまだ、アクセス数はそれほどでもないし、人気サイトになってからで良いや。」・・・と考える方もいるかもしれません。
ですが、そうしていると機会を逃してしまいます。

スパムコメントや不正ログインは、ある日突然行われます。
セキュリティ系プラグインの履歴を見ると、サイトと縁もゆかりもないような海外のサイトから、これらを行おうと試みられた形跡が残っています。

今回ご紹介したセキュリティ系プラグインを入れていなければ、全てのスパムコメントへの対応を手作業で行わなければなりません。
不正ログインがあった場合は、WordPressの設定を変更されていないか全て確認し、「外観」の中の「テーマ編集」を開いて、ソースコードの中に不正なリンクの記述がないかを確認しなければなりません。
それこそ、想像もつかないような作業時間を取られてしまうでしょう。

実際、某有名サーバー上のWordPressは、不正ログインによってWordPressの中身が改ざんされてしまうと言った被害が多発して、問題になりました。
明日は我が身です。

今回ご紹介した全ての設定は、1時間もあれば十分に行えるでしょう。
今のうちにあなたのサイトのセキュリティを強化しておく事をお勧めします。

あなたのサイト運営が、より安全なものとなりますように。

にほんブログ村 イラストブログ Photoshopへコンピュータグラフィックス ブログランキングへFC2ブログランキングブログランキングならblogram i2iブログランキング

タグ :  

ホームページ作成 WordPress   コメント:2

この記事に関連する記事一覧

TOPへ戻る