ワードプレスがどのようにハッキングされるかをハッカーの視点から考えてセキュリティーについて考えていきます。このことによりよりワードプレスのセキュリティー対策について深く理解できるかと存じます。
ハッカーは、ワードプレスサイトで脆弱性があるサイトを主にGoogleの検索結果から探し出します。ゆえに検索結果にサイトが掲載されている限り、どのような小規模な店舗のサイトでも狙われる可能性があるということになります。
1 ワードプレスとプラグインをなるべくこまめに更新します(プラグインは多くても10個程度までとします)
ワードプレスサイトをハッカーが見つけたら、そのサイトに脆弱性がないかどうかハッカーは探ります。
ゆえに、古いプラグイン・テーマやワードプレスの本体、かつ、それなりに多くの人が使っているプラグインを導入されていて脆弱性が明らかになっている場合、改ざんを受ける可能性が高くなります。
※プラグインやテーマの脆弱性は公開されているものも多くあります
プラグインやテーマ、ワードプレス本体はなるべく最新のものに保つ方がハッキングを受ける可能性が低くなります。
とはいえ、テーマをカスタマイズしていたり、プラグインをアップデートした際にサイトに不具合が出る可能性もございございますのでなかなか更新をされるのも躊躇されるかとは存じます。
更新時にサイトに何らかの不具合が出る可能性は弊社の経験上下記のようになります。
- 半年間放置したサイトのワードプレス本体とプラグインの更新 不具合確率10%以下
- 1年間放置した際のワードプレス本体とプラグインの更新 不具合確率20%以下
- 3年放置した際のワードプレス本体とプラグインの更新 不具合確率30%以下
- 5年放置した際のワードプレス本体とプラグインの更新 不具合確率50%以下
こまめに更新をされれば不具合の可能性は低くなりますが、テストサイトという同じサイトのコピーをどこかに作っておいてそちらをアップデート実施の上、不具合が無かったら本番サイトを更新するという方法をとるとより安全です。
2 パスワードを強力なものにしましょう
脆弱性がないサイトでも、ワードプレスの管理者権限のパスワードがわかればログインして不正なコードを埋め込むなどしていかなるサイトのファイルの改ざんもできるようになってしまいます。
ワードプレスの管理者権限のパスワードは、ワードプレスがが自動生成するパスワードにされるか、半角英数大文字小文字数字を含む無意味な12文字以上の文字列にされてください。
3 セキュリティープラグインの導入
①ワードプレスドクター マルウェアスキャナープロ
ワードプレスドクターが開発したセキュリティーと、マルウェア検査が同時にできるプラグインです。セキュリティー機能は高にされることをお勧めいたします。
ワードプレスドクター マルウェアスキャナープロについてもっと詳しく
②All In One WP Security & Firewall
All In One WP Security & Firewallは、多少設定が煩雑ですが高度で多様なセキュリテイー対策をワードプレスに追加できる無料のプラグインです。
設定例としましては下記を最低限有効にされることをお勧めいたします。
・管理画面>WP Security>User Login Enable Login Lockdown Feature:にチェック
・管理画面>WP Security>Firewall
Enable Basic Firewall Protection:にチェック
Disable Pingback Functionality From XMLRPC:にチェック
Block Access to debug.log File:にチェック
・管理画面>WP Security>Firewall>Additional Firewall Protectionタブ
すべてにチェック
・管理画面>WP Security>Brute Force Enable Rename Login Page Feature:にチェック ※ログインページURL変更先を設定されてください
・管理画面>WP Security>Filesystem Security
すべてのファイルのパーミッションを推奨(緑色)にします
・管理画面>WP Security>Brute Force>Login Captchaタブ
GoogleRecaptcha を導入されない場合はそれ以外を全部チェック
・管理画面>WP Security>Brute ForceSPAM Prevention
すべてにチェック
③Wordfence Security
Wordfence Securityは、脆弱性パッチ、WAF(ワードプレス側)、マルウェアスキャンも搭載されているプラグインで世界で最も普及しているものかと存じます。
ただ、UIがわかりにくいのと、サイトの速度を低下させることもありますのであまりお勧めはできないかと存じます。
※SiteGuardがおすすめできない理由
SiteGuardは、多くのサイト様に導入されていますが、そのセキュリティー対策がログイン関連に偏っておりその点は大変優れたプラグインです。ただ、前述のハッキング手法のうちでもプログラムの脆弱性を突くハッキング手法によりハッキングされることも同様に非常に多いことから、このプラグインを導入していても残念ながらハッキングされているサイトは多数ございます。
ログイン画面のセキュリティーは上記のプラグインにもすべて含まれていますのでログイン画面セキュリティーとそのほかのセキュリティー機能が多く含まれるプラグインに一本化されることをお勧めいたします。
\ 他社の制作したワードプレスサイトもOK ! /
ワードプレスの制作・復旧・修正・カスタマイズのご相談・ご依頼はこちらから
コメントを投稿する