MENU
づぼら
画像は飼い犬
2021年からブログ開始
”毎日挑戦”を掲げて自分の経験や体験を記事にしていこうと思います。会社経営の傍らブログ運営中

【挑戦】ワードプレスの最低限のセキュリティ対策をしよう

ワードプレスではじめてのセキュリティ対策をしていきます。

たしかプラグインを使うんだったかな?

前回「XO Security」を導入するよ~までお話ししましたが今回はプラグインの設定も含めて、づぼらブログのセキュリティ対策をご紹介します。

セキュリティ対策に絶対はありませんので常に新しい情報に更新することが必要です!

それでは見ていきましょう!

目次

レンタルサーバーのセキュリティ対策の確認

僕の記事を見ていただいた方はご存じかもしれませんが、このブログはロリポップ!というレンタルサーバーを使用しています。

そのレンタルサーバーでついてくるセキュリティ対策が2つあります。無料のやつが。

ロリポップセキュリティ対策
管理画面メニュー
WAF

WAFとは、ウェブアプリケーションファイアウォールのことです。
ざっくりですが”ウェブサイトに対する攻撃をブロックしてくれる機能”と紹介ありました。
大体のレンタルサーバーではついてくる機能だと思いますので、確認してみるといいと思います。

海外アタックガード

海外アタックガードとありますが、要は国外IPアドレスに対してのアクセス制限です。
通常の閲覧は制限しませんが、ワードプレスなどの管理画面やファイルへのアクセスをブロックします。

サーバー側で準備されている無料のセキュリティ対策なのでありがたいですね。

セキュリティなんて専門家が知識と経験で飯を食っていける分野ですから、僕みたいな利用者は信じて適用するしかないので使っていきます。

この設定はロリポップ!ではONかOFFのしかないので迷わずONにしました。詳細の設定ができるレンタルサーバーとかあるのかな?

ロリポップ!のWAFでは1日100件、過去7日間の検知した履歴を見ることができます。

追記 SWELL開発者の了さんがロリポップのWAF勘弁してほしいと言ってた。。。
それだけ強力ってこと?

プラグイン導入

正直ここはWordfence SecurityXO Securityで迷いました。

セキュリティレベルではWorldfenceですが、ちょっと英語ばかりだし設定も難しそうだったのが最大の理由

その点XOSecurityは国産プラグインですから日本語でわかりやすい!

完全初心者の僕にはうってつけですよ。

主にログイン関連のセキュリティ対策をしていく形になります。

詳しい設定方法は”やりすぎセキュリティ”のぷっぷさんの記事を参考にしました。

https://excesssecurity.com/xo-security/

引用:やりすぎセキュリティ

ぷっぷさんの記事はとても参考になります。これからも参考にしちゃいます。

実際の設定

まずインストールして有効化をしただけでログイン情報がダッシュボードに表示されます。

さらに詳細がユーザータブのログインログで確認できるようになります。

正直僕はこれだけで感動しました。

誰かがログインを試みたか丸わかりになるからです。

これで不正ログインの察知がスムーズにできますね。

とりあえず今回はログの収集と試行回数制限や遅延などの設定をしておきます。

ログイン画面
ログイン画面

しばらく時間が経ってログインログを見てからログインページ変更など検討します。

現時点で気になるのは、どれくらいのログインログが取れるのかと他人が試行回数制限でロックしたら自分はログインできなくなるのかの2点

後日追記します。

追記 3月19日 不正ログイン検知しました。
僕の勘違いじゃなければ(;^_^A

ログインログ

その他

基本ですが、ワードプレス管理画面に入るためのユーザー名とパスワードは絶対に他人に教えてはいけません!

そんなの当たり前だろ!とか怒られそうですがユーザー名には注意が必要です。

意識していない人は1度ユーザー名とニックネームが同じになっていないか設定を確認しましょう。

次にパスワードですが、よく言われることを守ればいいと思います。使いまわさないとか。複雑に長くみたいな。

まぁここは試行回数制限でブロックしましょう。

最後が1番重要です。ワードプレスやテーマ、プラグインを最新の状態に保つこと!

もう最後はこれです。ユーザー名とパスワードを適正に管理できればソフトウェアの脆弱性をつくくらいしかないからです。

まとめ

最低限のセキュリティ対策をしようということでしたが基本は自衛です。

情報管理を適切に行い、できるかぎりのリスク回避をしていきましょう。

  1. レンタルサーバーのサービスの活用
  2. ログイン情報の収集、察知
  3. ユーザー名とニックネームを変える
  4. ワードプレスやプラグインの更新を怠らない

セキュリティ対策に終わりはありませんね。

セキュリティ対策

この記事が気に入ったら
フォローしてね!

よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

コメント

コメントする

CAPTCHA

目次
閉じる