WordPressでブログは始めたばかりのそこのアナタ。
セキュリティ対策、ちゃんとやれますか?
- WordPressでセキュリティ対策って何やれば良いの?
- セキュリティ対策情報多すぎ!初心者には難しすぎる!
- 会社でWordPress使うことになったけど、聞ける人がいない…
- とりあえず「これだけやっておけばとりあえずOK」ていうの教えて!
その気持ち、わかります。
いろいろ調べたり勉強したりして、やっとサーバも契約、WordPressをインストールして、さあ、記事を書こう!と思っていたところに
WordPressはセキュリティ対策をしっかりしていないと、危険だよ!
という注意書きをTwitterとかで見かけて無視もできず、心配になってしょうがない…。
そんなことになっていませんか?
今日はそんなアナタのための記事、「WordPress初心者のアナタだけ読んで欲しい。最低限のセキュリティ対策3つ」
を教えます。
ちなみに僕はセキュリティ対策の専門家ではないですが、大学卒業後、約20年近くずっとWeb関連の仕事に携わっています。
過去の職場でWordPressの保守も業務として携わっていました。
このブログも運営3年ほど。
なのでWebとWordpressについては多少詳しいつもりです😊
WordPressのセキュリティ対策はとりあえずこれだけやっておいて!
とりあえずこれだけやっておけばひとまずはOK、という
WordPressのセキュリティ対策は3つ。
- ログインページアドレスの秘匿
- ログインページの画像認証
- ユーザーIDの露出対策
なお、この3つはひとつのプラグイン
「SiteGuard WP Plugin」(無料!)で
すべて対策可能です。
一つずつ見ていきましょう。
ログインページアドレスの秘匿
一言で言えば、管理ページのアドレスを秘匿する対策です。
WordPressの標準機能では対応していないため、プラグイン「SiteGuard WP Plugin」をインストールする必要があります。
WordPressは何の対策もしていないと、管理ページのアドレスを直打ちすれば誰でも管理ページにたどりつけてしまいます。
そのための対策が1つ目。
ログインページの画像認証
2つ目はログインページを秘匿するだけではなく、ログインページでIDとパスワードの他に、画像認証機能を追加します。
これは万が一管理ページにたどり着かれてしまっても、画像認証機能を挟むことで、攻撃ツールなどによる総当りログイン攻撃を防御したり、日本語が解読できない攻撃ロボットや人を弾く対策です。
ユーザーIDの露出対策
3つ目。
これ以外と対策忘れる人多いみたいです。
例えば、アドレスバーに
http://アナタのブログのドメイン名/?author=1
とアドレスバーに入力してエンターキーを押してみて下さい。
そうするとアドレスバーにアナタのユーザーIDがアドレスの一部になって表示されてしまうんです。
ユーザーIDが第三者に丸見えになっていては攻撃者に手がかりを与えてしまいますので
これも対処します。
(僕のブログもさくのーと。は対策済みですから見れないですからね。)
では、次の段から具体的な設定方法をご案内。
管理ページログインアドレスの秘匿設定について
1つ目に管理ページログインアドレスの秘匿設定についてその必要性と対策手順についてお話します。
管理ページのログインアドレスを隠す必要性
WordPressをインストールしたあと、管理ページにログインしましたよね。
その管理ページのアドレス、
http://アナタのブログのドメイン名/wp-login.php
(例:このブログなら「https://www.suan-mosaku.net/wp-login.php」)
になっているはずです。
もしアナタのブログを見ている人が好奇心やちょっとしたイタズラ心から、上のアドレスを直接入力したら、管理ページが見られてしまいます。
(※僕のブログは対策してあるので管理ページは出ませんよ。笑)
もちろん、ログインIDとパスワードが分からなければログインすることはできないですが、管理ページが誰でも見ることが可能な状態になっているのは危険です。
銀行で例えると、
金庫の扉の前まで、従業員だけでなく
取引先の営業マンや
「顧客や通りすがりの人」まで
行けることが可能な状態
ということ。
どれだけ危険かわかりますよね、
最近では攻撃用のツールなども多種多様なものが出回っているようで、「AIを使って総当りでログインを試みるツール」
なんかもあります。
金庫の前に誰でも立てる。
じゃあ、「悪意を持つ人が金庫の扉を破壊するツール片手に現れたら?」
突破される危険は言うまでもないですよね。
こんなことにならないよう、まず、「金庫の扉の場所(管理ページ)を限られた人しか見られないように秘匿、隠匿する」
必要があります。
そのためのWordPressのプラグインがこちら。
SiteGuard WP Plugin – WebセキュリティのEGセキュアソリューションズ
https://www.jp-secure.com/siteguard_wp_plugin/
このプラグインは無料な上、WordPressのセキュリティ対策について一通りの機能を備えているオススメのプラグインです。
設定項目もわかりやすく、項目名も日本語で扱いやすい。
ログインページの秘匿の設定方法
設定自体はとてもカンタンです。
まずはSiteGuard WP PluginをWordpressにインストールしましょう。
WordPress管理ページにログインし、左メニューに有る、「プラグイン」をクリック、プラグインを検索します。
設定はこれだけです。
(※「変更を保存」を意外と押し忘れしやすいので注意!)
一度ログアウトして
http://アナタのブログのドメイン名/wp-login.php
アドレスバーに直接打って管理ページが出ないか確認までしてみてくださいね👍
ログインページの画像認証
つぎにログインページの画像認証についてです。
ログインページの画像認証の必要性
基本的に第三者に管理ページが見られる状態になってはいけませんが、万が一見られてしまっても、もう一つ、画像認証機能を掛けておくことで攻撃ツールの総当りを防御する対策になります。
最近では、
「画像認証機能なんて今どき意味がない」
と言っている人もいるようですが、セキュリティ対策のポイントは「多重防御」です。
攻撃の時間と手間が増えれば増えるほど、「割りに合わない」とされて攻撃者が立ち去る可能性が高くなる。
逆に突破までのコストが小さいところは狙われやすくなる。
たとえ小さな一手だとしても、攻撃者のハードルになることなら
やったほうが良いと僕は思います。
ログインページの画像認証
この対策も
SiteGuard WP Plugin
というプラグインで対策できます。
(※「変更を保存」を意外と押し忘れしやすいので注意!)
これで終わりです。カンタンですね😊
余談ですが、この認証文字は「ひらがな」をオススメします。
漢字は中国圏の攻撃者にも馴染みがあるので読み取られる可能性が高いとか。
「ひらがな」は世界でも日本だけの固有な文字なので多少はツールによる解読の可能性が下がると言われています。
気休め程度かもしれませんが、そんなに手間にならず、1%でもリスクの確率が減るならこれもやっておいたほうが良い。
ユーザーIDの露出対策
3つ目、最後にユーザーIDの露出対策についてです。
ユーザーIDの露出対策
これもかなり危険度の高いリスクポイントだと思いますが
ドメイン名の後ろに「/?author=1」をつけて、エンターキーを押す。
すると、
1番目にユーザー登録されたユーザーのIDがアドレスバーに露出します。
(多くの場合、管理者のユーザーIDになる)
IDとパスワードは基本的に第三者に教えないと思いますが、対策してないとIDが誰でも見られる状態になってしまうのです。
なので対策しておいたほうが良いのは言うまでも有りませんね。
ユーザーIDの露出対策 設定方法
この対策もSiteGuard WP Pluginで対応可能です。
これで終わりです。
(※「変更を保存」を意外と押し忘れしやすいので注意!)
セキュリティ対策は多重防御が基本
先にちらっと触れましたが、セキュリティ対策のポイントは「多重防御」です。
銀行に例えますが、金庫の扉って、扉が2重3重にかけてありますよね。
ミッション・インポッシブルとか、ハリウッド映画でよくあるやつです。
鍵、指紋認証、声紋認証、虹彩認証、日替わりのパスワード…などなど。
あれは突破まで手間をどれだけ増やすか、つまり
「攻撃者から突破されるまでのコストをどれだけ増やせるか」
ということ。
Webの攻撃者は多くの場合、
攻撃者の手口の一例
- ツールによるサイトの一斉検索
- 脆弱性のあるサイトをリスト化
- 攻撃ツールによる総当り攻撃
こんな感じでほとんど自動化されています。
なのでまずは
最低限のセキュリティ対策をしておき、まず攻撃対象のリストに載らないようにする。
仮に攻撃対象にされても、突破までのコストがかかるほど、攻撃者はめんどくさくなって次に行く。
だから、わずかな一手でも対処しておくほうが良い。
今日のご紹介した対策はWebやWordPressに不慣れな人でも30分もあればできるはず。
やっておいて損はありません。
アナタが思ってる100倍怖い不正ログイン。その理由は…
アナタが頑張って作ったブログです。
攻撃されたらイヤですよね。
不正ログインの対策しておいたほうが良いのは言うまでもないですが、攻撃の被害にあったとき、その危険性については、意外と説明が少ないように思います。
なぜ対策する必要があるのか?
危険というけれど、何がどれくらい危険なのか?
不正ログインされたら自分のブログが改ざんされたり、データを抜き取られたりする。
最近流行りの
「ランサムウェア」みたいに、データの回復の代わりに身代金要求されたり。
ランサムウェア被害防止対策
警察庁 | サイバー犯罪対策 https://www.npa.go.jp/cyber/ransom/index.html
でもそれだけといえばそれだけでしょ?
不正ログインされても自分のブログは大した情報なんて無いし、
いざとなればまた作り直すからだいじょぶ、だいじょぶ。
そう思っている人もいるかもしれませんが、不正ログインされた場合のリスクはもう一つあるんです。
- サイトが乗っ取られて改ざんされ、ウィルスを撒き散らす危険なサイトに書き換えられる。
- フィッシングサイトなど危険なサイトに書き換えられる。
- 攻撃者の次の攻撃のための踏み台として利用される。
ということ。
攻撃者は始めから個人や小規模のサイトから大金や貴重なデータが手に入るとは思っていません。
せいぜい「なんか見つかったらラッキー」くらい。
攻撃者が狙っているのは「もっと大きな攻撃に向けた踏み台や囮にできるサイト」
を探しているのです。
それこそ、銀行のサイトや行政、政府機関などへの大規模な攻撃を仕掛けるための踏み台にできる、セキュリティ対策の甘いWebサイトを探す。
WordPressでブログを開設してみたけど、面倒になってほったらかしにしているうちに乗っ取り被害に遭っていた。
それにも気づかず、どこかの銀行のサイトへの
攻撃の踏み台サイトにされていて、被害にあった組織、団体から連絡が入ってようやく気づいた…。
最悪、警察等の捜査機関からアナタに連絡が来ることも・・。
そんなことにならないよう、きちんと対策しましょう。
他の人にウィルスを撒き散らすようなことでは迷惑にもなりますし。
(参考ページ)
【まとめ】WEBサイトへの踏み台攻撃対策10選|ブログ|NRIセキュア
https://www.nri-secure.co.jp/blog/springboard_attack
FAQ ハッキングされた場合は – サポートフォーラム – WordPress.org 日本語
https://ja.wordpress.org/support/article/faq-my-site-was-hacked/
他人事ではない不正ログイン。過去の職場でも・・・
僕の過去の職場で起きた乗っ取り被害
「そうは言っても不正ログインなんてめったに起きないでしょ?」
と思っているそこのアナタ。
そんなに遠い世界の話でも無いんですよ、これが。
なぜなら僕の過去の職場のお客様で、実際に不正ログインされ、Webサイトの乗っ取り被害にあったケースがありました。
いつもどおり出勤し、さて仕事にとりかかろうとしたら、お客さんから電話がかかってきて、
「なんかウチのホームページが大変なことになってまして…」
と困惑した声で連絡が来ました。
何が起きたのか?と思ってお客さんのWebサイトを見てみると
真っ黒な背景に赤、緑、チカチカと点滅する文字で、アラビア語で何やらたくさんのメッセージが書いてある
見るからに「乗っ取られました!」ということが分かる状態。
とにかくエンジニアに連絡し、直ちにサイトを停止、サーバー上にあるデータを全て削除して、手持ちのデータをアップロードさせてなんとか回復。
このときのお客さんは小規模な事業者さんで、会社紹介とお問い合わせフォームくらいしかコンテンツが無く、被害は少なくて済んだのですが、もしネットショップや、会員制のサービスなんかを展開していたら、
もっと大事になっていたでしょう。
ハッキング(クラッキング)行為の被害状況のデータ
過去の事例でいうと、ちょっと古いですが2017年に世界中のWordPressのサイトの約150万サイトが被害にあった事例があります。
WordPressサイトが改ざんされた?!改めて気を付けたいWebサイトセキュリティの注意点
セキュリティ通信 https://securitynews.so-net.ne.jp/topics/sec_20017.html
WordPressで作られたサイトは世界中にそれこそ星の数ほどあります。
ということは、当然攻撃者からも狙われやすくなる。
これはコンピュータウィルスがWindows向けに多いのと理由は同じ。
シェアが多い=ターゲットが多い
ということ。
市場原理と同じなんです。
得られるものが同じなら、150件攻撃するより、1,500,000件攻撃した方が得、ということ。
当然ですが、攻撃者は150万件ものサイトを1件ずつ手作業で攻撃していたたわけではなく、何らかのツールやロボットを使用して攻撃しています。
攻撃者は片っ端から自動でサイトに攻撃を仕掛けていると思いますので、アナタのブログも、もちろん僕のブログも
いつターゲットになるかわかりません。
攻撃の被害に遭うリスクはいつでも誰でも起こりうる。
そう思っていて間違いないです。
だからこそ、せめて最低限の対策だけでもしておきましょう😊
アナタのWordPressにも最低限のセキュリティ対策を!
というわけで、
WordPress初心者のアナタだけ読んで下さい。最低限のセキュリティ対策3つ
という記事でした。
この記事で紹介したセキュリティ対策は
プラグインをインストールしてちょっと設定を変更するだけ。
ブログ初心者の方でもやりやすいと思います。
- ログインページアドレスの秘匿
- ログインページの画像認証
- ユーザーIDの露出対策
ただし、今回話したセキュリティ対策は基本中の基本。
セキュリティ対策は多段防御。
やろうと思えばまだまだやれることはあります。
やってもやってもキリが無いので、どこかでバランスを取らないといけません。
お金も時間も無限じゃないですからね。
WordPressはブログやWebサイト制作を仕事にしている人たちにとって、たしかに便利。
でも、
- WordPressでブログを始めよう!
- WordPressなら誰でもブログをきれいなデザインで作れる!
- WordPressはブログだけでなく、会社のオフィシャルサイトやECサイトもかんたん!
みたいにWordPressの良いところばかりフォーカスされてる記事はよく見かけますが、反面、セキュリティ関係の注意については意外と情報が少ないように思ったので今回この記事を書いてみました。
もしアナタがWordPressでブログを始めたばかりで、
- WordPressでセキュリティ対策って何やれば良いの?
- セキュリティ対策情報多すぎ!初心者には難しすぎる!
- 会社でWordPress使うことになったけど、聞ける人がいない…
- とりあえず「これだけやっておけばとりあえずOK」ていうの教えて!
ということに困っていたら、今日の記事が参考になれば嬉しいです
ポチップ
もし、不正ログインの被害にあってしまったら…
できれば避けたいところですが万が一不正ログイン被害にあってしまったら、素人が頑張っても時間がかかるだけです。
一人で適切に対処すること自体が難しいのでここはプロにおまかせしましょう。
こちらのサイトロックさんをオススメしておきます。
以前の職場で被害に遭ったお客様ですが、当時の職場でまさにこちらのサイトロックさんの契約をしていたので無事復旧に至ったからです。
個人ユーザーはともかく、会社でWordpressの担当者になってしまって、しかもWebに関して経験や知識が自信無ければいざという時のために申し込んで置くことをオススメします👍
企業の場合、「被害に遭う前の防御」も、「被害に遭ったあとの復旧」も、どちらも重要な対応になります。
時間を負うごとに損害がドンドン増えていきますからね。
ここはセキュリティの専門家、プロフェッショナルにお任せしておきましょう。
年額4,620円(税込み)なのでそれほどの負担はないでしょうし。
もう一つ、企業ユースでWordPressを使う場合、ログイン認証でオススメのサービスがありますので
あわせてご紹介しますね。
0円から使える本人認証サービス Value-Auth(バリューオース)
こちらは会員制のサービスでの会員登録や
ログインが必要なWebサービス、ECサイトなど、SMS・メール・電話を使って認証番号を送信し、本人確認するサービスです。
特にECサイトを運営する場合は導入したほうが良いと思います。
企業の担当者レベルで
セキュリティの専門知識がある人は少ないでしょうし、そもそも専門家になる必要もないので
企業の場合は、アウトソースできるところはしたほうがお得です。
e-Auth(バリューオース)さん最小プランは0円ですし👍
ブログを始めたばかりのアナタにオススメの記事
ブログを始めると記事を書くだけでも大変なのに、セキュリティ対策とか、SEOとか、記事以外でいろいろ考える事が出てきて疲れちゃいますよね。
僕は一応ずっとWeb関連の仕事をしてきたのですがそれでもやっぱり大変でした。
一週間に1記事アップするのがやっと。
毎日アップなんて絶対無理。
そんな僕でも3年かかって、ようやく100記事書けました(笑)ので、もしブログを書き始めたアナタの参考になれば幸いです!
その他にもこれまで携わった
Webの仕事の経験について書いた記事もありますので
興味があれば読んでいってください
