WordPressブログのセキュリティでこれだけは設定したいもの

スポンサーリンク

ワードプレスでブログをスタートする人は多くなったと思います。カスタマイズが色々できて自由に好きなサイトを作れる魅力は大きいですよね。

しかし、ただ始めただけで一切セキュリティ対策を行っていないサイトもあったりします。そういったサイトは乗っ取りの危険性があることを十分に警戒するべきです。

この記事では、ワードプレスでサイトを作り始めた際にやっておいた方が良い設定やセキュリティプラグインについて記載します。

セキュリティプラグイン

プラグインは多く入れすぎると競合の心配や、サイトが重くなりすぎることを心配して使っていない人もいるかと思います。

ここでは必要最低限のものをお伝えしますので、ぜひ設定を行ってみましょう。

SiteGuard WP Plugin

安全に配慮するサイトで、ほぼ使用されているであろうプラグイン「SiteGuard WP Plugin」です。何より無料でありながら高機能、使い方も難しくないものなのでおすすめです。

ダウンロードはワードプレスのダッシュボードから「プラグイン」を選び、画面上部にある「新規追加」からキーワード検索を行うだけです。
※ダウンロード後は必ず有効化しましょう!

セキュリティ項目

プラグイン有効後のおすすめ設定ですが、ログインロックの設定は下のような一番強いものにすることをおすすめします。

期間:30秒
回数:3回
ロック時間:5分

理由なのですが、このサイトに対して行われた不正ログインアクセスの履歴を見ると、大体数十秒の間で2回以上5回以下の回数で攻撃が行われていたことが判明しました。

回数が10回などの設定だと、攻撃者に対して多くのチャンスを与えてしまうことになるので、ぜひ回数は少ない回数に設定しましょう。

Edit Author Slug

上のプラグインと合わせて使いたいのが「Edit Author Slug」です。こちらはログインに必要なユーザー名の割り出しを、ある程度阻止してくれるプラグインです。

インストールと使い方は以下の記事にまとめています。

Really Simple SSL

こちらはサイトのSSL化を簡単に行ってくれるプラグインです。SSL化が済んでいるかは、サイトのURLの頭部分が「http:」から「https:」に変わるので確認しやすいかと思います。

SSLは簡単に言うと、サイトの通信が暗号化されているかどうかについてです。サイトのURLが「https:」の場合はサイトとのやりとりが暗号化され、他者からその内容を簡単に読み取ることをできなくします。

これは、サイト運営者のセキュリティーというよりも、サイト訪問者が安心してそのサイトを使えるかに関わってくる設定だと思ってください。

これが行われていないサイトでは「安全ではありません」のような警告が表示されたりするので、訪問者が落ち着いてサイトを見ることができなくなるというデメリットがあります。ぜひサイトのSSLは行うようにしましょう。

SSLの変更にはこういったプラグインの他に、レンタルサーバーの場合サーバーごとに設定があるので、契約サーバーの変更方法に従い設定してください。設定後にワードプレスの変更はこのプラグインで一気にできます。

おすすめの設定

サイト運営を考える上で、おすすめする設定についてはこちらです。

通知 (ピンバック・トラックバック) のOFF 

ピンバックの機能は、他のブログからの通知を受け取るための機能です。リンクを使ってもらったりすると通知を受け取ることができるのですが、これを悪用しスパム系の通知が多くくることがあります。

正直ほとんど必要ない機能のため、デフォルト設定をOFFにしてしまって問題ないと思います。

設定項目は「設定」の「ディスカッション」にあります。「新しい投稿に対し他のブログからの通知 (ピンバック・トラックバック) を受け付ける 」の項目のチェックを外して画面下までスクロールし変更を保存します。

最後に

今回ここに書いたものは、本当に必要最低限のものだけです。サイトの安全性確保のために、できることは早めに対応するようにしましょう。

ちなみにこのサイトが攻撃を受けたのは、サイト立ち上げから一ヶ月ほど、しかも1日当たりのPV数なんてほとんど0という段階のときでした。

その時の記事も一応おいておきます。

サイトの乗っ取り被害にあうと、最悪の場合サイトが停止されたりする可能性もあるので、セキュリティー対策がまだの方は早めに対応しておきましょう。