セキュリティは、まずID、パスワード
idはぜっっったいにadminではだめです!!
パスワードはぜっっったいに、誕生日などの予測がつきやすいものはだめです!!
狙われたら2~3時間でハックされます。
ハックされたら、記事が書き換えられるだけではなく、そのワードプレスサイトを拠点に悪質なスパムメールが大量にまかれたり、ウイルスメールが拡散するなどして犯罪に使用される可能性があります。
さらに堅牢なセキュリティ教科を
セキュリティプラグインSiteGuard WP Pluginは、プログラムを使ってログインを繰り返し行う攻撃から守ってくれます。
このプラグインをインストールすると、wordpressの管理画面に、SiteGuardという項目が追加されます。
その機能を順に見ていきましょう。
1.ログイン履歴
まずダッシュボードをみると、ログイン履歴が表示されます。不正なログインが試されていないかをチェックできます。
2.管理ページアクセス制限 → ON
ログインが行われていないと、管理ページのアクセスを、404(Not Found)で返します。
ログインすると、接続元IPアドレスが記録され、当該ページのアクセスを許可します。
WordPressの管理画面のURLは「http://ドメイン/wp-admin/」です。ログインせずにアクセスすると「404エラー」を返します。
これによって管理画面へ侵入を防ぎ、管理画面に関わるファイルへの攻撃も防御します。
ちなみに、mod_rewriteというものについてですが、wordpressが自動インストールされていて、.htaccessというファイルがwordpressのルートフォルダに入っていたら、mod_rewriteがサーバーにロードされていると考えていいです。
3.ログインページ変更→ ON
ログインページのアドレスが変更できます。通常はwp-login.phpとなっていて、予測されやすい、つまり攻撃されやすいので変更しておきましょう。
4.画像認証 → ON
ログイン画面に画像認証を設置できます。「ON」にすると、ログイン画面が表示されます。
ユーザー名、パスワードと一緒に、画像で示された「ひらがな」も入力する必要になります。これによってプログラムによる不正なログインは難しくなります。
5.ログイン詳細エラーメッセージの無効化 → ON
wordpressのログインに失敗すると、入力内容に応じて
・ユーザー名が無効です。
・ユーザー名***のパスワードが間違っています。
など親切に返してくれます。親切すぎるので、「ユーザー名***のパスワードが間違っていますってことは、パスワードが間違ってて、ユーザー名はあっているな」 と分かってしまいます。
この設定をオンにしておくと、ログイン失敗時のエラーメッセージを常に同じ内容にします。
6.ログインロック → ON
繰り返しログインに失敗したユーザーを、一定時間ロックできます。
7.ログイン アラート → ON
管理画面へのログインを通知してくれます。不正なログインに気付きやすくします。
8.フェールワンス → OFF
ONにしておくと、初回のログインを必ず失敗へ導きます。
ちょっと面倒なのでOFFにしてますが、セキュリティ上のハードルを上げたいのであれば、ONにしてください。
9.ピンバック無効化 → ON
ピンバック機能を無効にし、悪用を防ぎます。ピンバック機能が悪用されると、過剰な負荷がサーバーにかかってダウンさせられてしまいます。
10.更新通知 → ON
セキュリティの基本は、常に最新のバージョンを使用することです。WordPress、プラグイン、テーマの更新が必要になった場合に、管理者にメールで通知します。更新の確認は、24時間毎に実行されます。
毎日のようにしょっちゅう管理画面を覗く方はOFFでもいいかもしれません。
11.WAFチューニングサポート → OFF
WebサーバーにJP-Secure製のWAF ( SiteGuard Lite ) が導入されている場合にONにします。
私はWAFを使ってないのでOFFにしてます。
以上です。ツールを上手に使って安全なブログ運営を。