セキュリティ

簡単にホームページが作れてカスタマイズもしやすいため、WordPressで作られているサイトはたくさんあります。その分、攻撃の対象にもなりやすいという側面もあります。 そこで今回は、WordPressのセキュリティ対策として、総当たり攻撃を防ぐ5つの技を紹介します。   総当たり攻撃ってなに? 「総当たり攻撃」とは、ユーザのアカウント・パスワードをツールなどを使って、手当たり次第に入力してログインしようとする攻撃のことです。ブルートフォースアタックという場合もあります。 総当たり攻撃でログインが成功されてしまうと、Webサイトを書き換えられたり、サイトが壊されてしまうことがあります。   1.複雑で長いパスワードにする 総当たり攻撃では、さまざまな文字列でアカウントとパスワードを入力していきますが、パスワードが長ければ、ログインができるまでに時間がかかります。また、よくパスワードに使われるリストを使ってログインを試みる手法もあるので、数字や記号などを混ぜたランダムなパスワードの方が安心です。 パスワードの変更は、カスタマイズやプラグインの導入などしなくてもできる対策なので、アルファベットだけだったり、文字数の少ない単純なパスワードを使っている方はすぐに変更しておくことがおすすめです。   2.ログインアドレスを変更する そもそも、ログインページにアクセスできなければ、。WordPressのログインアドレス、デフォルトのままだと簡単にアクセスできてしまいます。そこで、ログイン画面のURLをインストールしたときのものから変更しておくと安心です。   3.画像認証などを取り入れる WordPressには通常アカウントとパスワードがあればログインできますが、そこに画像認証を追加することで、総当たり攻撃からサイトを守る方法があります。 画像認証で使う画像をひらがなにすることで、海外からのハッカーからの攻撃に備えることもできます。もしも画像認証を取り入れるときは、ひらがなの入力が使えるなら、セキュリティを高めるためにもそちらを選択しておきましょう。   4.ログインロックを取り入れる 総当たり攻撃の場合は、ランダムにパスワードを入力してログインできるか試していくという性質上、実際にログインできるまでにログインに失敗をします。 そこで、何度かログインに失敗した場合、その接続元を一定期間アクセスを制限するログインロックという方法もおすすめの対策です。   5.正しいログイン情報でも一度ログインに失敗する フォールワンスとう機能で、正しいログイン情報であっても、一度ログインに失敗させるという方法で、セキュリティを向上させるという方法があります。   パスワードリスト攻撃という、他のサービスなどから流出したパスワードリストを元に、ログインを試みるという攻撃があります。この機能はこのような攻撃の防御に有効です。   プラグインで簡単に対策を! 今回ご紹介した対策ですが、実際に導入しようとすると、方法が分からなかったり、手間がかかるのではないかと、後回しになってしまいがちです。ですが、実はプラグインを使って簡単に導入することができます。 総当たり攻撃対策におすすめのプラグインが「SiteGuard...

データが壊されたり、サイトの閲覧者に有害な動きをするように書き換えたりされるハッキング。自分には関係ないことのような気がしますが、サイトを運営している以上、だれでもハッキングされる可能性はゼロではありません。   Wordpressを使ったサイトの割合は、すべてのウェブサイト全体の3分の1ととても高くなっています。   それは、その分ワードプレスに脆弱性があっりそこをついてハッキングをする手法が発見された場合、ウェブサイト全体の3分の1のサイトがそのハッキング方法が有効である可能性があるといういことなのです。 しかし、WordPressをハッキングから防ぐ方法もあります。そこで、今回は安全にサイトを運営するために、ハッキングからWordpressで作ったサイトを守るための方法をご紹介します。   Wordpressを最新版に更新 Wordpressをハッキングから守るうえで重要なことは、Wordoressの本体やプラグインを最新版にしておくことです。 Wordpressはバージョンアップすることで、Wordpressに含まれていた脆弱性を解消しています。古いバージョンのままだと、脆弱性を使ってハッキングされてしまう可能性が高くなります。   Wordpress本体だけでなく、プラグインのアップデートも忘れずにチェックするようにしましょう。   Wordpressのログイン認証を二段階認証などへ変更 管理画面へのログイン画面へのIDとパスワードは、複雑なものにすることや、ほかのサイトと同じものを使わないということはだいぶ周知されてきました。 そこで、もう一歩踏み込んで、二段階認証などIDとパスワードの入力以上の手順を踏まないと管理画面にログインできないようにすると、安全度がぐっと上がります。 二段階認証は「Google...

なんとなくWordPressでサイトを作っていたら、いつの間にかページを表示させるのに時間がかかるようになってしまった!という経験はないでしょうか?どんなに面白いコンテンツのサイトでも、表示に時間がかかるサイトはあまりアクセスしないですよね。 そこで、WordPress作成したサイトの高速化するためにできることをご紹介します。 不要なプラグインを停止 WordPressには様々なプラグインがありますが、プラグインの種類によっては、ページを表示するまでのスピードを遅くしてしまうものがあります。現在有効化されているプラグインを確認して、もしも使っていないプラグインが有効化されている場合は停止してみてください。 画像のサイズを最適化 WordPressで作成したサイトも一般的なWebサイトでも同じように、記事内で使用されている画像のサイズが大きいとページの読み込みが遅くなってしまいます。画像のサイズをチェックして、大きすぎる場合はリサイズをしたり、画像を圧縮してから追加するようにしてください。 記事の追加を簡単にできるようにWordPressを使っているのでできれば手間をかけたくないという方は、自動的に画像サイズを圧縮してくれる「EWWW...

あなたのWordpressサイト、ハッキング対策はしっかり行っていますか? Wordpressは誰でも簡単に使いこなせるオープンソースのソフトウェアですから、その分ハッカーの攻撃対象になりやすいという面があります。ハッカーの攻撃を受けると、個人情報の流出やサイト内のデータ改ざん、スパムメールの大量送信など大きな被害を受けるおそれがあります。「まだアクセス数が多くないから大丈夫だろう」と油断せず、しっかりハッキング対策を行いましょう。 Wordpress初心者の方が今すぐできるハッキング対策をまとめました。 WordPress、テーマ、プラグインは常に最新バージョンにアップデートする Wordpress、テーマ、プラグインは、不具合やセキュリティ脆弱性が修正された最新バージョンに保つようにしましょう。 Akismetを有効にする Akismetプラグインは、スパムコメントを自動で判別してブロックしてくれるプラグインです。Wordpress導入時にデフォルトでインストールされていますので、必ず有効にしておきましょう。 二段階ログイン認証を設定する ・BASIC認証を設定する BASIC認証は、ユーザーIDとパスワードでアクセス制限をかける基本的な認証設定です。簡易的なものですのでこれを設定すれば安全というわけではありませんが、公開前のサイトを関係者だけに公開したり、検索エンジンにインデックスされるのを防ぐことができます。 BASIC認証の設定方法はこちら 構築中のWordPressサイトを限られた人だけに公開したい ・Google...

レンタルサーバー上で構築中のWordpressサイトを、完成するまでは非公開にしたい、またはクライアント様など限られた人にだけ公開したい、という場合も多いと思います。BASIC認証を設定すると、ユーザー名とパスワードを知っている人にだけサイトを閲覧させることができます。 BASIC認証の設定方法はいくつかありますが、ここでは人気の高いレンタルサーバーであるXSERVERでの設定方法と、プラグインで設定する方法の2つをご紹介します。 <補足:BASIC認証とは> HTTPで定義される認証方式の一つで、Base64とよばれる64種類の英数字(A-Z、a-z、0-9)のみを使用してエンコードします。最も簡単に導入できる認証方式ですが、同時に解読や改ざんも容易にできてしまうという弱点があります。あくまでも一時的・簡易的で必要最低限の認証方式であること考慮して使用する必要があります。 XSERVERでBASIC認証を設定する方法 1.XSERVERの「サーバーパネル」にログインし、「ホームページ」―「アクセス制限」をクリック。 2.アクセス制限を設定するドメインを選択 3.サイト全体にBASIC認証を設定したい場合は、「現在のフォルダ」のアクセス制限を「ONにする」をクリック。 「BASIC認証の設定の変更が完了しました」と表示されたら...

ワードプレスで安心してサイト運営をするために ワードプレスは無料で使えて、htmlの知識がなくてもページの作成がしやすいシステムです。さらに、オープンソースソフトウェアなので、PHPの知識があれば自分の好きなようにカスタマイズをすることができます。 その一方、オープンソースであるがゆえに脆弱性が発見されやすく、ハッカーの標的になりやすいというデメリットもあります。 そこで、今回はワードプレスで安心してサイト運営をするために、セキュリティを強化する方法をご紹介します。 ワードプレス本体やプラグインのバージョンを最新のものに ワードプレスは、脆弱性が発見されるとバージョンアップをして対応しています。ワードプレスやインストールしているプラグインで最新のものが公開されたら、すぐにアップデートするようにしましょう。 ワードプレスの更新は、管理画面の[ホーム-更新]メニューで確認することが出来ます。こまめにチェックをしておきましょう。       プラグインは使っているものだけインストールする インストールしているプラグインに脆弱性があると、そこを狙ってサイトを攻撃される可能性があります。できるだけその危険性を減らすために、使用していないプラグインはアンインストールをして、サーバー上から削除してしまうほうがセキュリティ上安心です。 ユーザー名とパスワードは第三者に分かりにくいものを ユーザー名とパスワードは、第三者に予測されにくいものを設定するようにしましょう。ユーザー名は「admin」のままではなく、別のものに変えておきましょう。また、パスワードは英数字を混ぜたランダムな文字列を設定するようにしましょう。 「wp-config.php」はアクセス不可に設定を wp-config.phpには、データベースのアカウント情報が記載されています。このデータベースのアカウント情報がハッカーに知られてしまった場合、データベースを操作されて、サイトを壊されたり、情報を書き換えられたりということが可能になってしまいます。 外部からアクセスされないように、wp-config.phpと同じ階層の「.htaccess」に次のコードを追加することで、外部からアクセスできないようにしておきましょう。 [code] <files...