Wordpressセキュリティ対策

Wordpressサイトを運用していて、「完成前のWordpressサイトを非公開にしたい」「制作中のランディングページを関係者だけに公開したい」などサイト単位やページ単位で閲覧を制限したい場合があると思います。 そのような場合に便利な、サイト全体やページ単位でのパスワード設定方法をご紹介します。プラグインを使った簡単な方法からhtaccessファイルで設定する方法まで、やり方はいくつかありますのでまとめました。 ページ単位で保護する ページ単位でのパスワード設定は、Wordpressの設定から簡単にできます。 パスワードをかけたいページの公開状態の設定欄で「ステータス」欄の「編集」をクリック 「パスワード保護」にチェックを入れパスワードを設定するれば完了です。 BASIC認証でサイト全体を保護する BASIC認証とは Webサイトの閲覧に使うプロトコル「HTTP」で定義されるユーザ認証方式の一つで、サイトにアクセスしたユーザーにユーザー名とパスワードを入力させることでサイトを保護する認証方式です。簡単に導入できる反面、解読や改ざんも容易にできてしまうという欠点がありますので、あくまでも一時的・簡易的なサイト保護方法として使用しましょう。 プラグインで設定する方法、サーバー(XSERVER)側で設定する方法、htaccessファイルで設定する方法があります。 Password protectedプラグインを使う Password ProtectedはWordPressのサイト全体にパスワードをかけることができるプラグインです。 1.こちらからプラグインをダウンロードして、サイトにインストールます。 2.Wordpress管理画面から「設定」-「パスワード保護」をクリックするとPassword Protectedの設定画面が表示されますので、以下の項目を設定します。 ・パスワード保護状況:「有効」にチェック(サイト全体がパスワードで保護された状態になります) ・新しいパスワード:サイト全体にかけるパスワードを入力する これでサイト全体がパスワードで保護された状態になります。これは必要最低限の設定ですが、より詳細な設定も可能です。管理者や特定のユーザーはパスワード不要にしたり、特定のIPからのアクセスはパスワードなしでも閲覧できるようにするなど必要に応じて設定してください。 サーバーの管理画面で設定する レンタルサーバーの管理画面からもBASIC認証を設定することができます。以下はXSERVERの設定方法ですが、他の主要なレンタルサーバーでもBASIC認証の設定が可能です。設定方法は各サーバー会社の公式サイトでご確認ください。 XSERVERでBASIC認証を設定する XSERVERの「サーバーパネル」にログインし、「ホームページ」―「アクセス制限」をクリック。 アクセス制限を設定するドメインを選択 サイト全体にBASIC認証を設定したい場合は、「現在のフォルダ」のアクセス制限を「ONにする」をクリック。「BASIC認証の設定の変更が完了しました」と表示されたら...

Wordpressはとても使いやすく世界中のサイトで多く使われているサイトです。しかし、その利用率の高さから、ハッキングの対象になってしまうなどの被害があることも事実です。 そこで、いざ自分が管理しているWordpressがハッキングされたかもしれないという時に備えて、無料で簡単にチェックできるサイトをご紹介します。 Wordpressがハッキングされるとどうなる? どんな症状がサイトに現れた時にハッキングを疑った方がいいのでしょうか?Wordpressがハッキングされると、次のような兆候が表れます。 ・サイトにアクセスするとほかのサイトに転送される ・見覚えのないサイトへのリンクが挿入される ・サイトの表示が極端に遅くなる ・スパム広告がポップアップされる 運営しているサイトに上のような症状が現れた場合は、サイトがハッキングされている可能性があります。ほかにも、サーバー上に見覚えのないファイルがあるなど、少しでも「おかしいな」と思ったら、ハッキングされていないかチェックを行うことがおすすめです。 Google セーフ ブラウジングのサイト ステータス Googleではセーフブラウジングという機能を提供しています。ウェブサイトを閲覧しているときに、ユーザーが危険なサイトにアクセスしようとしたときにブラウザが警告をしてくれる機能です。 Googleの「サイト ステータス」では、URLを入力するだけでそのURLのウェブサイトが現時点でセーフブラウジングで安全かどうか確認することができます。 Sucuri Security セキュリティサービスを提供しているSucuriでも無料のウェブサイトのセキュリティチェックとマルウェアをチェックしてくれるスキャナーを提供しています。 こちらもURLを入力するだけで既知のマルウェア、ウイルス、悪質なコードなどをチェックしてくれます。英語のサイトになっていますが、操作や結果が見やすく表示されるので、英語が苦手な場合でも簡単に使えるようになっています。 今回ご紹介したサイトはいずれも無料で簡単にチェックできるサイトです。 また、ハッキングをされる前に普段からサイトをハッキングをされないように備えることも大切です。「WordPressをハッキングから防ぐ、今すぐできる簡単な方法」で、Wordpressをハッキングから防ぐ方法をご紹介しています。ぜひ参考にしてみてください。...

Wordpressのセキュリティ対策していますか?と聞かれて自信をもって「はい!」と答えられますか? 少しはセキュリティ対策をしているつもりだけど、本当に十分か不安という場合は、「Wordfence」でさらに高度なセキュリティ対策を始めてみませんか。 「Wordfence」ってどんなアプリ? Wordfanceは、Wordpressの高度なセキュリティ対策ができるプラグインです。 Wordpressは、カスタマイズしやすく、初心者でもサイトの更新がしやすいため、とてもたくさんのサイトで使われています。しかしその分ハッキングなど外部からの攻撃のリスクが付きまといます。Wordpressで安心してサイト運営をするためには、セキュリティ対策は必須と言えます。 「Wordfence」は、Wordpressを保護してくれるファイアーウォールやマルウェアのスキャン機能などの機能を持っています。 「Wordfence」のインストール方法 プラグインの新規追加の画面のキーワード検索で、「wordfence Security」と検索するとすぐにプラグインを見つけることができます。 [今すぐインストール]でインストールをし、その後[有効化]ボタンをクリックします。 有効化すると、メールアドレスの登録と利用許諾の画面が表示されるので、入力して[CONTINUE]ボタンをクリックします。 ...

簡単にホームページが作れてカスタマイズもしやすいため、WordPressで作られているサイトはたくさんあります。その分、攻撃の対象にもなりやすいという側面もあります。 そこで今回は、WordPressのセキュリティ対策として、総当たり攻撃を防ぐ5つの技を紹介します。...

データが壊されたり、サイトの閲覧者に有害な動きをするように書き換えたりされるハッキング。自分には関係ないことのような気がしますが、サイトを運営している以上、だれでもハッキングされる可能性はゼロではありません。 Wordpressを使ったサイトの割合は、すべてのウェブサイト全体の3分の1ととても高くなっています。 それは、その分ワードプレスに脆弱性があっりそこをついてハッキングをする手法が発見された場合、ウェブサイト全体の3分の1のサイトがそのハッキング方法が有効である可能性があるといういことなのです。 しかし、WordPressをハッキングから防ぐ方法もあります。そこで、今回は安全にサイトを運営するために、ハッキングからWordpressで作ったサイトを守るための方法をご紹介します。 Wordpressを最新版に更新 Wordpressをハッキングから守るうえで重要なことは、Wordoressの本体やプラグインを最新版にしておくことです。 Wordpressはバージョンアップすることで、Wordpressに含まれていた脆弱性を解消しています。古いバージョンのままだと、脆弱性を使ってハッキングされてしまう可能性が高くなります。 Wordpress本体だけでなく、プラグインのアップデートも忘れずにチェックするようにしましょう。 Wordpressのログイン認証を二段階認証などへ変更 管理画面へのログイン画面へのIDとパスワードは、複雑なものにすることや、ほかのサイトと同じものを使わないということはだいぶ周知されてきました。 そこで、もう一歩踏み込んで、二段階認証などIDとパスワードの入力以上の手順を踏まないと管理画面にログインできないようにすると、安全度がぐっと上がります。 二段階認証は「Google Authenticator」などのプラグインを導入することで簡単に実現できます。 Wordpressのバックアップを定期的に取得 どんなにがんばってセキュリティ対策をしても、残念ながら100%ハッキングからサイトを守るというのは難しいのが現実です。 そこで、最後はハッキングされたときにいち早くサイトを復旧できるようにサイトのバックアップを定期的に取得しておくことです。ハッキングされた場合は、一度サイトの削除してしまって、ハッキングされる前の状態に戻してしまうという方法ができます。 サイトのファイル一式と、Wordpressのデータベースの両方をバックアップすることを忘れないようにしましょう。 バックアップの方法については、こちらのサイトを参考にしてください。 ワードプレスサイトのバックアップはBackWPupがおすすめ いかがでしたでしょうか?いざハッキングの対象になる前に、普段からハッキングを意識してセキュリティ対策をしておきましょう。...

WordPressの管理画面にログインしようとすると、なぜか「403 Forbidden」が表示されてアクセスできないというケースがあります。そこで今回はWordPressの管理画面にアクセスしようとしたときに「403 Forbidden」が表示された時の対処法をご紹介します。 「403 Forbidden」ってなに? 一般的に「403 Forbidden」はページがあっても、ページをアクセスする権限がないため、アクセスを拒否しますというものです。サイトが非常に込み合っていたり、「.htaccess」で誤った設定をしている場合場合などで表示されることがあります。 海外でWordPressにログイン時に「403 Forbidden」!? レンタルサイトによってはWordPressでサイトを運用していると、上記とは違うケースで「403 Forbidden」が表示される場合があります。それは、海外からアクセスしているとサーバー側が判断した場合です。 本来は、海外からのWordPress乗っ取りなど不正アクセスを防ぐためのものです。海外旅行先でブログを更新しようとしたときに、「403 Forbidden」が表示された場合は、この機能をOFFにする必要があります。方法はレンタルサーバーごとに異なりますので、ご利用のサーバーのサイトを参照してください。 LOLIPOP!レンタルサーバー 海外アタックガードについて・設定・解除方法 さくらのレンタルサーバ レンタルサーバ 国外IPアドレスフィルタ エックスサーバー WordPressセキュリティ設定 日本に帰国したら? WordPressなどのCMSは、サイトの改ざんや乗っ取りなどの悪質な行為の対象にされてしまうことがあります。この悪質行為のほとんどが海外IPアドレスからのアクセスです。この機能は、海外IPアドレスを遮断することでWordPressでサイトを守ってくれている機能なので、日本に帰国後は速やかに有効にしておくほうがおすすめです。 海外でサイトの更新をしようとしたのに、この機能を知らなかったため、更新の機会を失してしまったということがないように、ぜひ頭の片隅に置いておいてください。 ...

あなたのWordpressサイト、ハッキング対策はしっかり行っていますか? Wordpressは誰でも簡単に使いこなせるオープンソースのソフトウェアですから、その分ハッカーの攻撃対象になりやすいという面があります。ハッカーの攻撃を受けると、個人情報の流出やサイト内のデータ改ざん、スパムメールの大量送信など大きな被害を受けるおそれがあります。「まだアクセス数が多くないから大丈夫だろう」と油断せず、しっかりハッキング対策を行いましょう。 Wordpress初心者の方が今すぐできるハッキング対策をまとめました。 WordPress、テーマ、プラグインは常に最新バージョンにアップデートする Wordpress、テーマ、プラグインは、不具合やセキュリティ脆弱性が修正された最新バージョンに保つようにしましょう。 Akismetを有効にする Akismetプラグインは、スパムコメントを自動で判別してブロックしてくれるプラグインです。Wordpress導入時にデフォルトでインストールされていますので、必ず有効にしておきましょう。 二段階ログイン認証を設定する ・BASIC認証を設定する BASIC認証は、ユーザーIDとパスワードでアクセス制限をかける基本的な認証設定です。簡易的なものですのでこれを設定すれば安全というわけではありませんが、公開前のサイトを関係者だけに公開したり、検索エンジンにインデックスされるのを防ぐことができます。 BASIC認証の設定方法はこちら 構築中のWordPressサイトを限られた人だけに公開したい ・Google Authenticatorプラグインを利用する Google Authenticatorプラグインを導入すると、ユーザーIDとパスワードのほかにワンタイムパスワードを要求する二段階認証を設定することができ、セキュリティが高まります。 定期的なバックアップ セキュリティに対して完璧な対策というものは残念ながらありません。万が一ハッキングされ、データを改ざんされたり削除されても元の状態に復元できるよう、必ずバックアップをとりましょう。プラグインを利用すれば簡単に定期的にバックアップを取得してくれます。 詳しい設定方法はこちら ワードプレスサイトのバックアップはBackWPupがおすすめ 管理者アカウントは最小限にする サイトを複数ユーザーで管理する場合、できるだけ管理者権限は付与せず投稿者や編集者の権限で運営できるか検討しましょう。管理者権限を付与されたユーザーが安易なパスワードを設定すると、ハッキングの危険性が高まります。 サイトを常時SSL化する SSL(Secure Sockets Layer)はインターネット上で送受信するデータを暗号化するプロトコルで、情報漏えいやデータの改ざんを防止します。常時SSL化とは、特定のページだけでなくサイト全体をSSL化することを指します。 当サイト内では、エックスサーバーでのSSL設定をご紹介しています。 ワードプレスをSSL化する方法【SEO対策にもなります】 エックスサーバーの常時SSL化の方法 データベースのアクセスを制限する データベースにはWordpressのアカウント情報が保管されています。Wordpressの操作に慣れてきたら、.htaccessファイルを編集してデータベースのアクセスを制限するとセキュリティがより強化されます。データベースを管理するwp-config.phpへの外部アクセスを不可にすることで設定できます。 .htaccessファイルがwp-config.phpと同じ階層にあるか確認し、.htaccessに以下を追記しましょう。 [html] <files wp-config.php> order allow,deny deny from all </files> [/html] デフォルトアカウントは削除する Wordpressをインストールすると、デフォルトでadminという管理者ユーザーが作成されていますが、これをそのまま残しておくとパスワードが破られればハッキングされてしまいますので、たいへん危険です。admin以外の管理者ユーザーを作成後、adminユーザーは削除するようにしましょう。 まとめ いかがでしたか。Wordpressのセキュリティ対策はほかにもいろいろとありますが、Wordpress初心者の方でもすぐに設定できるセキュリティ対策を中心にまとめました。まずは基本の設定を行った上で、徐々にセキュリティを強化してきましょう。...

レンタルサーバー上で構築中のWordpressサイトを、完成するまでは非公開にしたい、またはクライアント様など限られた人にだけ公開したい、という場合も多いと思います。BASIC認証を設定すると、ユーザー名とパスワードを知っている人にだけサイトを閲覧させることができます。 BASIC認証の設定方法はいくつかありますが、ここでは人気の高いレンタルサーバーであるXSERVERでの設定方法と、プラグインで設定する方法の2つをご紹介します。 <補足:BASIC認証とは> HTTPで定義される認証方式の一つで、Base64とよばれる64種類の英数字(A-Z、a-z、0-9)のみを使用してエンコードします。最も簡単に導入できる認証方式ですが、同時に解読や改ざんも容易にできてしまうという弱点があります。あくまでも一時的・簡易的で必要最低限の認証方式であること考慮して使用する必要があります。 XSERVERでBASIC認証を設定する方法 1.XSERVERの「サーバーパネル」にログインし、「ホームページ」―「アクセス制限」をクリック。 2.アクセス制限を設定するドメインを選択 3.サイト全体にBASIC認証を設定したい場合は、「現在のフォルダ」のアクセス制限を「ONにする」をクリック。 「BASIC認証の設定の変更が完了しました」と表示されたら 「戻る」をクリック。 4.次に、「現在のフォルダ」の「ユーザー設定」をクリックし、任意の「ユーザーID」と「パスワード」を入力。入力したら「ユーザーの追加」をクリック。 5.「ユーザーの追加が完了しました」と表示されたらBASIC認証の設定は完了です。BASIC認証を設定したサイトにアクセスし、設定したユーザーIDとパスワードでログインできるか確認しましょう。 プラグインでBASIC認証を設定する方法 プラグインWP Basic Authを使うと、簡単にBASIC認証を設定できます。 1.WP Basic Authをインストール後、有効化すれば設定は完了です。 2.ユーザー名とパスワードは、Wordpress管理者のユーザー名とパスワードがそのまま設定されます。 サイトを見せるユーザーに閲覧の権限だけ与えたい場合 WP Basic AuthでBASIC認証を設定すると、ユーザー名とパスワードはWordpress管理者のものと同じになります。構築中のサイトを公開するユーザーには、管理者権限ではなく閲覧の権限だけ付与したい、という場合は閲覧権限のみを持つ新規のユーザーを作成します。 1.Wordpress管理画面から「ユーザー」―「新規追加」 2.任意のユーザー名とパスワードを設定し、権限グループを「購読者」にします。 3.設定したユーザー名とパスワードを、サイトを公開したい人に知らせます。 4.サイトにアクセスし、上記のユーザーとパスワードを入力すると、閲覧権限のみをもつユーザーとしてログインすることができます。 まとめ BASIC認証はあくまでも簡易的な認証方式ですので、解読されやすいなどセキュリティ効果は高くありません。しかし、簡単な設定で「URLを入力すれば誰でも見られる状態」を回避できますので、構築中のサイトを一時的に限られた人に公開したい、という場合には便利な方法です。使う場面を考慮した上で、上記を参考に設定してみてください。...

ワードプレスで安心してサイト運営をするために ワードプレスは無料で使えて、htmlの知識がなくてもページの作成がしやすいシステムです。さらに、オープンソースソフトウェアなので、PHPの知識があれば自分の好きなようにカスタマイズをすることができます。 その一方、オープンソースであるがゆえに脆弱性が発見されやすく、ハッカーの標的になりやすいというデメリットもあります。 そこで、今回はワードプレスで安心してサイト運営をするために、セキュリティを強化する方法をご紹介します。 ワードプレス本体やプラグインのバージョンを最新のものに ワードプレスは、脆弱性が発見されるとバージョンアップをして対応しています。ワードプレスやインストールしているプラグインで最新のものが公開されたら、すぐにアップデートするようにしましょう。 ワードプレスの更新は、管理画面の[ホーム-更新]メニューで確認することが出来ます。こまめにチェックをしておきましょう。       プラグインは使っているものだけインストールする インストールしているプラグインに脆弱性があると、そこを狙ってサイトを攻撃される可能性があります。できるだけその危険性を減らすために、使用していないプラグインはアンインストールをして、サーバー上から削除してしまうほうがセキュリティ上安心です。 ユーザー名とパスワードは第三者に分かりにくいものを ユーザー名とパスワードは、第三者に予測されにくいものを設定するようにしましょう。ユーザー名は「admin」のままではなく、別のものに変えておきましょう。また、パスワードは英数字を混ぜたランダムな文字列を設定するようにしましょう。 「wp-config.php」はアクセス不可に設定を wp-config.phpには、データベースのアカウント情報が記載されています。このデータベースのアカウント情報がハッカーに知られてしまった場合、データベースを操作されて、サイトを壊されたり、情報を書き換えられたりということが可能になってしまいます。 外部からアクセスされないように、wp-config.phpと同じ階層の「.htaccess」に次のコードを追加することで、外部からアクセスできないようにしておきましょう。 [code] <files wp-config.php> order allow,deny deny from all </files> [/code] データベーステーブルのプレフィックスを、デフォルト値から変更する ワードプレスのデータベースをインストールすると、特に設定をしていない場合、ワードプレスで使用するテーブルにはテーブル名の頭に「wp_」が付いています。このままだと、ワードプレス用のテーブルということが分かりやすくなってしまい、ハッカーの標的になりやすい状態になっています。 ワードプレスをインストールするときに、「テーブル接頭辞」の設定を「wp_」から、ワードプレスを連想させない別のものに設定をしておくと安心です。     ワードプレスのセキュリティはしっかり強化!! ワードプレスはセキュリティの強化をしっかり考えて使えば、操作も機能も使いやすいシステムです。今回紹介した方法は手軽にできるものなので、ぜひ試してください。また、それでも不安な場合は、専門家に相談するというのもおすすめです。...

Googleは常時SSL化を推奨しています。一昔前はメールフォームやECサイトの申込時だけSSL化を行っていたのが一般的でしたが、企業や一般サイトの常時SSL化がSEO対策に影響を及ぼすことがGoogleより発表されているので常時SSL化を早めに設定する事をお勧めします。今回は、エックスサーバーの常時SSL化についてご説明します。 常時SSLとは 常時SSLとはWebサイトの全ページをHTTPS化(SSL/TLS暗号化)するセキュリティ手法で、主に以下の事が可能になります。 ・サーバー間通信の暗号化 ・ドメインが実在することを第三者が証明できる ・ドメインを取得している企業が実在することを証明できる   このように、SSL化を行う事で、ユーザーの情報を守り、ユーザーに安心感を与える事ができるようになります。 エックスサーバーの無料独自SSL設定方法 エックスサーバーは常時SSL化を無料で簡単に設定する事ができます。設定は本当に簡単です。 1.エックスサーバーのサーバーパネルにログインし、メニューの「ドメイン」から「SSL設定」を選択します。   2.次に、「独自ドメイン設定」のタブを選択し、該当のドメインを選びます。 3.「独自SSL設定を追加する(確定)」を押して完了です。 「CSR情報(SSL証明書申請情報)を入力する」のチェックは入れなくてもOKです。 これで設定は終わりです。簡単ですね。   ここで注意なのですが、常時SSLの反映までに最大で1時間かかる事があります。反映を待たずに以下の設定を行うとサイトが正しく表示されません。1時間位待ってから以下の設定を行ってください。 httpsにパーマリンク設定 次に、httpをhttpsに自動で飛ばす設定を行います。 .htaccessの内容を以下に書き換え(追加)します。 [html] RewriteEngine On RewriteCond %{HTTPS} !on RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L] [/html] ワードプレスのリンク設定 ワードプレスの場合は、管理画面よりリンク設定を行う必要があります。ダッシュボードの「設定」の「一般設定」にある、「WordPress アドレス (URL)」と「サイトアドレス (URL)」の両方のURLをhttpsに変更します。 記事内のURL変更 ワードプレスのコンテンツ内のURL変更を行います。Search...