ホームページアラカルト

WordPressのセキュリティ強化

  • このエントリーをはてなブックマークに追加
Pocket

WordPressは世界的なシェアも高いCMSツールです。
なので、ハッキング(アタック)も大変多く、乗っ取られてしまう事案も非常に多いツールになります。
必要最低限のセキュリティ対策をしておきましょう。

SSL

直接のセキュリティ対策というわけではありませんが今の時代は、最低限WebサイトをフルSSL化することを求められています。

Googleは、SSL化されていないWEBサイトの検索順位を下げると宣言していますのでSSL化すること自体がSEO対策にもつながります。
SSLというのは、当該サイトで行う通信を暗号化してしまい、第三者が読み取っても何が書いてあるのかわからないようにしてある通信規格です。
例えば検索システムを利用した時の検索ワードであったり、問い合わせフォームや申し込みフォームの入力内容のような中身を暗号化してくれます。

WAF

WAF(WebApplicationFireWall)は、特定の動作などを辞書として登録し、検出されるような動作をしてきた場合に、ロックを掛けたり排除してくれたりする仕組みです。
いわば、アタックの手段をあらかじめ登録しておき、そのような手順が始まると検知するという仕組みです。
TVドラマやアニメなので、コンピュータがハッキングされ始めて、今何%浸食されているみたいなシーンはこれに近いかと思います。
ハッキングする手順が100個あってそれが30個目に進めばハッキングの進捗率は30%ということになります。
WordPressは、世界的なシェアが高いため、そういう意味ではセキュリティホールもたくさんあり、それらを突いてアタックしてくるハッカーも多く、そして、ハッキング手段もたくさんあります。
既知の手段をあらかじめ登録し防御システムに組み入れることで、一般的に知られている手段でのアタックからサイトを守ることができます。

こちらはサーバーでWAFシステムを動かすこともできますし、WordPressの場合はプラグインも存在します。

ログイン部分のセキュリティ強化

WordPressの場合、WEB上でログインし、WEB上で記事を作ったりできます
極端に言えば、漫画喫茶のPCでブログを更新できます。
そのためには、ユーザとパスワードが必要になってきます。

逆に言えば、ユーザ名とパスワードが一致すれば、ログインされてしまうことにつながり、そうなると中身を改ざんできてしまうことにつながります。
なので、一番多いハッキング(アタック)方法は、ログインアタックです。
これを防ぐだけで大半のアタックを防げることにつながります。

フェールワンス

これは、パスワードが一致しても1回目はエラーになるようにする機能です。
ハッカーは、パスワード総当たりをベースに、ハッキングしてきます。
これは、いろんなパスワードの組み合わせを片っ端から試しています。
なので、1回目をエラーにしておくだけでもパスワードを当てられても大半のハッカーに気づかれずエラーのパスワードとされることにつながります。
なので、かなり有効な機能です。

これは、WordPressのセキュリティ対策プラグインなので実装できます。

画像認証

問い合わせフォームや申し込みフォームでよく見かける、画像に書いてある文字を売ってくださいという合言葉機能のようなものです。
一見無意味に見えるかもしれませんが、画像に書いてある文字なので基本的には画像を肉眼で確認しないといけないというのもあり、ロボットのようなプログラムでアタックをしてきたものに対してはほとんど全滅といってもいいほどの効果を産み出します。
フェールワンスと画像認証システムを併用することでログインアタックのほとんどを防ぐことができるようになります。

上記同様プラグインで実装可能です。

reCAPTCHA

最近だと、写真内の信号をクリックなどで、認証ができるGoogleが用意してくれている認証システムです。
こちらは、ロボットやプログラム、テキストブラウザではどうにもならないように準備されている機能で、これだと、ハッカーが良く用いるようなプロンプトやスクリプトでアタックに関してはほとんど全滅します。
よくあるのは問い合わせフォームなどにこれを実装することで、99%以上のセールスメール(問い合わせフォームに機械的に営業メールを流す業者がいる)が届かなくなるという効果があります。
当然ですがこれをログインフォーム部分に実装することで機械的なアタックを未然に防ぐことができるようになります。

こちらもプラグインがあり、Googleでアカウントを作るとプラグインですぐ、全ページに実装することも可能です。

Banシステム

例えば、ログインを3回失敗すると5分間ログインフォームが表示されなくなるといったような排除システムです。
WordPressのプラグインでも実装可能ですし、より強力なサーバーで行うBanシステムなどもあります。
サーバーで行うBanシステムであれば、ログイン3回失敗すると5~10分程度のロックで、サーバー全体に接続できなくなります。
その上で、そのBanを3回続けると次は1ヵ月接続できなくなります。
これにより、ハッカーはあきらめざるを得なくなります。
逆に、自分がパスワードを忘れて何回もエラーを吐いてしまうと自分自身がロックがかかってしまうのでパスワードは忘れずに、、、気を付けてください。

まとめ

セキュリティ対策は、対策を施すことが重要です。
セキュリティ対策をしていますということがハッカーに伝わればハッカーはそのサイトより、対策をしていないサイトに向かうでしょう。
また、有効な対策を施すことで、安全が担保されます。

今回ご紹介させていただいたものは無償で使えるプラグインで実装が可能なものを中心にご紹介しています。
必要最低限の対策を行って、より安全に運用できるようにしてください。

お問い合わせはこちら


    お問い合わせ