制作会社様とのやり取りに特化したコーディング代行ならくまWebにお任せください!
2018年11月16日
WordPressのセキュリティはどうされていますか?
WordPressは世界中で人気のCMSでとても人気ですが、その反面ハッカーに狙われやすいのがデメリットです。
しかし、ハッカーに攻撃されたら、情報が必ず流出する訳ではありません。
しっかりとセキュリティ対策をしていれば大切な情報などを防げます。
今回は、WordPressに特化したセキュリティ対策を紹介します。
基本的なことですが、まずはじめにするべきことはパスワードを複雑にすることです。
名前・年齢・電話番号・出身地・生年月日・メールアドレスなど推測されやすいパスワードは避けましょう。
また、「password」や「login」など安易なパスワードも危険です。
辞書に乗っている単語などもハッキングされる可能性が高いです。
また、推測されにくいパスワードを設定しても、注意しなければならないことがあります。
それは、他のサービスなどで使用しているパスワードを使い回すことです。
同じパスワードを使い回すと他のサイトでハッキングされた場合、WordPressもハッキングされる可能性があります。
なので、同じパスワードを使いまわさないのがおすすめです。
推測されにくい難しいパスワードは、半角英数字が入った規則性のない10文字以上のパスワードです。
自分でパスワードを設定するのも構いませんが、ツールを使うことで推測されにくパスワードが簡単に作成できます。
推測されにくおすすめのパスワード生成ツールを紹介します。
LUFTTOOLSは、2文字〜40文字まで自由に設定できます。
このツールでは、以下の項目が設定可能です。
・強度・・・「カスタム」「強力」「最強」の中から選択可能
・文字・・・英字(大文字・小文字)、数字、記号
・文字数・・・最大40文字まで設定可能
・個数・・・最大1,000個まで同時生成可能
・その他・・・「似通った英数字は省く」「8文字以内の場合、同じ文字は2回以上使わない」の2つをチェック形式で選択できる
このツールは無料で誰でも利用可能です。
LUFTTOOLS公式URL:http://www.luft.co.jp/cgi/randam.php
シンプルな画面で見やすいのが、ecure Password Generatorです。
海外産のツールで言語は英語のみになります。
ですが、誰でも使えるように設計されているので、英語のわからない方も利用することが可能です。
パスワードを作成する項目はこのようになっています。
・Password Length・・・パスワードの長さを設定する
・Include Symbols・・・記号を含めるか否かを設定する
・Include Numbers・・・数字を含めるか否かを設定する
・Include Lowercase Characters・・・小文字を含めるか否かを設定する
・Include Uppercase Characters・・・大文字を含めるか否かを設定する
・Exclude Similar Characters・・・類似する文字を除外するかを設定する
・Exclude Ambiguous Characters・・・あいまいな文字を除外するかを設定する
・Generate On Your Device・・・使用しているデバイスで生成するかを設定する
・Auto-Select・・・自動選択するかを設定する
・Save My Preference・・・設定を保存を設定する
・Load My Settings Anywhere・・・自分の設定をどこでもロードするかを設定する
Secure Password Generator公式URL:http://passwordsgenerator.net/
この2つがおすすめのパスワード生成ツールです。
このようなツールを使って強固なパスワードを設定してください。
また、設定したパスワードをどこかにメモや保存するときにも注意が必要です。
例えば、スマホやパソコンなどのメモアプリなどにパスワードを記載した場合、スマホやパソコンを紛失すると他の誰かに見られてしまう可能性があります。
では、「紙などの媒体にメモを残せば100%安全なのか」と問われると100%安全ではありません。
なぜなら、紙にメモなどの記録を残した場合でも泥棒などに入られて盗まれてしまう可能性もあります。
パスワードを全て頭の中に記憶する方法もありますが、誰かに見られることはなくても忘れてしまうというリスクがあります。
100%安全なパスワードの管理方法はありませんが、流失するリスクを軽減することは可能です。
おすすめの管理ツールなどを紹介します。
パスワード管理ツールで有名なのが、1Passwordです。
WindowsとMacの両方で利用できます。
価格はPC版が有料になり、Android版とiOS版は無料で利用することも可能ですが全ての機能を使用するには課金が必要です。
このツールはパスワードの管理と生成の両方ができます。
パスワードの管理方法としては、マスターパスワードというパスワードを生成します。
そのマスターパスワードを利用することで各パスワードにアクセスすることが可能です。
つまり、1つのパスワードを管理するだけでOKということです。
その上、このツールで強固なパスワードも生成できるので、TwitterやInstagramなどのSNSにアクセスして強固なパスワードを生成して登録、そのままパスワードを保存することも可能です。
また、生成するパスワードを細かく設定することもできます。
「強度・長さ・見やすさ・桁数・記号・紛らわしい文字回避・文字の繰り返しを許可」などの項目を設定できます。
設定したパスワードはスマホに共有することも可能です。
DropboxやWiFiを利用することでスマホにデータを同期できます。
ただ、1つデメリットなのが完全に日本語対応していないところです。
ほとんどの部分が日本語に対応していますが、一部英語表記の部分もあります。
料金はこのようになっています。(2018年11月1日時点)
| プラン | 料金 |
| 個人プラン | 2.99ドル |
| 家族プラン | 4.99ドル |
| チームプラン | 3.99ドル |
| ビジネス | 7.99ドル |
1Password公式URL:https://1password.com/
完全日本語対応しているパスワード管理ソフトでおすすめなのが、LastPassです。
このツールも1Passwordと同じようにパスワードの生成と管理ができます。
WindowsとMacの両方のOSにも対応しています。
また、ログインするために2段階認証を設定することも可能です。
指紋での認証にも対応しています。
| プラン | 料金 |
| 個人プラン | 2ドル |
| 家族プラン | 4ドル |
| チームプラン | 2.42ドル |
LastPass公式URL:https://www.lastpass.com/ja
「パスワードを何かのツールに保存するのはちょっと…」 という方におすすめなのが、パスワードブックです。
パスワードブックはアナログでパスワードを管理したい方に人気のある商品になります。
簡単に言えば、パスワードを管理することに特化した手帳です。
片面1ページの項目はこのようになっています。
・日付
・サイト名
・ID
・ユーザー名
・パスワード
・URL
・備考欄
価格は540円になり、アマゾンや楽天などのECサイトで購入できます。
プラグインは手軽に高度な機能を実装できるのが魅力です。
しかし、その反面プラグインの入れすぎによる弊害も存在します。
例えば、プラグインを入れるすぎることによってサイトが重くなります。
それだけではなく、プラグインをたくさん入れることでプラグイン同士がバッティングしてセキュリティに穴をあける(セキュリティホール)が発生する可能性もあるのがデメリットです。
プラグインは基本的には10前後にするのがおすすめ。多くても20個以内にしておきましょう。
また、プラグインは公式(https://ja.wordpress.org/plugins/)のモノを使用するのがおすすめです。
プラグインの最終更新が1年以上経過しているのは避けましょう。
一度インストールしたプラグインは自分で更新することが必要です。
プラグインを更新する必要がある場合は、WordPressの管理画面で確認できます。
ワードプレスの管理画面にアクセスすると、左上に更新マークと数字が表示されている場合があります。
このマークと数字が表示されていたら更新ができるプラグインがあるということです。
実際にこのマークをクリックすると、このようなプラグインの更新画面に推移します。
この画面でプラグインを更新することが可能です。
プラグインと同じようにWordPress(CMS)の更新もおこないましょう。
基本的に更新できるモノは、更新した方がセキュリティ的に良くなる場合が多いです。
少し難易度は高いですが、データベース名の変更もセキュリティの向上に有効です。
ただし、使用しているサーバーによっては、データベース名を変更できない場合もあります。
データベース名を変更するといっても名前を全て変更する訳ではありません。
データベース名の最初についている「wp」という部分(接頭辞)だけを変更します。
この部分を変更するだけで、ハッカーからの攻撃を防げる可能性が高くなります。
まず、データベース管理画面(phpMyAdmin)にアクセスして、データベースがこのようになっていることを確認してください、
今回は、接頭辞を「wp_sample」に変更します。
この部分を変更するために、データベース管理画面(phpMyAdmin)の「SQL」メニューを開いてください。
そして、このようなSQLをコマンドを実行することで「wp_」を「wp_sample」に変更に変更できます。
SELECT * FROM `wp_sample_options` WHERE `option_name` LIKE ‘%wp_%’;
同じように、以下のSQLコードを実行してください。
SELECT * FROM `wp_sample_usermeta` WHERE `meta_key` LIKE ‘%wp_%’
最後に「wp-config.php」を編集します。
$table_prefix = ‘wp_sample’;
これで正常にログインできればOKです。
正しく動作しているのを確認できたら、元のデータベースは削除しても構いません。
1番重要なのは、ログインの認証を増やすことです。
どれだけセキュリティ向上を心掛けていても、不正ログインされてしまっては意味がありません。
不正ログインされないために、ログインするための必要項目を増やしましょう。
おすすめの認証は「画像認証」と「二段階認証」です。
画像認証をご存知でしょうか?
Googleなどのサービスなどを利用するときに「少し曲がったような文字」などを読み取って、その文字を入力したことはありませんか?
あのような、テキストではなく画像をを読み取りその情報をログイン時に使用するのが画像認証です。
画像認証が優秀なところは、ロボットによる自動攻撃を防ぐことができるところです。
ロボットは画像を認識してそのデータを解析するのが難しいです。
そのため、画像認証を設けておくことでロボットによる攻撃の多くを防ぐことが可能です。
「でも、ログイン画面に画像認証を設定するにはどうすればいいの」って思いますよね。
そこで、だれでも簡単に実装できるプラグインを紹介します。
SiteGuard WP Plugin
手軽に使えるセキュリティ向上プラグインといえば、SiteGuard WP Pluginです。
このプラグインを使用することでログイン画面に画像認証を設定できます。
また、画像認証の文字は「ひらがな」と「英数字」から選択可能です。
画像認証は、ログインページだけでなく「コメントページ」「パスワード確認ページ」「ユーザー登録ページ」にも設定できます。
画像認証以外にもログインロックをかかけることも可能です。
例えば、「5回連続でログインに失敗した場合、1時間ログインできなくする」などです。
「画像認証はめんどくさいけど、ロボットの攻撃は防ぎたい」という方にログインロックがおすすめ。
ログインロックを設定しておけば、仮にロボットによる自動攻撃を受けたとしても突破されにくくなります。
また、必ず設定してほしいのが「ログインアラート」です。
ログインアラートとは、ログインしたことを知らせるための機能です。
ネット銀行などを利用している方はピンッとくると思いますが、ログインするたびにメールなどで通知されることってありますよね?
自分も含め誰かがログインするたびにログイン通知が来る機能がログインアラートです。
このログインアラートを設定していると、第三者が不正ログインした場合すると指定したメールアドレスにすぐに通知されます。
仮に不正ログインされた場合でも、すぐに気付くことができます。
不正ログインを早期発見して対策することで、被害を最小限にすることが可能です。
このプラグインを導入して、必ず確認して欲しいのが「ログイン履歴」です。
ログイン履歴は、実際にログインしたユーザーだけでなくログインを試みたユーザーも表示されます。
ログイン履歴を確認すると、見覚えのない怪しいユーザーがログインを試みていることもあります。
もし、見覚えのない怪しいユーザーがログインを試みていたら早期に対策してログインされないようにしましょう。
無料で利用できる上に定期的に更新されるので、安心して利用できます。
SiteGuard WP Plugin公式URL:https://ja.wordpress.org/plugins/siteguard/
不正ログインを高い確率で防げるのが、二段階認証です。
二段階認証とは、IDやパスワードのログイン情報の他に指定したメールアドレスや電話番号にワンタイムパスワード(一時的なパスワード)を通知してログインする方法です。
つまり、IDやパスワードがハッカーに知られて、ログインを試みてもワンタイムパスワードがわからなければログインできません。
二段階認証では、ワンタイムパスワードが通知されるメールアドレスやスマホがなければログインすることは不可能に近いです。
二段階認証を設定するのにおすすめのプラグインを紹介します。
Google Authenticator
WordPressで二段階認証するためにおすすめのプラグインが、Google Authenticatorです。
二段階認証を導入するための手順はこのようになります。
1.WordPressのプラグインで「Google Authenticator」をインストールする
2.使用する端末に「Google Authenticator」のアプリをインストールする
3.WordPressの二段階認証を設定
4.資料する端末で二段階認証を設定
まず、ordPressの管理画面にアクセスして、「Google Authenticator」をインストールします。
プラグインの管理画面にアクセスして、検索ウィンドウに「Google Authenticator」と入力してください。
公式サイトは以下のURLになります。
Google Authenticator公式URL:https://wordpress.org/plugins/google-authenticator/
プラグインをインストールして有効化すると、サイドバーに「ユーザー」という項目が追加されていると思います。
「ユーザー」という欄を選択して、二段階認証を設定するユーザーを選択。
二段階認証を設定するユーザーを選択すると、Google Authenticatorのプラグインの詳細設定画面に推移します。
一番上に表示されている「Active」という項目にチェックを入れてください。
ここに、チェックを入れることでこのQRコードの機能が有効化します。
次に上から4番目に表示されている「Secret」という項目の設定をおこないます。
Secretは二段階認証をおこなうための、QRコードを表示するための項目です。
Secret項目の右端に表示されている「Show/Hide QR Code」ボタンをクリックすると、QRコードが表示されます。
表示されたQRコードをGoogle認証システムのアプリを使って読み取ってください。
QRコードを読み取ってGoogle認証システムのアプリを開くとこのように6桁の数字が表示されます。
モザイクがかかっている部分に数字が表示されています。
Google Authenticatorを有効にしたまま、ログイン画面にアクセスするとこのように表示されます。
おそらく、今までは「Usename(ユーザー名)」と「Password(パスワード)」だけの表示だったと思います。
この2つの項目に加えて「Google Authenticator code」という項目が追加されているのを確認してください。
この「Google Authenticator code」という項目に、Google認証システムのアプリに表示されている数字を入力してください。
数字が正しく入力されていれば、ログインすることが可能です。
AndroidとiOSのアプリダウンロードはこちらからできます。
Android版Google Authenticator公式URL:https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2
iOS版Google Authenticator公式URL:https://itunes.apple.com/jp/app/google-authenticator/id388497605?mt=8
WordPressの管理画面は、ドメインの後に「wp-admin」をつけることで管理画面にアクセスできます。
ログイン画面にアクセスできるURLを変更するだけでもハッカーから狙われにくくなります。
ログインURLを変更する方法は自分でファイルにコードを追記する方法とプラグインを利用して変更する方法の2種類です。
今回は、プラグインを使ったログインURLの変更方法を紹介します。
Login rebuilder
このプラグインは単にログインURLを変更するだけでなく、管理者や編集者によってログインURLを変更することが可能です。
この使い方はセキュリティを高めるだけでなく、WEBサイトのコンテンツをライターに任せる場合、記事の作成などの権限だけを与えたログインURLを発行することも可能です。
Login rebuilder公式URL:https://ja.wordpress.org/plugins/login-rebuilder/
いかがでしたか?
少し工夫するだけでセキュリティはグッと高くなります。
特に大切なのはこの2つです。
・推測されにくいパスワードを設定する
・二段階認証を設定する
少し面倒かもしれませんが、ハッキングされて大切なWEBサイトや情報が流失してからでは遅いです。
できる限りの対策をして、被害に合わないようにしましょう。
(パスワードを複雑にする、プラグインは入れすぎない、二段階認証、ネットワーク制限、URLの変更、連続入力ミスのバリデーション、ロボット攻撃対策、バックアップ)
「納期に間に合わない!」「スタッフの手が空かない!」「技術的に対応できない!」そんな時は、制作業者様とのやり取りに特化した、信頼と安心のくまWebにご依頼ください。