鶴村直人
最近、WordPressを利用されているブログ読者様から
運営ブログが不正アクセス被害にあい、サイト内の何かしらのプログラム等を悪用されてしまったためにレンタルサーバー側でサイトが強制停止されたというお話を聞く機会が増えました。
本記事では、エックスサーバーでWordPressを利用されている方を対象に、最低限やっておいた方が良いセキュリティ対策について取り上げています。
被害に遭わないためにも、また不正使用の加害者になってしまわないためにも最低限の対策をしておきましょう。
目次
はじめに、不正アクセスされた場合のレンタルサーバー側の対処策を知っておこう
鶴村直人
僕は前職では通信会社に勤めていまして(エンジニアではないので、セキュリティに詳しいわけではないですが)やはり、不正アクセス被害にあった等の話は、日常茶飯事でした。
特に多いと感じたのは、メール関係のプログラムを悪用され、スパムメールを大量に送る悪さをされてしまうケース。
レンタルサーバー契約者(利用者)が、迷惑メール送信の発信源なってしまうケースですね。迷惑メールを送る行為は、場合によっては法律に違反しますし、そのメールの発信源にされてしまうことはとても恐ろしいことですね。
この場合、レンタルサーバー会社は2次被害を防ぐために利用の即時停止をしたり、疑わしきプログラムの動きを止めることが多いです。
WordPressが不正アクセスされた場合の本人への影響(被害)
不正アクセス被害にあい、レンタルサーバーから強制的にサイトが停止されてしまう場合、次のような影響(被害)が考えられます。
- サイトが停止され閲覧できなくなる
- レンタルサーバーで発行しているメールが利用できなくなる
- ファイルサーバーが使えなくなる
致命的です。
もし、サイトで商品を販売していたり、掲示板等でサポートをしていたり、あるいはメールマガジンを発行していたりすると、母体となるサイトが閲覧できないこと、メールアドレスが利用できないことの影響は相当大きいはずです。
これらは信用に関わる問題ですから非常に深刻です。
最低限実施しておくべくセキュリティ対策
鶴村直人
日々新しい不正手法、セキュリティホールが発見されているので、これをしておけば絶対安心というものはありません。
しかし、最低限しておいた方がいい対策、比較的簡単にできる対策を取り上げたいと思います。
なおはじめにお断りしておきますと、ファイルを最新にしたり、設定変更することになるので、これにより今のブログが何かしら影響が出る場合があります。
必ずバックアップを取りながら、1つ1つ作業をして問題がないかどうか確認して進めてください。そこは自己責任でお願いします。
エックスサーバーへのログインに対して二段階認証設定を適用する
これはエックスサーバーを利用されている方向けになります。
エックスサーバーはセキュリティへの取り組みがしっかりしています。
ログインする際も二段階認証にできますので、下記のマニュアルをご覧の上、実施しましょう。
エックスサーバーへのお申し込みを検討されている場合は、以下のページをみながら申し込むとスムーズです。
パソコンのセキュリティ対策
もし、ご自身のパソコンにセキュリティ対策ソフトを入れていない場合、必ず入れましょう。
これはWordPressうんぬんの話ではなく、インターネットするなら絶対に対策しなければならないものです。
年間数千円で最低限の部分はカバーできますからね。
上記商品を購入すると、「購入コード」が表示されますのでメモしてください。
また同時に、Amazonからメールで案内が届きますので指示に従いソフトウェアをダウンロードします。
ソフトウェアをインストール際に、ユーザー登録する際に「購入コード」が必要となります。
ユーザー登録が完了すると認証キーが発行されメールで届きます。認証キーをソフトウェアに入力して使用開始できます。
Windows、MacのOSアップデート
ご利用のパソコンのOSアップデートは常に最新に保つようにしておきましょう。更新が来ていたら常に更新を実施します。
また、Adobe、Flash player、FTPソフトは利用者が多いため標的にされやすいです。そのためソフトウェア側でも頻繁にアップデートされますので、アップデート通知が来たらすぐ実施しましょう。
[参考] Flash Player の状況確認 - Adobe Help Center
WordPress本体のバージョンアップ
WordPressを運用していると、左メニュー「更新」のところに赤丸で数字が表示されることがありますね。
これは「プログラムの更新がありますよ!」というお知らせです。
上記画像のように新しいバージョンがあると通知が届きます。
バックアップを取った上で、すぐに「今すぐ更新」ボタンを押してアップデートしましょう。
バックアップを取らないで実行すると万一の際に復元できなくなります。WordPressのバックアップを日頃からしていない方は、「BackUPup」というバックアップ専用プラグインの導入をおすすめします。
ファイルやデータベースを丸ごとバックアップしてくれるプラグインです。
スケジュールを設定しておくと自動的かつ定期的にバックアップしてくれます。サイトを長く運営していく上でもバックアップはしておいた方がいいですね。
WordPressのテーマのアップデート
WordPressのテーマのアップデート通知は頻繁に届きますよね。
通知が届いたら、すぐに「今すぐ更新」をクリックして更新しましょう。
WordPressの使っていないテーマ削除
過去に使っていたけど、今は使っていないテーマはありませんか?
ブログ立ち上げ初期で無料テーマをたくさんダウンロードしては試したけど、その後に削除していないケースは多いです。
使っていないテーマをいつまでも残しておくことはセキュリティ上、望ましくありません。すぐ削除しましょう。
テーマを選択すると、上の画像のように「削除」のリンクが表示されますのでサクッと削除しておきましょう。
僕は、使用中のテーマ以外は削除するようにしています。
削除する際、今使っているテーマ(親テーマ、子テーマ)を削除しないよう注意してください。
プラグインのアップデート、不要プラグインは削除
プラグインは、頻繁にバージョンアップがあります。
プラグインも常に最新に保つ必要がありますので、通知が来たらすぐにアップデートしましょう。
上の画像のように「すべて選択」→「プラグイン更新」ボタンで
1分もあればアップデートできますから、サクッとやって起きましょう。
また、不要なプラグインは必ず削除して下さい。
プラグインはプログラムの塊なので脆弱性があると狙われて危険です。
プラグイン運用の鉄則は、インストールするプラグインを最小限にすること、そして不要プラグインは削除。これがとても重要です。
WordPressのパスワードを強固なものに変更
パスワードが簡単な文字列の場合、パスワードを総当たりされて簡単にログインされてしまいます。
アルファベット・数字が混在する最低でも10文字以上のパスワード(できれば大文字・小文字を混ぜる)になっているか確認しましょう。
もし強固なものに変更した方が良いと判断したら、以下の手順でパスワード変更をしましょう。
1 「ユーザー」→「あなたのプロフィール」
2.「パスワードを生成する」ボタンをクリック
3.パスワードを決める
WordPressが自動的にパスワードを生成してくれます。
これが一番強力なので、推奨はこの自動生成されたパスワードを使うことです。ここで生成されたパスワードは、必ずメモっておきましょう。
もし、ご自身でパスワードを決めたい場合は、自動生成されたパスワードを消去してご自身で文字列を入力します。
ただし、以下のようにあまりに簡単なパスワードは辞めましょう。「非常に脆弱」などの警告が出てしまう簡単なパスワードを設定しないよう注意しましょう。
4.「プロフィールを更新」ボタンをクリック
以上でパスワード変更が完了です。
5.WordPressをログアウト、そして再ログイン
WordPressの管理画面の右上より「ログアウト」します。
そして、再ログインしてください。変更後のパスワードでログインできることを確認します。
ログイン試行回数制限の設定をONにする
こちらの設定はエックスサーバーを利用されている方限定となります。
短時間に連続してWordPress管理画面へのログイン失敗が行われた場合、アクセス制限をかけることができます。
これは、パスワード総当り(ブルートフォースアタック)による不正アクセスを防止するものです。
もしログイン失敗が連続で起こると、ログイン制限をかけてくれます。そして24時間後に解除されます。
設定ですが、エックスサーバー管理画面「サーバーパネル」にログインして実施します。
1.エックスサーバーのサーバーパネルにログイン
「WordPressセキュリティ設定」をクリックします。
2.ログイン試行回数制限設定 ON
上部タブ「ログイン試行回数制限設定」をクリックします。
そして、「現在の設定」欄が「ON」と表示されていることを確認してください。
もしここが「OFF」となっている場合は、右にある「ONにする」ボタンをクリックします。
以上で設定は完了です。
PHPのバージョンを最新にする
運営歴が長いサイト、更新が滞っているサイトの場合、PHPのバージョンが古いままの場合があります。
PHPの古いバージョンは、危険な場合があるので推奨できません。
エックスサーバーのコントロールパネル内でPHPのバージョン確認・変更ができます。
動かすプログラムによって推奨されているPHPのバージョンが存在しますので、PHPバージョンを最新に変更することで既存プログラムが動かなくなることのないようご確認ください。特殊なプログラムを動かしている場合は必ず推奨環境を確認してください。そして不具合が起きた場合は、バージョンをもとに戻すのがいいかと思います。
1.PHPのバージョン確認
「PHP Ver.切替」をクリックします。
2.PHPの現在のバージョンを確認・変更
「現在のバージョン」に表示されている数字が、推奨のものか確認してください。
こんな感じで、エックスサーバーでは古いバージョンには「非推奨」の文字が付いています。
もし非推奨のバージョンを使っている場合は、「推奨」バージョンに変更することをおすすめします。
WordPressの不正アクセス対策まとめ
どんな対策をしても完璧はありませんが、日頃からセキュリティへの意識を持ってできることをすることが大切です。
特に契約しているレンタルサーバーから届く情報に目を通すだけでも、まずはOKです。
またWordPressに定期的にログインをして、アップデートの通知が来ていないかも合わせてチェックしましょう。
できることから少しずつやっていきましょう!
これからエックスサーバーへのお申し込みをする場合は、以下のページをみながら申し込むとスムーズです。
拝読させていただきました。
大変勉強になり、メモも取らせていただきました。
良い記事を提供してくださり、ありがとうございます。
森田さん
コメントありがとうございます。
お役に立ててよかったです!
ナオトさん、こんにちわ!ワードプレスを勉強中なのでとても勉強になりました。ありがとうございました!
ないこさん
コメントありがとうございます。
勉強中とのことで、お役に立ててよかったです!