【新着ニュース】アフィリエイト教材の無料公開を始めました!

WordPressの不正アクセス対策まとめ(エックスサーバー編)

WordPressの不正アクセス対策まとめ(エックスサーバー編)

ナオト

最近、WordPressを利用されているブログ読者様から

運営ブログが不正アクセス被害にあい、サイト内の何かしらのプログラム等を悪用されてしまったためにレンタルサーバー側でサイトが強制停止されたというお話を聞く機会が増えました。

本記事では、エックスサーバーでWordPressを利用されている方を対象に、最低限やっておいた方が良いセキュリティ対策について取り上げています。

被害に遭わないためにも、また不正使用の加害者になってしまわないためにも最低限の対策をしておきましょう。

はじめに、不正アクセスされた場合のレンタルサーバー側の対処策を知っておこう

ナオト

不正アクセスは身の回りで普通に起きています

僕は前職では通信会社に勤めていまして(エンジニアではないので、セキュリティに詳しいわけではないですが)やはり、不正アクセス被害にあった等の話は、日常茶飯事でした。

特に多いと感じたのは、メール関係のプログラムを悪用され、スパムメールを大量に送る悪さをされてしまうケース

レンタルサーバー契約者(利用者)が、迷惑メール送信の発信源なってしまうケースですね。迷惑メールを送る行為は、場合によっては法律に違反しますし、そのメールの発信源にされてしまうことはとても恐ろしいことですね。

この場合、レンタルサーバー会社は2次被害を防ぐために契約者のアカウントを即時停止したり、疑わしきプログラムの動きを止めることが多いです。

WordPressが不正アクセスされた場合の本人への影響(被害)

不正アクセス被害にあい、レンタルサーバーから強制的にサイトが停止されてしまう場合、次のような影響(被害)が考えられます。

本人の被害
  • サイトが停止され閲覧できなくなる
  • レンタルサーバーで発行しているメールが利用できなくなる
  • ファイルサーバーが使えなくなる

致命的です。

もし、サイトで商品を販売していたり、掲示板等でサポートをしていたり、あるいはメールマガジンを発行していたりすると、母体となるサイトが閲覧できないこと、メールアドレスが利用できないことの影響は相当大きいはずです。

これらは信用に関わる問題ですから非常に深刻です。

 

最低限実施しておくべくセキュリティ対策

ナオト

ここからは、僕が実施している内容をお伝えします。

日々新しい不正手法、セキュリティホールが発見されているので、これをしておけば絶対安心というものはありません。

しかし、最低限しておいた方がいい対策、比較的簡単にできる対策を取り上げたいと思います。

注意

なおはじめにお断りしておきますと、ファイルを最新にしたり、設定変更することになるので、これにより今のブログが何かしら影響が出る場合があります。

必ずバックアップを取りながら、1つ1つ作業をして問題がないかどうか確認して進めてください。そこは自己責任でお願いします。

 

パソコンのセキュリティ対策

もし、ご自身のパソコンにセキュリティ対策ソフトを入れていない場合、必ず入れましょう。

これはWordPressうんぬんの話ではなく、インターネットするなら絶対に対策しなければならないものです。

年間数千円で最低限の部分はカバーできますからね。

上記商品を購入すると、「購入コード」が表示されますのでメモしてください。

また同時に、Amazonからメールで案内が届きますので指示に従いソフトウェアをダウンロードします。

ソフトウェアをインストール際に、ユーザー登録する際に「購入コード」が必要となります。

ユーザー登録が完了すると認証キーが発行されメールで届きます。認証キーをソフトウェアに入力して使用開始できます。

Windows、MacのOSアップデート

ご利用のパソコンのOSアップデートは常に最新に保つようにしておきましょう。更新が来ていたら常に更新を実施します。

また、Adobe、Flash player、FTPソフトは利用者が多いため標的にされやすいです。そのためソフトウェア側でも頻繁にアップデートされますので、アップデート通知が来たらすぐ実施しましょう。

[参考] Adobe アップデート方法

[参考] Flash Player の状況確認 - Adobe Help Center

 

WordPress本体のバージョンアップ

WordPressのバージョンアップ

WordPressを運用していると、左メニュー「更新」のところに赤丸で数字が表示されることがありますね。

これは「プログラムの更新がありますよ!」というお知らせです。

上記画像のように新しいバージョンがあると通知が届きます。

バックアップを取った上で、すぐに「今すぐ更新」ボタンを押してアップデートしましょう。

バックアップって取る必要あるの?

バックアップを取らないで実行すると万一の際に復元できなくなります。WordPressのバックアップを日頃からしていない方は、「BackUPup」というバックアップ専用プラグインの導入をおすすめします。

ファイルやデータベースを丸ごとバックアップしてくれるプラグインです。

スケジュールを設定しておくと自動的かつ定期的にバックアップしてくれます。サイトを長く運営していく上でもバックアップはしておいた方がいいですね。

[参考] BackWPUpで確実にWordPressのバックアップを取る方法

 

WordPressのテーマのアップデート

WordPressのテーマのアップデート

WordPressのテーマのアップデート通知は頻繁に届きますよね。

通知が届いたら、すぐに「今すぐ更新」をクリックして更新しましょう。

 

WordPressの使っていないテーマ削除

WordPress 不要テーマ削除
過去に使っていたけど、今は使っていないテーマはありませんか?

ブログ立ち上げ初期で無料テーマをたくさんダウンロードしては試したけど、その後に削除していないケースは多いです。

使っていないテーマをいつまでも残しておくことはセキュリティ上、望ましくありません。すぐ削除しましょう。

テーマを選択すると、上の画像のように「削除」のリンクが表示されますのでサクッと削除しておきましょう。

僕は、使用中のテーマ以外はすべて削除しています。

注意
削除する際、今使っているテーマ(親テーマ、子テーマ)を削除しないよう注意してください。

 

プラグインのアップデート、不要プラグインは削除

プラグインのアップデート

プラグインは、頻繁にバージョンアップがあります。

プラグインも常に最新に保つ必要がありますので、通知が来たらすぐにアップデートしましょう。

上の画像のように「すべて選択」→「プラグイン更新」ボタンで

1分もあればアップデートできますから、サクッとやって起きましょう。

 

また、不要なプラグインは必ず削除して下さい。

プラグインはプログラムの塊なので脆弱性があると狙われて危険です。

プラグイン運用の鉄則は、インストールするプラグインを最小限にすること、そして不要プラグインは削除。これがとても重要です。

 

Akismet Anti-Spam (アンチスパム)プラグインの有効化

記事に対する悪質なコメント(スパムコメント)を排除してくれるプラグインです。

海外からと思われる意味不明なコメント、URL付きのコメントが投稿されることがありますが、これらを自動的にフィルターしてくれるプラグインなので必ず導入しましょう。とても便利ですよ!

[参考] Akismetの設定方法!スパムコメントをブロックしよう!

 

WordPressのパスワードを強固なものに変更

パスワードが簡単な文字列の場合、パスワードを総当たりされて簡単にログインされてしまいます。

アルファベット・数字が混在する最低でも10文字以上のパスワード(できれば大文字・小文字を混ぜる)になっているか確認しましょう。

 

もし強固なものに変更した方が良いと判断したら、以下の手順でパスワード変更をしましょう。

1 「ユーザー」→「あなたのプロフィール」

 

2.「パスワードを生成する」ボタンをクリック

 

3.パスワードを決める

WordPressが自動的にパスワードを生成してくれます。

これが一番強力なので、推奨はこの自動生成されたパスワードを使うことです。ここで生成されたパスワードは、必ずメモっておきましょう。

もし、ご自身でパスワードを決めたい場合は、自動生成されたパスワードを消去してご自身で文字列を入力します。

ただし、以下のようにあまりに簡単なパスワードは辞めましょう。「非常に脆弱」などの警告が出てしまう簡単なパスワードを設定しないよう注意しましょう。

 

4.「プロフィールを更新」ボタンをクリック

以上でパスワード変更が完了です。

 

5.WordPressをログアウト、そして再ログイン

WordPressの管理画面の右上より「ログアウト」します。

そして、再ログインしてください。変更後のパスワードでログインできることを確認します。

 

ログイン試行回数制限の設定をONにする

短時間に連続してWordPress管理画面へのログイン失敗が行われた場合、アクセス制限をかけることができます。

これは、パスワード総当り(ブルートフォースアタック)による不正アクセスを防止するものです。

もしログイン失敗が連続で起こると、ログイン制限をかけてくれます。そして24時間後に解除されます。

設定ですが、エックスサーバー管理画面「サーバーパネル」にログインして実施します。

 

1.エックスサーバーのサーバーパネルにログイン

「WordPressセキュリティ設定」をクリックします。

 

2.ログイン試行回数制限設定 ON

上部タブ「ログイン試行回数制限設定」をクリックします。

そして、「現在の設定」欄が「ON」と表示されていることを確認してください。

もしここが「OFF」となっている場合は、右にある「ONにする」ボタンをクリックします。

以上で設定は完了です。

 

PHPのバージョンを最新にする

運営歴が長いサイト、更新が滞っているサイトの場合、PHPのバージョンが古いままの場合があります。

PHPの古いバージョンは、危険な場合があるので推奨できません。

エックスサーバーのコントロールパネル内でPHPのバージョン確認・変更ができます。

注意

動かすプログラムによって推奨されているPHPのバージョンが存在しますので、PHPバージョンを最新に変更することで既存プログラムが動かなくなることのないようご確認ください。特殊なプログラムを動かしている場合は必ず推奨環境を確認してください。そして不具合が起きた場合は、バージョンをもとに戻すのがいいかと思います。

 

1.PHPのバージョン確認

PHPバージョン確認

「PHP Ver.切替」をクリックします。

 

2.PHPの現在のバージョンを確認・変更

PHPバージョン確認・変更

「現在のバージョン」に表示されている数字が、推奨のものか確認してください。

こんな感じで、エックスサーバーでは古いバージョンには「非推奨」の文字が付いています。

もし非推奨のバージョンを使っている場合は、「推奨」バージョンに変更することをおすすめします。

 

エックスサーバーのセキュリティ強化する「WAF設定」

エックスサーバーはセキュリティへの取り組みがしっかりしています。

直近では、公式サイトで以下のお知らせが掲載されています。

[参考] Webサイトのセキュリティを強化する「WAF設定」機能提供開始のお知らせ(2018年7月18日)

Webサイト上で動作するプログラムの脆弱性に対する主要な攻撃を幅広く防ぐ機能を提供開始するようです。

僕の環境ではまだ利用開始できるのが先なので試せていませんが、このようなセキュリティ関係のお知らせは定期的にチャックして、セキュリティの確保に努めましょう。

WordPressの不正アクセス対策まとめ

どんな対策をしても完璧はありませんが、日頃からセキュリティへの意識を持ってできることをすることが大切です。

特に契約しているレンタルサーバーから届く情報に目を通すだけでも、まずはOKです。

またWordPressに定期的にログインをして、アップデートの通知が来ていないかも合わせてチェックしましょう。

できることから少しずつやっていきましょう!

4 Comments

森田かな

拝読させていただきました。
大変勉強になり、メモも取らせていただきました。
良い記事を提供してくださり、ありがとうございます。

返信する
ないこ

ナオトさん、こんにちわ!ワードプレスを勉強中なのでとても勉強になりました。ありがとうございました!

返信する
ナオト

ないこさん
コメントありがとうございます。
勉強中とのことで、お役に立ててよかったです!

返信する

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です