おすすめ記事はこちら
ブログ

セキュリティは万全?自分のWordPressをプラグインでしっかり守ろう!

皆さん、ブログの基盤は何を使っていらっしゃいますでしょうか。

今回はWordPressを選択している方が対象となりますが、どこの基盤にせよセキュリティは万全でしょうか。

知名度も高く初心者にも使いやすいですが、それだけに攻撃者が標的にしやすいことも忘れてはいけません。

特にWordPressは初心者でも参入しやすいため、おろそかにしがちなセキュリティについて語っていこうと思います。

エンジニア視点だと「当たり前だよ!」と感じる事ではありますが、

初心者ブロガーA
初心者ブロガーA
とりあえず作って、記事をどんどん書かなきゃ!セキュリティはIDとパスワードだけ入れとけば良いでしょ!

といった人で案外抜けている方もいらっしゃるかと思います。
IT知識はブログを始めたくらい、という方は是非見て頂きたいです。

シマエナガ
シマエナガ
ワードプレスは直感的に操作できて楽しいなぁ。
Naruki
Naruki
コーディング技術がなくても、これだけカスタマイズ性があると楽しいよね。ただ一方で、セキュリティが万全であって初めて機能させるものであることを忘れてはいけない。
シマエナガ
シマエナガ
そんな大げさな、攻撃を受けるなんて有名ブロガーさんとかでしょ?
Naruki
Naruki
世界に繋がるインターネットだから、無名な人に対しても攻撃を仕掛ける奴はいる。絶対に他人事にしてはいけないよ。
シマエナガ
シマエナガ
でも、セキュリティ対策って面倒くさそう・・・
Naruki
Naruki
基本的にプラグインを入れるだけ。あとは用途に合わせてアプリを入れるだけだから、コーディングとかも特になくて簡単だから大丈夫!
読みたい目次をクリック
  1. WordPressへの総当たり攻撃
  2. 対策プラグイン
  3. WordPressへの二段階認証(二要素認証)設定
  4. まとめ

WordPressへの総当たり攻撃


色々な攻撃方法があると思いますが、WordPressで特に気を付けてほしいのは総当たり攻撃への対策です。

総当たり攻撃(そうあたりこうげき)とは、暗号解読方法のひとつで、可能な組合せを全て試すやり方。 力任せ攻撃、または片仮名でブルートフォースアタック(英: Brute-force attack)とも呼ばれる。
Wikipedia

Naruki
Naruki
基本的にはIDが分かっていて、パスワードを試し打ちしまくる手法。
シマエナガ
シマエナガ
なんで総当たり攻撃が危ないの?IDなんてわからないんじゃ…
Naruki
Naruki
それが驚くことに、対策していないと簡単に分かっちゃうんだよね・・・

WordPressのログインIDが簡単にわかる?

まず下記のトップページURLを、自分のブログサイトのURLに置き換えて試してください。

トップページURL/?author=1

表示が変わって出てきたでしょうか?
WordPressのデフォルト設定のままの人は、下記のようにIDが表示されてしまいます

トップページURL/author/ログインID

驚きエナガ
驚きエナガ
こ、これは誰でも分かるし、やばくない?
Naruki
Naruki
デフォルトでこれは初心者殺しすぎる・・・。総当たり攻撃が増えるのも納得だね。

上記理由は一例ですが、パスワードだけ設定している人は乗っ取られる可能性があります。早急に次の項目から手を打ちましょう。

対策プラグイン


各対策について、以下を挙げますのでご参考にどうぞ。
基本的にプラグインを有効化して、簡単な設定をするだけでできてしまいます。

驚きエナガ
驚きエナガ
WordPressすごい・・・!

Edit Author Slug

まずは大前提、前項でログインIDが出てきてしまった人の対策としてはこちらです。

WordPress.org 日本語
外部サイト
 
Edit Author Slug
https://ja.wordpress.org/plugins/edit-author-slug/
Allows an admin (or capable user) to edit the author slug of a user, and change the author base.

プラグインを有効にしたら、
ユーザー > あなたのプロフィール > Edit Author Slug 内の投稿者スラッグ

この投稿者スラッグを、ログインIDと別のものに変えましょう。

変更を適用したら、もう一度先ほどのURLで確認します。

トップページURL/author/設定した投稿者スラッグ

となっていれば完了です。

シマエナガ
シマエナガ
簡単にできるね!これでもう突破されない?
Naruki
Naruki
いや、ワードプレスの目立つ脆弱性みたいなのを隠蔽しただけ。違う経路でIDを入手するかもしれないし、別の対策は打たないと。
シマエナガ
シマエナガ
セキュリティは「かもしれない運転」と似てるね。

Limit Login Attempts Reloaded

こちらも総当たり攻撃対策として有効な手段となります。

何回ログインを失敗したら、何時間かロックする(ログインできなくする)

といった代物です。

シマエナガ
シマエナガ
スマホのロック画面と同じね。
Naruki
Naruki
そうだね。総当たり攻撃は試行回数が命だから、制限をかけることで大幅にリスクを減らすことができるよ。

こちらもプラグイン導入後、

  1. 設定
  2. Limit Login Attempts

で設定画面に遷移できます。

Settingsタブを押すと、下記画面にてロックの条件を決定することができます。

あまり設定を厳しくしてしまうと、自分の誤入力でロックをかける可能性があります。ある程度余裕を持たせた設定がおすすめです。

レンタルサーバーによっては、サーバーパネルで設定ができる

私はエックスサーバーを使用していますが、サーバーパネルにて設定できるものもあります。
ご自身が利用しているサーバーに設定があるか確認していただいて、あった場合は是非利用していただきたいです。
無い場合はLimit Login Attempts Reloadedのプラグインで大丈夫です。

エックスサーバーの場合(それ以外の方は読み飛ばしてください。)

サーバパネルを開き、ログインする。

②ログインをしたら、「WordPress」欄の「WordPressセキュリティ設定」を押下

③ドメイン選択画面にて、自分のブログページのドメインを選択する

④設定画面が現れるので、それぞれONか確認する

シマエナガ
シマエナガ
どれをONにすればいいの?
Naruki
Naruki
全部(推奨)って書かれている通り、特殊な事情が無ければ基本的には全部ONでOK。

WordPressへの二段階認証(二要素認証)設定


個人情報を入れているスマホアプリなど、二段階認証を目にする機会は多くなってきたのではないでしょうか。
一般的知名度としては2019年、セブンpay事件でも有名になりましたね。
社長が二段階認証を知らなかったという事で話題となるほど、セキュリティ面では大きな役割を果たします。

騒動を知りたい方は下記外部リンクへどうぞ。

ITmedia ビジネスオンライン
外部サイト
 
「二段階認証うんぬん」発言から読み取れる、セブンの危機的状況
https://www.itmedia.co.jp/business/articles/1907/09/news046.html
不正アクセスの問題を受けて、7payの社長は記者からの質問に詰まってしまった。「二段階認証も知らないのか」「信じられない。それでも社長?」といった声が飛び交っていたが、メディアトレーニングを行っている筆者の窪田氏はこの会見をどのように見ているのか。
シマエナガ
シマエナガ
で、二段階認証って?
Naruki
Naruki
(社長・・・?)ざっくりいうと、ログインを2回やる事。主なものだと、1回目はIDパスワード、二回目はワンタイムパスワード入力させたり。オンラインバンキングとかで入金する時に入力したことない?
シマエナガ
シマエナガ
確かにあるね!お金を扱っている銀行でも使用されているほど強固なのか!
Naruki
Naruki
ワンタイムパスワードと併せた時だけどね。ひとまず、これをやっておけばセキュリティは強化できそう。

念のため、ワンタイムパスワードの定義を載せておきます。

ワンタイムパスワードを直訳すると「一度きりのパスワード」です。一定時間ごとに発行され、文字通り一度きりしか使えないパスワード、およびそれを採用した認証の仕組みのことです。
https://japan.norton.com/one-time-password-9101

ログインの時にワンタイムパスワードを確認しないといけないので、そのワンタイムパスワード発行元の管理が重要になります。

次項から、二段階認証設定用のプラグインを紹介します。

Two-Factor

このプラグインをインストールすると、二段階目の認証を追加するだけでなく、認証方法を任意のものに切り替えることができます。

また、プラグインインストール後、
ユーザー > あなたのプロフィール > Two-Factor設定
が追加されているか確認してください。

上記キャプチャに表示されている通り、4つの認証方法から選択できます。

Naruki
Naruki
今回おすすめするのは、2番目のワンタイムパスワードをメインにすることです。

手順は以下です。

  1. スマホアプリ「Google Authenticator」をインストール
  2. 「Google Authenticator」を起動し、右上の「+」ボタン押下
  3. 「バーコードをスキャン」を押下
  4. Two-Factor設定内「時間ベースのワンタイムパスワード(Google 認証システム)欄に表示されているバーコードを読み取る

※上記④について:本記事掲載のキャプチャは設定済のためQRコードが表示されていませんが、未設定の場合表示されます。

これで設定は終わりです。
アプリ側にワンタイムパスワードが表示されたら成功となります。

アプリをインストールした端末が利用できなくなったりすると、ワンタイムパスワードを発行できなくなる可能性があります。扱いには十分ご注意ください。

シマエナガ
シマエナガ
ほかにポイントはあったりする?
Naruki
Naruki
メインをGoogle Authenticatorにしつつ、メールとかも有効にチェック設定することかな。もしも端末がなくても、メールアドレスに届くからね。

まとめ

いかがでしょうか。
公式で導入フローがパッケージでまとまってればいいのですが、自分で調べて設定しなければいけないという点で、独自で構築した方は見逃している可能性があります。
もう知ってるよ!という方が多いに越したことはないですが、初耳の方がいらっしゃったらこれを機に早急に対応頂ければと思います。

シマエナガ
シマエナガ
こんなに設定してたらログインがめんどくさい・・・
Naruki
Naruki
確かに面倒だよね。ただ、ブログは大切な資産。ログインが面倒になるからとセキュリティを緩くするのであれば、その人にとってブログの価値はその程度なのかもね…
要点まとめ

・総当たり攻撃対策はしっかりとすべき
・二段階認証も設定しよう
・ブログは資産。あなたの価値に見合った強固なセキュリティを。

Naruki
Naruki
もし、もっといい方法があるよ!等ご存じの方がいらっしゃいましたら、Twitterやお問い合わせからメールをお送りください!

お問い合わせはこちら↓

お問い合わせ フォームにご記入の上、メッセージを送るを押してください。 ...
こちらの記事もおすすめ!