[準備編 Level 3.] WordPress(ワードプレス)は狙われやすい! 旅立つ前にセキュリティ設定を忘れるな

WordPress(ワードプレス)はとても便利だが利用者数が多いのでハッカーなどに狙われすい。

あとから泣きを見ないためにも、セキュリティーは万全にしておこう。

ここでは、WordPress(ワードプレス)側でできる対策サーバーでの設定に分けて説明していく。

WordPressのプラグインで強固なセキュリティーを構築

まずは、Level 2.で設定した情報を元に、WordPressの管理画面にアクセスしよう。

初期では、「https://ドメイン名/インストールフォルダ名/wp-admin/」がログインURLなはずだ。

下記の画像を参考にして作業を進めよう。

ログインするとダッシュボードが表示されるはずだ。黄色いマーカーで目印をつけてある「プラグイン」の項目から設定をしていく。

WordPress(ワードプレス)の大きな魅力のひとつが、プラグインの存在である。

プラグインはWordPress(ワードプレス)の機能を様々なかたちで補ってくれるアクセサリーのようなものだ。

プラグインの種類は数多の数あって、冒険者の多種多様な望みを叶えてくれるツールである。

プラグインはインストールすれば直ぐに使えるので利便性も高いぞ。

ここでは、セキュリティ用のプラグインをインストールしていこう。

下記がプラグインの管理画面となる。

初期では、いくつかのプラグインがインストールされているが、先ずは新規で追加していこう。

外面左上にある、「新規追加」のボタンを選択しよう。

新規追加のページでは好きなプラグインをインストールできる。

最初のページでは、注目のプラグインが並んでいる。

強固なセキュリティのためにWordfenceを装備しよう

先ず最初にインストールしたいのが、「Wordfence Security」というプラグインである。

これはWordPress(ワードプレス)にファイアウォールとマルウェアスキャン機能をつけてくれるプラグインである。

ハッカーはターゲットしたサイトを様々な方法で攻めてくる。

それを効率的にブロックしてくれるのが、このWordfence Securityというプラグインだ。

設定は簡単なので、順を追ってやっていこう。

先ほどの検索ボックスに「Wordfence Security」と打ち込むと、プラグインのボックスが出てくるので、「今すぐインストール」して完了したら、そのままプラグインを「有効化」しよう。

有効化が完了すると、下記のような画面が表示される。

一番上のボックスにメールアドレスを記入する。

メールアドレスを入れたら「CONTINUE」を選択しよう。

プレミアムキーを求める画面が表示されるが、これは有料版のキーなので、右下の「No Thanks」を選択する。

設定が完了すると、ダッシュボードの画面に戻る。

左の項目に「Wordfence」のアイコンが表示されているので、そこから設定画面に移ろう。

アイコンを選択すると現れるメニュー項目から「Dashboard」を選択する。

そうすると下記のような画面が表示されるはずだ。

これは簡易的な機能説明なので飛ばしてもらって大丈夫だ。「NEXT」を選択して飛ばそう。

ファイアウォールの最適化設定

説明が消えると設定画面に移行するので、左上「Firewall」から「Manage Firewall」を選択する。

このプラグインはファイアウォールを自動で最適化してくれる機能が備わっているので、その設定を完了させよう。
ファイアウォールの管理画面が表示されるので「CLICK HERE TO CONFIGURE」を選択。

設定画面がポップアップ表示されるが、ここはデフォルトのままでOKだ。「CONTINUE」を選択しよう。

Wordfenceを初めて設定する場合、ファイアウォールは最適化のためにラーニングモードになる。ラーニングモードは自動で完了するので、とりあえずはこのままでOKだ。

ファイアウォールのオプション設定

次に細かい設定をやっていこう。

先ずは、画面を変えずに、下にある「Advanced Firewall Options」を選択する。

ここでは、ホワイトリストに自分のIPアドレスを登録できる。
ホワイトリストに登録されたIPアドレスは攻撃判定されないので、念のため自分の作業が攻撃だと判定されないようにしておこう。

ちなみに、自分のIPアドレスを調べるには、下記のサイトで調べることが可能だ。

https://www.cman.jp/network/support/go_access.cgi

このサイトで表示されるアドレスが自分のIPアドレスなので、ホワイトリストにコピペしておこう。
※フリーWifiなど、自身の固定ネットワーク以外のIPアドレスは絶対に登録しないように気をつけよう。共有で使っている回線などを登録してしまうと、第三者へのアクセスを許可してしまう。心配ならここは空欄でもOKだ。

ブルートフォースの設定

続いて、ハッキング攻撃でとくに多いブルートフォースという攻撃に対しての設定を済まそう。

ブルートフォースというのは、自動的にサイトを攻撃する方法で、ログインパスワードをクラッキングするために使われる。
攻撃自体は非常にシンプルで、何回も違うパスワードを試してログインを試みようとする。
簡単なパスワードほど破られる可能性があるので、注意が必要だ。

デフォルトの設定のままでも大きな問題はないが、念の為、ログイン失敗回数などの値を変えよう。

下記の画像を参考に作業を進めていく。

Wordfenceの項目から「All Options」を選ぼう。
Firewall Options」項目の3つ目に「Brute Force Protection」があるので、その設定を変えていく。

上記の設定は主に、何回ログインまたはパスワードを失敗したらロックアウトするのかを設定できる。

設定の回数は大体の目安であることを理解してほしい。あまり回数を厳しくすると、万が一パスワードを間違ったりした時に、自分がロックアウトされる可能性があるので、その辺を踏まえた上での設定である。

設定を変えたら右上の「SAVE CHANGES」をクリックして保存しよう。

メール通知設定

次はメール通知の設定に移ろう。

Wordfenceは優れたプラグインだが、初期設定のままだとガンガン通知メールを飛ばしてくるので、必要なメールだけを飛ばすように設定しよう。

メール通知の設定は、「All Options」>「Wordfence Global Options」>「Email Alert Preferences」から可能だ。

上記は重要な項目だけを知らせるように設定している。
他に通知メールが欲しい場合は設定をカスタマイズして変更しよう。

設定が完了したら保存を忘れずに。

WordPressのバージョンを隠す設定

最後にWordpressのバージョンを隠す設定をしておきたい。
WordPressではバージョンの脆弱性を突いて攻撃してくることもある。その際に、アップデートがされていないバージョンはターゲットにされやすいため、バージョンを隠すことは重要だ。

設定はものすごく簡単で、「All Options」>「Wordfence Global Options」>「General Wordfence Options」を選択。

下記の画像の項目にチェックを入れよう。

以上でWordfenceの設定は完了だ。

他にも色々項目があるが、デフォルトのままでも十分機能する。さらに設定をしたい冒険者は、必要に応じてカスタマイズして欲しい。

WordPress 第二のセキュリティプラグイン「Site WP Plugin」を装備しよう

さて、ここでもうひとつのセキュリティプラグインを紹介したいと思う。

このSite WP Pluginは主にログイン画面に対してのセキュリティを強化してくれる。しかも、日本のセキュリティ会社が提供している日本製のプラグインなので、設定も日本語で使いやすいプラグインだ。

このプラグインはWordPressをインストールすると自動で入っている(有効化はされていない)こともあるが、入っていない場合はWordfenceと同様の手順でインストールしよう。

まずはプラグイン管理画面から、「新規追加」を選ぶ。

インストール画面が表示されたら、右上の検索ボックスに「SiteGuard WP Plugin」と入力。

SiteGuard WP Plugin」が見つかると思うので、インストールして有効化を済ませよう。

下記がSiteGuard WP Plugin」の管理画面となる。

一番上の「管理ページアクセス制限」から設定を始めよう。

管理ページアクセス制限

ここでは設定をONに変更しよう。

これによって何らかの不正アクセスによって、ログインページをスルーするアクセスを無効化できる。

ログインページ変更

次に、「ログインページ変更」に移ろう。

WordPressは初期設定のままだと、ログインアドレスは「ドメイン + WordPressをインストールしたフォルダ + wp-admin」と共通なので、第三者に見破られやすい。

SiteGuardはこのログインアドレスを変更して、ログインページをわかりにくくしてくれるぞ。

デフォルトでONになっているので、新しくなったログインページのURLを忘れずにブックマークしておこう。

ちなみに、万が一、ログインページのブックマークを忘れてしまった場合でも確認する方法はあるので安心しよう。

FTPソフトを使ってサーバーにアクセスする(FTPソフトの使い方は別の記事で紹介しよう)。
WordPressをインストールしたフォルダの直下に、「.htaccess」というファイルがあるので、テキストエディタなどで開こう。
項目の中に、「#SITEGUARD_PLUGIN_SETTINGS_START」というタイトルがあるはずだ。
その中の「RewriteRule ^login_00000(.*)$ wp-login.php$1 [L]」の行があるはずだ。
赤字でマークした箇所がログインページのアドレス末尾となる。
参考までに、下記に.htaccessファイル内の見本を記載しておく。こちらの6行目が該当の行に当たる。

画像認証

ここではログインページに認証項目を追加できる。
とくに設定をいじる必要はないだろう。

設定すると下記の画像のようにログインページに認証項目が追加される。

ハッキングは海外からの攻撃が大半なので、認証方法はひらがなをオススメする。

ログイン詳細エラーメッセージの無効化

WordPressではパスワードまたはユーザー名がエラーの場合、どこの箇所でログインに失敗したか表示されてしまう。

ここでは、ログインに失敗した際に出るエラーメッセージを同一化してくれるので、失敗した箇所をわからなくしてくれる便利な機能だ。

デフォルトでONになっているのでそのままで問題ない。

ログインロック

ここでは、ブルートフォースなどの何回も不正ログインを試みてくる攻撃に対して、ロックをかけてくれる。

Wordfenceが有効になっている場合はOFFにしても問題ないが、ONにしていても問題ないのでそのままの設定でOKだ。

ログインアラート

ログインアラートはログインがあった際にメールで知らせてくれる機能だ。

ログインした心当たりがないのにメール通知がくる場合は、不正ログインの可能性があるので即座にパスワードを変更しよう。

デフォルトでONになっているのでそのままでOKだ。

フェールワンス

フェールワンスは正しいログイン情報を悟らせないために、ログインを必ず一回失敗させる機能だ。

セキュリティ的にはいいが、毎回ログインする度に一度は失敗するのでかなり煩わしく感じると思う。

ここはデフォルトのままOFFを推奨する。

XMLRPC防御

こちらはピンバックによる不正攻撃を防いでくる機能だ。

ピンバックというのは、他者がサイトのリンクを貼ったということを知らせてくれる機能だ。

例えばWORDPRESS QUESTの記事を、冒険者Aのサイトでリンク貼りして紹介するとする。
するとWORDPRESS QUESTに「リンクを貼りました」というメッセージが届く。それをこちらが承認すると、リンクが公開される。

これがピンバックの仕組みである。

ただ、このピンバックを悪用した攻撃で、DDos攻撃というものが存在する。
大量のピンバックを送信して、サーバーに負荷をかけてサイトをダウンさせる攻撃だ。

ピンバック自体あまり意味がないので、ここは設定をONにしておいた方が賢明だろう。

更新通知

冒頭で伝えた通り、WordPressは狙われやすい。

故に、WordPressは常に最新の状態に更新しておく必要がある。

ここでは、最新のバージョン(WordPress・プラグイン・テーマ)が利用な場合に知らせてくれる。

デフォルトの設定のままでOKだ。

WAFチューニングサポート

ネットセキュリティのひとつにWAF(Webアプリケーションファイアーウォール)という機能が存在する。

これは、サーバー側で設定する機能だが、強固なセキュリティなので伝説の防具と言っても過言ではない。

このWAFは強固なのだが、サイト管理者の操作もちょいちょい攻撃判定してしまう、困ったさんな面もある。

その際に「この攻撃はサイト管理者のものだよ」って伝えるのがこの「WAFチューニングサポート」だ。

ただ、現段階ではWAFの設定はしていないのと、エラーに関しては直接サーバーで設定した方がいいので、ここはOFFのままでOKだ。

ログイン履歴

こちらでは、ログイン履歴が確認できる。

自身のIPアドレス以外のログインがあった場合は不正アクセスの可能性があるので注意が必要だ。

定期的に確認するようにしよう。

詳細設定は専門的なものになるので、とりあえずデフォルトのままでOKだ。

以上でWordPress側でのセキュリティ設定は完了となる。

今回紹介したプラグイン以外にもセキュリティプラグインは存在するが、先ずはこのふたつで十分だ。

では、冒険者諸君、GOOD QUEST !!