ブログ初心者・すでに運営している人こそ対策を。wordpressブロガーのセキュリティ対策とは


Warning: Trying to access array offset on value of type bool in /home/shu1good/in-sec.xyz/public_html/wp-content/plugins/pryc-wp-add-custom-content-to-bottom-of-post/pryc-wp-add-custom-content-to-bottom-of-post.php on line 54

Warning: Trying to access array offset on value of type bool in /home/shu1good/in-sec.xyz/public_html/wp-content/plugins/pryc-wp-add-custom-content-to-bottom-of-post/pryc-wp-add-custom-content-to-bottom-of-post.php on line 59

Warning: Trying to access array offset on value of type bool in /home/shu1good/in-sec.xyz/public_html/wp-content/plugins/pryc-wp-add-custom-content-to-bottom-of-post/pryc-wp-add-custom-content-to-bottom-of-post.php on line 60

どうも、現役のセキュリティエンジニア兼日本一ギャグセンスがあるエンジニア、しゅういちです。

あなたのWordpressにセキュリティの設定は入っているでしょうか?個人でブログを運営していくのに必要になるのがセキュリティ設定。今日はブロガーが考えるべきセキュリティについて、いくつかお伝えできればと思います。
※以下の説明について、セキュリティ設定をしたからと言って必ず被害が起こらないということを示すものではありません。

Contents

年々攻撃からの被害は増えてきている!

個人でブログをやっている人にとって、これから挙げる攻撃は無視できないほど大きくなっています。なぜなら、Web上にブログというWebサイトを構築しているから。24時間365日稼働しているWebサイトはたくさんの人に見てもらえる反面、外部からの攻撃が受けやすい状況になっているというのも否定できません。

そもそも、ブロガーが意識すべき外部からの攻撃ってどんなものがあるのでしょうか。
以下にいくつか示します。

DDos攻撃

特定のWebサイトへ負荷をかけたアクセスを行うDDos攻撃。標的型攻撃ともよばれます。

ブルートフォース攻撃

総当たり攻撃ともよばれ、暗号解読方法のひとつ。ログインIDやパスワードの組み合わせを用意して繰り返しログインを試みる攻撃のことです。

日本人は鎖国をしていた時代から外部からの攻撃を守るという観点が乏しい傾向にあります。企業側では、直接利益につながらないなどの理由から、セキュリティ対策に予算を回すことが後回しになってしまう傾向にあります。

正直、被害に遭ってみないとわからないというのもあるのですが。。。事前に攻撃者からの攻撃を防げるに越したことはありません。

私も最初は自分の身にはそんな攻撃は起こらないでしょ!とタカをくくっていたんです。ですが、私はそう思ってた矢先にLINEの乗っ取り被害にあいました。当時、「LINE乗っ取られているよ!」とFacebookやGmailなどで連絡がたくさん来る状況にありました。

上記の攻撃から身を守るために何をすべきか?

とはいっても、最低限のセキュリティの設定をしておくことで、攻撃を防ぎやすくすることは可能です。対策として3つの方法を以下に示します。

SiteGuard WP Pluginを導入する

WordPressユーザならSiteGuard WP Pluginのプラグインを入れることを凄くお勧めします。

どんなプラグインかというと、サイバー攻撃の対策を行うための機能が揃っているということ。

具体的には

  • 初期設定のURLの配置を変えてくれる。
  • デフォルトの設定でwordpressを運用していると、自分自身のwordpressの管理画面にアクセスされてしまうのは、セキュリティ上よくないことです。なぜなら、管理画面のログインを突破された場合、勝手に記事が投稿されて、風評被害にさらされてしまう可能性が上がります。

  • ログインをおこなったら、通知してくれる。
  • 登録したメールアドレスにログインをしたら、「wordpressにログインされましたよ」ということを通知してくれます。

  • CAPTHA認証を設定してくれる
  • CAPTHA認証とは、ログイン時にIDとpassの入力と同時に画像に書いてある文字を入力してログインさせる機能のことを言います。メリットは、人がちゃんと画像を判断して、IDとパスワードを入力してますということをwordpress側に示すことです。

    httpsの暗号化通信設定を行う

    httpsの通信とは、自分の運営しているwebサイトが外部に通信を行う際に、暗号化して通信を行う技術のことを示しています。

    設定するのに時間がかかることや、わかりづらいという点で後回しにしがちですが、本来なら最初に設定しておくべき項目です。

    ブログなどを始める際に設定する必要がある理由は2つあって一つはコンテンツが増えてくると、後で設定する際に手続き等がめんどくさくなってしまうこと。もう一つはパスワードなどが暗号化されていないため、盗聴される可能性があります。仮に盗聴された場合、あなたがwordpressにログインする際にパスワードなどの情報が漏えいする可能性があるためです。

    セキュリティ対策の機能が入っているレンタルサーバを利用する

    標準装備されているレンタルサーバがあると、私たちブロガーはセキュリティの設定がある分、対策がしやすくなります。私がお勧めしているのはXserverですが、セキュリティの機能が充実しているのがとても素晴らしいと思ってロリポップからXserverに移転しました。

    セキュリティも含めてレンタルサーバを選ぶならXserverがオススメ!

    上記の理由から、複数の機能がついてパフォーマンス(Webサイトの表示スピードなど)が高いものについてはどのブログでも言っているのですが、Xserverが断然お勧めできます。その理由を3つ以下に示します。

    無料のssl化がついてくる

    通常のssl化は費用がかかります。ロリポッ○なんて、1ヶ月で2000円かかる。で、さらにいいことは、3ヶ月ごとの更新から選べるから早い段階でブログに飽きても、すぐに凍結できるw

    14日間のバックアップがついてくる

    もし、仮にあなたのwordpressが攻撃を受けて、今までの記事が破損してしまった場合、バックアップがあれば、攻撃を受ける前の情報に戻すことができるので、被害を最小限に抑えることができます。Xserverには14日間のバックアップを取ってくれる標準機能がついているので、被害に遭ったときでも、数日前のサイトに戻すことが可能です。

    国外からのアクセスを制限するための機能がある

    IP制限という機能なのですが、IPアドレスとは、インターネット上で使われるいわば住所のようなものです。IPアドレスはインターネット上に公開されているすべてのパソコンに設定されています。IP制限とは国内で認められていないIP(海外からのアクセスなど)の表示をブロックするための機能です。国外にお住まいの方には導入について、ご自身で判断されることをオススメします。

    まとめ

    セキュリティを設定することは、ブログを見に来てくれるユーザの個人情報を守ることと、あなたのサイトが外部からの攻撃から被害を受けないために必要な設定です。必ずしもセキュリティの設定をしたからと言って被害に遭わないということはないのですが、この記事を読んで少しでも、セキュリティの意識を高めていってほしいなと思います。