必要度
- 無料でオススメのセキュリティプラグインをお探しのブロガーさん
- 初心者でセキュリティのことよくわからないけど安心したいブロガーさん
ワードプレスは誰でも無料でつかえる素晴らしいブログツールですが、
反面、セキュリティ対策は自分でやっていかなければなりません。
セキュリティ対策をおろそかにした結果、
ぼくのようにハッキング被害にあってしまう可能性も・・・
起こってないことに気を配るのは骨が折れますが、
起こってからではあとのまつり。
と、冷や汗のスプリンクラーが作動するまえに、
セキュリティ対策プラグインの筆頭、
Wordfence
を導入しましょう。
WordPressをDefenceするみたいな、安易な 洗練された ネーミングでカッコイイですよね!
このプラグインを導入しているワードプレスユーザーは、なんと400万以上!
世界のワードプレスユーザー数は、2020年時点で7000万らしいですから、
400万÷7000万で・・・
ユーザーのおよそ6%は、このプラグインを導入してる計算に。
これを多いととらえるか、少ないととらえるかは・・・
一部機能に制限は出るものの、
セキュリティ対策入門編としては必要じゅうぶんな機能がつかえるため、
かなり優秀なプラグインです。
- ブルートフォース(パスワード総当たり攻撃)からの保護
- マルウェア(不正コード)の検知
- 不正アクセスからの保護 (ファイヤーウォール)
- ブログ・サイトに何か脅威があった場合のメール通知
- ユーザーがログインしたときの通知
- ブログにインストールしたプラグインが最新バージョンでない場合の通知
機能は多いですが、設定はむずかしくないので、
さっそく、
🟢Wordfenceのインストール・設定方法
を解説していきます!
お品書き
Wordfenceのインストールと有効化
・ワードプレス管理画面から、「プラグイン」>「新規追加」をクリック
・検索窓に「Wordfence」と入力し、検索 ・検索結果から「今すぐインストール」をクリック
・インストールが完了したら、有効化
メールアドレス登録とプライバシーポリシーへの同意(必須)
- メールアドレスの入力
- ワードプレスに脅威があった場合の通知の要否
- プライバシーポリシーへの同意
- 「CONTINUE」をクリック
有料版の案内
って人は、「No thanks」選んどけばだいじょうぶです。
↓ ↓ ↓ ↓ ↓ ↓
Wordfenceの各種設定
ダッシュボードに移動したら、通知が出ますが、
「×」ボタンで閉じちゃってオッケーです。
↓ ↓ ↓ ↓ ↓ ↓
Wordfenceを有効化した時点で、保護機能が働きはじめてますが、
その機能を最大限発揮させるために、設定をイジったり追加したりしていきます。
イジるのは以下の4つ。
- ファイヤーウォールの最適化
- ブルートフォース保護のパラメータ変更
- ワードプレスバージョンの隠匿
- ログインの二段階認証化
ファイヤーウォールの最適化
・・・と言っても、ボタンをポチポチするだけなのでカンタンです。
・ダッシュボード上部に表示されている、「CLICK HERE TO CONFIGURE」をクリック
・「DOWNLOAD .HTACCESS」をクリックし、.HTACCESSファイルをダウンロード ・「CONTINUE」をクリック
.HTACCESSとは?
サーバーに保存されている制御ファイルのことです。
プラグインがこのファイルをイジりに行くので、問題があれば元に戻せるように、念のためダウンロードしておきましょう。
これで自動学習がスタートし、
ファイヤーウォールを最適化してくれるようになります。
ブルートフォース保護のパラメータ変更
ハッカーはパスワードを破るために、総当たり攻撃を仕掛けてきます。
そこで、有効な防止策となるのが、
ブルートフォース保護機能、つまり、
ログイン画面のロック機能
ですね。
既定の回数ログインに失敗すると、ログイン画面が一時的にロックされる
・・・ってよくあるやつです。
これによって、ハッカーの時間的手間を増やし、
不正ログインを防ぐ機能ですね。
たとえば、
10回失敗したら1時間ロック
とかだと、パスワードを破るまでに時間がかかりすぎるため、
「ほかのガードの緩いブログを狙ったほうが楽だわーい」
ってなって、ハッカーの標的から外されることが期待できます。
デフォルトだと数値が甘いので、少し厳しく設定しなおし!
↓ ↓ ↓ ↓ ↓ ↓
・「All Options」をクリック
・「Burte Force Protection」タブ内のパラメータを調整
あまり条件を厳しくしすぎると、
自分がログインをミスしたときにロックされてしまいます。
少し余裕をもたせておきましょう。
ワードプレスバージョンの隠匿
みぃ〜たぁなぁ〜!!!
みぃ〜たぁなぁ〜!!!
みてない!
スマホのOSとおなじように、
ワードプレスにはバージョンが存在します。
バージョンアップの内容は、機能向上だけじゃなく、
セキュリティの脆弱性を修復した内容もふくまれている場合があります。
なので、もし、古いバージョンにセキュリティの穴が見つかったとして、
バージョンを更新しないまま放置していたら、
ハッカーの攻撃の的にされるおそれが・・・
デフォルトだと、ワードプレスのバージョンが確認できてしまうため、
管理者以外が見れないように隠匿しましょう。
これにより、
ある特定のワードプレスバージョンを狙ったハッキング
の標的から逃れられる可能性が高まります。
チェックを入れるだけなのでカンタン!
↓ ↓ ↓ ↓ ↓ ↓
・おなじく「All Options」>「General Wordfence Options」タブ内の「Hide WordPress version」にチェック
ここまでの設定がおわったら、一度設定を保存しておきましょう。
↓ ↓ ↓ ↓ ↓ ↓
ログインの二段階認証化
教官! パスワード、やぶられましたぁッ!!
よぉーしいいだろう!
あとはワタシに任せろ!
昨今、メジャーなログイン方法となりつつある二段階認証。
ログインバスワードのほかに、ワンタイムパスワードを知っていないと、
ログインできない仕組みです。
ワンタイムパスワードとは?
30秒〜1分程度で切り替わり、その時間内に一度だけ使用可能なパスワードのこと。
ワンタイムパスワードは、メールだったり、
スマホの専用アプリで確認できます。
一度別のシステム(メール、スマホ)を経由することによって、
パスワードが看破されてしまった場合でも、
不正ログインを阻止できる可能性が高まるというわけです。
今回は、「Google Authenticator」というアプリを使用して、
二段階認証を設定していきまぁす。
↓ ↓ ↓ ↓ ↓ ↓
・GooglePlay /App Storeで、「Google Authenticator」を探してインストール
・「Login Security」をクリック
・以下の手順通り設定
- 「Google Authenticator」を起動し、QRコードをスキャン
⇒ブログが関連づけられ、ブログ名が表示されます - 復旧コードをダウンロード
⇒アプリの不具合等で、ログインできない場合に使用します
各1行につき1度きり使用可能で、ぜんぶで5回分(ダウンロードしたコードが利用可能で、ダウンロードした時点で、つぎの5回分が生成される) - アプリに表示されるコードを入力
- 「ACTIVATE」をクリック
おわりに:プラグイン以外のセキュリティ対策もやって身を守ろう!
はじめてブログを開設する方は、
ワードプレスが何たるかもおぼろげななか、
敷居が高く見えたであろうWordfenceの設定、
大変におつかれさまでござんした。
ひきつづき残りのセキュリティ対策もやっていきましょう。
↓ ↓ ↓ ↓ ↓ ↓
※お記事作成中です
↑ ↑ ↑ ↑ ↑ ↑
ハッキング被害にあった経験をもとに、
セキュリティ対策を見直した内容をまとめたものなので、
ぜひご確認ください!
ホイジャーマタ!
ホイジャーマタとは?
東海地方の方言で、「それじゃあまた」という意味。
ちなみに「ホジャマタ」と略しても意味は通じる。
