うわっ…私のWordPress、セキュリティ甘すぎ…?現役エンジニアが10分できる対策方法を紹介!

WordPress
スポンサーリンク

どうも、ウェブ系ウシジマくんです。

仕事柄セキュリティについてよく考えることが多いのですが、

 

ウェブ系ウシジマくん
ウェブ系ウシジマくん

そういえばこのブログ、SSLしかやってないな。。

と気づいたので、先日セキュリティ対策作業を行いました。

とは言っても高価なセキュリティソフトを購入したのではなく、

  • 無料のWordPress用プラグインを導入
  • ログイン情報を一元管理できるアプリの購入
  • WordPressのログインURLの変更

やったのはこの3つだけ。

作業時間としては10分くらいでできるので、とっても簡単。

ということで、今回はWordPressを使ってブログを運営している人向けにプラグインを使ったセキュリティ対策について書いていこうと思います。

あなたのWordPress、セキュリティ対策していますか??

これからWordPressのセキュリティ対策について記事を書いていくのですが、読み進めていただく前に簡単なセキュリティチェックをしてみましょう。

まず、自分が運営しているサイトURL(以下ドメイン)の末尾に /wp-login.phpという文字を入力し、エンターキーを押してアクセスしてみてください。

もし、その際に以下のようなログインページが表示された場合、SSL対応していてもあなたのセキュリティ対策レベルは0です。

ログインページの悪い設定例

ちゃんと対策されている方は、以下のようなページが見つからないというエラーが返ってくるはずですね。

ログインページの良い設定例

なぜドメインの末尾にwp-login.phpとつけるだけでログインページが表示されてしまうのでしょう?

それは、WordPressは多数のプログラムファイルで構成されており、デフォルトだとwp-login.phpというファイル名がそのままURLとして指定されているためです。

WordPressはオープンソースと呼ばれるソフトで利用するのに料金はかかりません。

ただし、その分悪意をもったユーザーの標的になりやすいので、最悪の場合サイトを乗っ取られる可能性があるんですよね。

無料で使えるが故に、セキュリティ対策は基本的に自分で行う必要があります。

これから紹介するプラグインやソフトを使えば、最低限の対策はできるので、さっそくみて行きましょう!

ボタンクリックだけで設定完了!おすすめプラグインを紹介!

WordPressには、インストールするだけで使えるプラグインと呼ばれる拡張機能があります。

プラグインをインストールすることで、WordPressはどんどん便利になっていきます。

ただし、なんでもかんでも入れすぎるとサイトの表示が遅くなるなどのデメリットもあるので、見極めは必要ですけどね。

今回紹介するのは、

  • SiteGuard
  • Google Authenticator

というプラグインです。それでは次から導入手順をみていきましょう。

サイドバーのプラグインにカーソルをあわせて、その中から新規追加をクリック。

画像青枠の部分が検索バーなので、そこにSiteGuardとGoogleAuthenticatorと入力してください。

プラグイン検索バー

Site Guardと入力すると、検索結果が異なってしまうので、注意してくださいね!

画像だと有効となっていますが、まだインストールされていない場合は今すぐインストールとなっているので、それぞれクリックしてインストールしましょう!

SiteGuard

GoogleAuthenticator

SiteGuardでログインURLを変更しよう!

さて、まずはSiteGuardの設定からみていきましょう。

SiteGuardのインストールに成功すると、サイドバーにSiteGuardという項目が増えているのがわかります。

カーソルを合わせるといくつか項目がありますが、ログインページ変更をクリックしてください。

ログインページ変更

青枠の部分に任意の文字を入力します。問題なければ変更を保存をクリックすれば、設定は完了。

なお、ここに入力した文字が、今後あなたのサイトのログインURLになるので、忘れないようにメモしておきましょう!

これを忘れると、サイトにログインできなくなりますので、要注意です!

なお、もし万が一わすれてしまった場合は、SiteGuardプラグインをFTPソフト経由で削除をすれば復旧します。

ですが、手順が若干複雑なので、今回の記事では割愛しますね。

また、SIteGuardには他にも色々と機能があるので、興味があれば調べてみるといいでしょう。

完了できましたか?このSiteGuardによって、あなたのログインページは変更されました。

おめでとうございます、あなたのセキュリティレベルは1になりました!

ただ、これだけではどんなに強固なパスワードを設定したとしても、

 

これでセキュリティ対策はバッチリ!

とはいえないんですよね。

そこで導入したいのが次に紹介する2段階認証です。

Google Authenticatorで二段階認証を設定しよう!

さて、続いてGoogleAuthenticatorで二段階認証を設定していきましょう!

プラグインを有効化したら、サイドメニューにあるユーザーにカーソルをあわせて、あなたのプロフィールをクリックします。

画面遷移したあとにスクロールしていくと、Google Authenticator Settingsという項目があるので、

  • Activeにチェックをいれる
  • Descriptionは任意で入力
  • Secretに表示されている文字列をコピー

上記それぞれ設定してくださいね。

Google Authenticator Settings

WordPressでの設定はこれでおしまい。

続いて、ワンタイムパスワードを生成するためのスマホ・タブレット用アプリをダウンロードします。

GooglePlayまたはApp Storeにて、GoogleAuthenticatorと検索してみてください。

App StoreでGoogleAuthenticatorと検索した場合

ダウンロードしたら、WordPressのプロフィールページ内GoogleAuthenticatorSettingで控えたSecretを登録する作業に移ります。

アプリを開くと、画面上部に「+」ボタンがあるので、そこをタップ。

すると、設定ページが開くので、

  • 「アカウント」には任意の値
  • 「キー」にはWordPressのGoogleAuthenticatorSettingsページでメモしたSecretの値

をそれぞれ入力してください。

これで、設定は完了。一度ログアウトした際に、GoogleAuthenticaror Codeとして入力項目が増えていることを確認しましょう。

新しく追加されたログイン画面の入力項目

スマホ・タブレットのGoogleAuthenticatorアプリに表示されているワンタイムパスワード(6桁の数字)を入力し、ログインできたら成功です!

お疲れ様でした!

まとめ:セキュリティ対策を行って、安全にサイトを運営することが大事!

これで、今回のセキュリティ対策にまつわるお話はおしまいです。

正直、セキュリティ対策において100%安全というものはなくて、サイトを運営する以上は常に意識しなければなりません。

今回紹介した内容も、最低限のものなので、これをやったらからと言って絶対安全とうわけではないですが、少なくとも無対策よりは安全性が高いといえると思いますね。

WordPressのアップデートも頻繁に行われるので、最新版を常にアップデートしていくことも心がけるといいでしょう!

ここまで読んでくださり、ありがとうございました。それではまた次回!

WordPress
ウェブ系ウシジマくんをフォローする
記憶に残るプログラミング講座、それがSkill Hacks

プログラミングの基礎を身につける際に、いきなり分厚い技術書で学ぼうとすると、十中八九挫折します。

なぜなら、初心者向けとはいえど、大半の教材は前提知識ありきで書かれているから。

今の時代、最短でプログラミングの基礎力をつけるのなら、間違いなく動画学習でしょう。

数ある動画学習教材で、個人的に一番オススメなのが「Skill Hacks」ですね。

LINE@で質問し放題なので、挫折せずに最後までやりきることができるでしょう。

プログラミングのスタートダッシュを切りたいなら、まずは「skill Hacks」から。

28歳からはじめるフリーランスLIFE!