本記事を読めば、「XWRITEのセキュリティ対策|XO Securityの設定」がわかるようになります。
世界トップのシェアを持つWordPressですが、便利なCMSとして仕様からソースの内容まですべて公開されているため、セキュリティの脆弱性も発見されやすいということなんだそうです。
WordPressは、当ブログのような素人でも、今からブログを始める方でも、使い易い構造になっていてうれしい限りなのですけど、そんな便利なパターン化された管理画面のURLなど、他にもハッキングしやすい条件がそろっているようで、ちょっと怖いですよね!
でもでも、セキュリティ対策はできますのでどうぞご安心を。
今回、「プラグイン」を使って、セキュリティ対策をしていきますが、プラグインは、XWRITE公式さんが推奨している「XOセキュリティ」を使っていきます。ちなみに無料です!
このセキュリティ対策をしておけば、一安心ということなので、WordPress・XWRITEを導入したら、なるべく早めのうちにセキュリティ対策をしておくことがオススメです。
「自分のWordPressが乗っ取られることがある」って聞いたことがある・・・・・・・
私も友人から聞いたわ!
ブログを始めたら、セキュリティ対策をしておかないと……
では、早速「プラグイン」を使って、セキュリティ対策をしていこう!XWRITE公式さんが推奨しているXOセキュリティを使っていくよ!
この記事が参考になる方
- XWRITEブログを始めたばかりの方
- XWRITEでセキュリティ対策したい方
- WordPressにセキュリティ対策が必要なのか知りたい方
- XO Securityの設定方法を知りたい方
- セキュリティ対策を始めて知った方
セキュリティ対策って必要?
早めがオススメ!セキュリティ対策。
WordPressって、気軽に始めることができて、とても便利なツールなんですが、その便利さ故、落とし穴が潜んでいたりします。
今回取り上げる落とし穴とは、セキュリティです。
実は、WordPressは、セキュリティがとても脆弱らしいのです
便利さ、汎用性の高さの代償って感じでしょうか?
ブログ運営始めたみなさの中には、「まあ、もっと記事書いてからで、いいんじゃないの?」って思われている方も多くいらっしゃると思いますが、正直ブラックハッカーさん達はそんな事全く関係ありません。
そんなこと言ったってやる事いっぱいなんだ・・・・・!
ブログなんて、毎日膨大に生まれているんだから、
狙われるのは運が悪いだけだよ。きっと・・・・・
このブログはセキュリティーがゆるゆるじゃん!
ちょっと狙ってやるか・・・・・・・
ひえ~
気を付けないとホント危ないですよ!!!
いつまでも後回しにしていると、結局対策しないので、
後で、後悔することにもなりかねません。
ログインに注意
特にですね、「ログイン」が弱いそうです!
ログインって「ユーザー名」と「パスワード」だけですよね!
でも、「ユーザー名」ってそもそも「バレバレ」って知ってましたか?
試しに、自分のurlの末尾に「?author=1」と入力してEnterクリックしてみると、あらあら自分のユーザー名まるわかり・・・なんてことも!!
ですので当初、守ってくれているのは、「パスワード」だけなんです。
まあ、パスワード20桁ぐらい入れている方は、大丈夫かもしれせんが、忘れると大変なので、普通は結構短いパスワード名の人も多いことでしょう!
でもですよ・・「総当たり攻撃」なんていうのもあるようですから、気を付けないといけません。
ほんと、こわいわね!
そこでなんですが、早めにセキュリティ対策をしておくことをオススメします。
XWRITE公式からは、XOセキュリティを推奨!
ということで、セキュリティ対策をしていきます。
XWRITE公式さんからはXOセキュリティを推奨していましたので、XWRITEにXOセキュリティを実装していきましょう。
ちょっと待ってくれ!
推奨とか実装って、またなにか購入しないといけないのか?
大丈夫ですよ、無料の「プラグイン」を利用していきます。
このブログをご覧の方は、初めてのWordPressブログに挑戦する方が多くを占めると思いますので、少しお伝えしておきますが、セキュリティ対策は誰もやってくれないので自分で対策する必要があります。XWRITEが守ってくれるわけではありません。
・・・とは言っても難しいものではありませんので、安心してください!
セキュリティ対策は、「プラグイン」を使って対策していきますが、この「プラグイン」というのは、「テーマ(XWRITE)」との相性の良し悪しがあるので、テーマ運営サイドから推奨されている「プラグイン」を使います。
XWRITE公式さんからはXOセキュリティを推奨していましたので、インストールして設定していきます。
セキュリティー対策ソフトXO Securityの設定方法
XO Securityのインストール
- 「ダッシュボード」 「プラグイン」 「新規プラグイン追加」
- 新規プラグイン追加をクリックします。
- 検索でXO Securityを検索
- XO Securityが見つかりましたら、「今すぐインストール」をクリック。
- 有効化をクリックします。
- さらに自動更新も有効化しておきます。
ちょっとわかりにくいですが、現在「有効化」になっているので、「無効化」がクリックできるようになっています。
プラグインのインストールは、簡単ですね!
XO Securityの設定
ログイン
ログインに失敗した際、指定した時間内で再試行できる回数を設定します。たとえば、「12時間以内に2回」と設定すると、2回間違えると12時間ログインできなくなるため、長時間ログインできなくなるリスクがあります。そこで、当サイトは少し緩めの設定として「1時間に4回」としました。
WordPress管理画面へのログインがあり、ブロックした場合の応答の遅延の時間を設定できます。
『60秒』にしました。
WordPressの管理画面でログインに失敗した際に発生する応答遅延の時間を設定できますが、自分が失敗する可能性も考慮して、少し短めに設定しました。私は『5秒』に設定しました。
この部分はちょっと分かりにくいのですが、ログインページが弱いWordPressのログインを強化するのにここは重要部分になると思います。
冒頭でも触れましたが、URLの末尾に「?author=1」を付けると、デフォルトでは自分のユーザー名が表示されてしまいます。これでは防御がパスワードに依存してしまいます。この対策として、ログインページのURLを変更し、新しいログインファイル形式でログインするイメージです。
まず、ログインページの青いボタンをオンにし、ログインファイル名を決定します。当ブログは自分が覚えやすい文字と数字の組み合わせを選びました。
設定後には、以下のようなURLが表示されるはずです。
WordPress管理画面へのログインに必要なログインIDを決めます。
『ユーザー名のみ』がオススメです。
エラーメッセージの表示から、推測されないように『簡略化』をオススメします
ログイン認証ですが、日本語の方が安全性が高いので『ひらがな』がオススメです。
そのままで良いです
そのままで良いです
コメント
これは、CAPTCHA(画像認証)を利用するための設定です。ロボットによるスパムコメント対策に効果的です。特に海外からのスパムを防ぐためには、「ひらがな」を選択することをおすすめします。
外国語のみのコメントを制限する設定です。「ON」がおすすめです
スパムコメントの取り扱いをどうするかの設定です。任意ですが、何も利用する想定がないなら「ブロックする」がおすすめです。
「私はロボットではありません」というチェックを追加する設定です。セキュリティ上は「ON」がおすすめです。
XMR-RPC
プログラム開発に利用する通信方式(プロトコル)の一種ですが、総当たり攻撃などの攻撃に悪用されることがありますので、「ON」。
ただし、XML-RPCを無効にすると、プラグインと干渉することがあります。
ほかのWordPressサイトにURLが載ったときに通知が来る「ピンバック」機能を無効化する設定です。トラックバックやピンバッグ、リモート操作などしないですよね。『ON」にしておきましょう。
REST API
こちらも通信の一種です。ユーザー名の秘匿に関わります。
REST APIの無効化ボタンを『ON』
/wp/v2/users
/wp/v2/users/(?P<id>[\d]+)
をチェックして変更を保存。
秘匿
ユーザー名(ログインID)の漏洩を防ぐため『ON』にします。
複数人で運用時、特定の人の記事一覧表示。一人の場合は不要。『ON」にします。
ユーザー名を秘匿するため『ON』にします。
ユーザー名を秘匿するため『ON』にします。
フィードを無効化します。
第三者にバージョン情報を与える必要がない。『ON」にします。
WordPressの概要、インストール方法、動作環境などが書かれたファイル。念の為削除。
XWRITEのセキュリティ対策でよくある Q&A
- WordPressでセキュリティ対策をしないとどうなりますか?
WordPressでセキュリティ対策を怠った場合の一般的に考えられる具体的な影響について説明します!
- ウェブサイトの乗っ取り
- ハッカーによる管理者権限の奪取
- 悪意のあるコードの挿入
- サイトコンテンツの改ざん
- フィッシングサイトへの転用
- マルウェア感染
- 訪問者のデバイスへのウイルス感染
- サイト内に有害な広告の自動挿入
- 他のサイトへの攻撃の踏み台として利用
- サーバーリソースの不正使用(暗号通貨マイニングなど)
- 個人情報の流出
- ユーザーデータベースの漏洩
- クレジットカード情報の盗難
- メールアドレスの流出
- パスワードの漏洩
- SEOスパム被害
- 不正なリンクの自動挿入
- 有害なキーワードの埋め込み
- 検索エンジンからの評価低下
- ブラックリスト登録
- サイトの機能停止
- サーバーのクラッシュ
- データベースの破壊
- ファイルの暗号化(ランサムウェア)
- バックアップの喪失
- ビジネスへの影響
- 売上の減少
- 顧客からの信頼喪失
- 賠償責任の発生
- ブランドイメージの低下
- Googleからのペナルティ
- 検索結果からの除外
- 「このサイトは安全ではありません」警告の表示
- アクセス数の激減
- 広告収入の減少
- サーバー関連の問題
- 急激なサーバー負荷の増大
- 帯域幅の過剰消費
- ホスティング料金の急増
- サービス提供の強制停止
- 法的リスク
- GDPR等の法令違反
- 個人情報保護法違反
- 利用者からの訴訟
- 監督機関からの処分
- 二次被害の発生
- メール機能の不正利用(スパムメール送信)
- 関連サイトへの攻撃拡大
- SNSアカウントの乗っ取り
- 取引先への被害波及
- ウェブサイトの乗っ取り
- WordPressのセキュリティ対策が終わっても気を付けることは?
WordPressのセキュリティ対策実施後も、以下の点に継続的に注意を払う必要があります。
- WordPress本体の更新確認
- プラグインの更新状況
- テーマの更新有無
- 未使用アカウントの定期的な見直し
- パスワード変更の促進
- ログイン履歴の確認
- 投稿内容の定期的なチェック
- コメントスパムの監視
- 外部リンクの有効性確認
- メディアファイルの整理
- キャッシュの管理
- 使用していないプラグインの削除
- ドメイン有効期限の確認
- ホスティング契約状況の確認
- 信頼性の確保
まとめ:XWRITEのセキュリティー対策|XO Securityの設定
XWRITEのセキュリティー対策ができました。
対策してないと、やっぱり心配ですからね!
でもこれで一安心。
実際に被害に遭っている人もいるので、早いうちから対処しておけば安心ですよね!
そして、今回初めてプラグインを導入された方も多いのでしょうか?
でも、ここでちょっと注意事項!
今回プラグインを導入しました。(XO Security)
プラグインは、後から実装できるのでとても便利な機能ですよね!
そんな特性から、考え方によってはブログを便利にしてくれる魔法のアイテムみたいな感じがするかもしれませんが、実は、このプラグインも注意が必要なんです。
プラグインは、WordPressテーマとの相性があり、相性が悪いと逆に悪さをしてしまうそうなんです。
また、常にプラグインの開発が行われていないと、WordPressの進化についていけず、そこからウイルス感染したりすこともあるのだとか・・・・、無数にあるようなプラグインですが、作成されてそのままになっているプラグインがあるらしいのです。
ですので、気に入ったプラグインを導入するというより、テーマ公式が勧めた「プラグイン」や、多数の方が使っている安心できる「プラグイン」にしたほうがよいと思います。
できれば、むやみに入れない方がいいみたいですよ!
まあ何にしても、でもこれでちょっと一安心ですね!
では、また・・・・・・
