すみぐれい WordPressを使っている女性の皆さん、管理画面に出ている通知を無視して放置していませんか?
WordPressは、ホームページやブログで広く公開されている無料のソフトウェア。ソースコードが無償で世界に公開されているので、誰でも自由に改良・再配布ができます。
ということはつまり、悪意ある人も同じように利用できるため、狙われ攻撃されやすいということ。
「でも狙われるのって有名企業のホームページだけでしょ?」
いやいや、自分に都合よく解釈しすぎです。
私は懸賞サイトに勝手にリダイレクトされるという被害にあいました。あのとき、初心者はトラブルから復旧するより予防するほうが絶対に簡単!だとわかりました。
自信がない不安な人ほど今すぐやってください!
大事なWordPressを守るために転ばぬ先の杖として、簡単にできるセキュリティ対策を伝えます。
最低限これだけはやったほうがいい3つのセキュリティ対策
パスワードを管理する
なにはともあれパスワード。WordPressに限ったことではありません。
ログイン画面だけでなく、レンタルサーバーやドメイン管理会社にアクセスするパスワードも気にしてください。
同じパスワードを使い回さない
仕事でクライアント様が利用しているサービスに代理でログインすることがあります。
IDとパスワードをお聞きすると、どれも全部同じという場面に遭遇して「OMGー!」と内心思います。
私も50代。パスワードを全部バラバラに決めたら覚えられないという気持ちはわかります。でも、1つ漏洩すれば全部突破できるわけで、相手からすると「チョー楽勝なゆるい存在の女」になっていることに気がつきましょう。
複数のサービスでIDとパスワードを使い回していると、それら全部にログインされてしまいます。
全部覚えられないなら、無料・有料のパスワード一括管理アプリを使ってください。
- 「1Password」有料
- 「パスワードマネージャー」有料
- 「LastPass」無料・有料
長く複雑なパスワードにする
8文字以上とか大文字・記号入れるってやつでしょ。はいはい、わかってるけどめんどくさいのよね。
そんなあなたには、今すぐ変えたくなるデータを見せましょう。2008年の記事ですが、パスワードを複雑にするとどれくらい読解に時間がかかるかというデータです。
8桁の英字(大文字、小文字区別あり)と数字と記号を使ったパスワードにするだけで、組み合わせを試すのにかかる時間がなんと約1000年になる!
レンタルサーバーからワードプレスをインストールしたとき、「ひとまずこれで」という感覚で設定しませんでしたか?この機会に見直してみてください。
ワードプレスのパスワード変更は「ユーザー」→「プロフィール」をクリック
画面を下にスクロールして「新しいパスワードを設定」をクリックします。
自動で強力なパスワードが生成されますが、自分で決めた複雑なパスワードを入力してもOKです。
最後に「プロフィールを更新」をクリックして終了してください。
推測されやすいパスワードにしない
初心者とはいえWordPressを使うくらいなので、さすがに「電話番号や誕生日」「password」などをパスワードにしている人はいないと思います。
でも
- SNSなどで公開された個人情報やメールアドレス
- キーボードの配列どおり(qwerty、asdfgh)
- 文字や記号でも推測されやすいもの(P@ssw0rd、Sato_0115)
- 屋号「ironunokasane」
このように思いつきそうな文字列を、悪いこと考えている人は狙ってるんですよ。
とにかく自分では覚えられないパスワードにするなら「パスワード生成ツール」を利用しましょう。
プラグインでログイン画面を2段階認証にする方法もおすすめです。
WordPress本体とテーマ・プラグインを更新する
「いま問題なく見れているから大丈夫」と更新を無視していませんか?
使い始めたときは安全でも時間が経てば脆弱性(ぜいじゃくせい)が発見されます。脆弱性とは弱点。
上述のとおりパスワードを複雑にしても、プラグインの脆弱性を悪用してサーバー内にアクセスされることがあります。
例えるなら、玄関と裏口の鍵を最強のものにしても、鍵が壊れたまま修理していない子供部屋の窓から侵入されてしまうようなもの。
WordPress本体、テーマ・プラグインを常に最新の状態にすることがセキュリティ対策になりますので、アップデートを無視しないでください。
また、使っていないテーマやプラグインは削除しておきましょう。
通信をSSL化する
最近ワードプレスを始めた方なら必要ありませんが、何年も前に作成したならSSL化されているか確認しましょう。
最近のブラウザは暗号化されていないページにアクセスすると、Safariは「安全ではありません」と表示され
Google Chromeは「保護されていない通信」と表示されます。
さらに、Google Chromeはバージョン94から [セキュリティ] →[常に安全な接続を使用する]に設定すると警告画面が表示されるようになりました。
Google Chromeなどのブラウザも更新されていますので、「気がついたら安全なサイトは表示されなくなっていた」という未来も考えられます。ホームページが表示されないだけで信頼をなくすのはもったいないです。
SSL化とはSSL(Secure Socket Layer)の略。個人情報がわからないように通信経路を暗号化するしくみです。
お問い合わせフォームなど、お客様の個人情報を登録するページは「https://〜」で始まるURLで通信経路を暗号化しておきましょう。
入力フォームでお預かりしたお客様の個人情報が流出した場合、罰則をうけたり損害賠償を求められることだってあります。
常識で考えても、安全ではないサイトをGoogleが評価することはないのでSEOにも良い影響はありません!
SSL化は、サーバー側で設定したあとにプラグインで終わらせる方法もあります。
余裕があればおすすめのセキュリティ対策
ここからのセキュリティ対策はより安全に使うためのものですが、手間が増えます。
ですから、サイトの更新状況や管理する人に応じて導入を検討してください。
ログイン画面を守る
ログインURL自体にIDとパスワードを設定する
ログインURLにIDとパスワードをするメリットは、WordPressにログインする前の段階で侵入を防げることです。
それに対してデメリットは、ログインURLへのアクセス(1回目)ワードプレスのログイン(2回目)と合計2回IDとパスワードを入力する手間がかかることです。
記事を更新する頻度が多いとめんどうかもしれません。
レンタルサーバーの機能を利用して設定できます。お使いの「レンタルサーバー+アクセス制限」で検索してみてください。
ログイン回数に制限を設定する
セキュリティプラグイン「SiteGuard WP Plugin」で、ログイン回数に制限がかけられます。
ただし、自分がIDやパスワードを忘れて回数をオーバしてしまうとログインできなくなりますので設定回数に注意してください。
自分の記憶が一番頼りにならない!!爆
ログイン回数を制限すると、IDやパスワードを何度も試して攻撃してくる悪い奴らに効果があります。
「SiteGuard WP Plugin」は他にもさまざまなセキュリティ対策を設定できるプラグインですよ。
IPアドレスを制限する
IPアドレスとは、通信する相手を識別するものです。調べ方はこちらの記事に書きました。
ご自宅のWi-Fi、職場のWi-Fiというように、通信する場所で割り当てられた住所と考えるとわかりやすいかもしれません。
「IPアドレスを制限するセキュリティ対策」とは、いつも使っている特定のIPアドレスからのみ、WordPressの管理画面にアクセスできるようすること。
ただしこの方法だと、外出先(カフェなど)のWi-Fiやデザリングを使って、WordPressにログインができなくなります。
家のパソコンからしかアクセスしないなら、無理にやらなくていいと個人的に思います。
カフェでパソコン開いたままトイレ行く人がいますが、盗み見られるほうが怖いです・・それよりMacbook持ち去られちゃうよ。
最後に大切なのはバックアップ
つらつらとセキュリティ対策を述べてきました。こんなこといっちゃあれですが、すべての攻撃を未然に防げる完全完璧なセキュリティ対策はありません。
そこで最後に必要なのはバックアップです。
- WordPressの更新・プラグインやテーマの更新で、不具合がでたとき
- 万が一、トラブルの被害にあったとき
バックアップから復元できるようにしておけば安心です。
WordPress初心者の女性がセキュリティ対策をするなら、優先順位1位は「バックアップ」です。
次に「パスワードの管理」と「WordPress本体とテーマ・プラグインの更新」「SSL化」と順番にやっていきましょう。