WordPressの「今」できる!セキュリティ対策

WordPressのセキュリティなイメージ

WordPressのセキュリティなイメージ

WordPressを使用していると最近よく耳にする不正アクセスや乗っ取られなどのセキュリティ的な話。
もちろん通常のウェブサイト(CMSなどを入れていないもの)でも年々その被害は増えていると思います。

WordPressは世界中で親しまれてるソフトだけにやはり悪いことを考える奴にも目を付けられやすい。
で、今回はとりあえず手軽にプラグインだけで出来る対策を。
ちなみにこれだけで十分というわけではないですが、やらないよりはいいぜ、ということで。

今回紹介するプラグイン

Limit Login Attempts

Stealth Login Page

この2つでは主にブルートフォースアタック(総当り攻撃)と言われる不正なアクセスに効果があるかとおもいます。

ここのところ多いんですよ、ブルートフォースアタック
自分で管理しているサイトの中でも結構な回数されているのもあったり。

ブルートフォースの詳細は詳しいサイトを見ていただくとして、わかりやすく言うと
「アカウントとパスワードが一致するまでいろんな組み合わせを全部試してやるぜ」
という攻撃。
まあ、いつかは当たるだろ、何兆回とか天文学的な確立でも、ってこと。

もちろん人力でやるわけではなく、コンピュータを使って自動で当たるまでログインを繰り返させる
単純だけど知識がそこまでなくてもできるし、中々厄介。

なのでやる気になればあたりを引かれてしまうことも可能なわけです。
そうすると管理画面に勝手に入られてしまうので、自分のWordPressが乗っ取られ悪さされたり、悪さするのに利用されたり。
果てはサーバーそのものまで乗っ取られる可能性もあったりするわけです。

そんなときに役立つのが上記2つのプラグイン。

「Limit Login Attempts」は指定した回数ログインに失敗すると指定した時間、そのIPからの接続を拒否するというもの。
これで何回も何回もパスワードを試すってことが出来なくなるわけです。

乗っ取られることはなくても、すごい回数短時間にログインを試してくるので、サーバーへの付加も相当なものになっていたりします。
ひどいときはサーバーが落ちたりする可能性もあるわけですが、そういったことも防げます。

「Stealth Login Page」に関しては管理画面のURL自体を変えてしまおうというもの。

通常、http://○○○.com/wp-login.phpなんて感じでログイン画面のURLのファイル名は一緒になってしまうわけだけど、こいつを書き換え(というかパラメーター付け足す)て見つからないようにするというもの。

探そうと思えば探されてしまう可能性もあるけど、やらないよりは遥かにいい。

上記2つを組み合わせるとWordPressのログイン画面へのブルートフォースアタックの回避率はとても上がります。

どちらも使い方も簡単で、停止するのも簡単というプラグインなのでオススメです。

セキュリティって大事だけど専門知識も豊富にないといけないので、こういった手軽に出来ることから意識を高めていくというのもありかも。

他にもあるWordPressのセキュリティプラグイン

特定の脆弱性のチェックをする
Timthumb Vulnerability Scanner

自作でも他作でもオリジナルテーマのセキュリティを確認できる
Theme-Check

プラグインのセキュリティを確認できる
Plugin-Check

などなど良いプラグインがありますので、セキュリティへの配慮も忘れず、もっと安全便利にWordPressを使っていけるといいんじゃないかな。
油断した頃に嫌なことが起こるのが人生の常ですしね。

(画像は本文の内容と関係ありません)

こんな環境で仕事しています

制作環境のQNAP

制作環境のQNAP

ブログ一投目。
技術的でもなんでもなく、とりあえず場つなぎ的に書く。

まずどんなことをしている人間なのかというとアレです。
自己紹介ページあるじゃんとかいうのはなしの方向で。
(ちなみに文中の写真はアマゾンへのリンクになっているものがあるけど、普通にアフィリエイトになっています。
なのでそれがいやな人はクリックしないでね、と。)

さてさて、世にゆうウェブデザイナーとかディレクターとかそういった感じの仕事をメインにフリーランスで働いています。
契約先で業務にあたることもあるけど、基本的には自宅兼作業場で仕事をしています。

ホームページの制作全般から運用のお手伝い、どうしたら集客増やしたりや売上げ上がるかのお手伝い、システムの開発、名刺やチラシの制作、メディア関連の仕事などなど。

最近はWordPressの受注も増えてきているなぁという感じ。

制作環境

コンピューター

こんな業種ですが基本的にWindows派。
マシン自体は数年前に自作したハイスペック機がメインであとはサブ機やノート。
PCのと書いても今日ない人が大半だと思うのでれくらいに。

モニター

モニターは一応ナナオ(EIZO)。
いまどきですが、古い人間なんでナナオにモニターを机に並べることに憧れが合ってですね・・・。

ナナオ FORIS 23.0インチ TFTモニタ 1920x1080 DVI-D24ピンx1 D-Sub15ピンx1 HDMIx2 ブラック FS2333

しかしながらナナオですがColorEdgeシリーズではなく、FORIS-FS2333という機種のデュアルモニター。
結構PCゲーマーなんでゲームにも使えそうでキャリブレーションもできるということでこれを選択。
DTPはほぼしないし、今の自分の身分には相応(ColorEdgeとか高くて買えない)だし、気に入ってます。

マウス&キーボード

マウスはロジクールのG700。
これもまたゲームと仕事両立できるものを探した結果。

もともとはずっとMicrosoftのIntelliMouseExplorer4.0ってのを愛用していたんですが、絶版になってしまいまして。
最初はヤフオクとかで買い占めたりもしていたんだけど、それも出球がほとんどなくなってきてね。

しかしせっかく気に入ったG700もG700sというのにモデルチェンジをしてしまい、それが形は一緒なんですが、変な線とか入って見た目がかっこ悪くなっていて・・・悲しい限りです。

LOGICOOL 充電式ゲーミングマウス G700s

キーボードはかなり難民で今は昔から愛用している3,000円くらいの安いゲーミングキーボード。
最近色々買っているんですが手になじむのがなくて。

マウスにしろキーボードにしろなぜか細かいこだわりが合って値段関係なくそれを満たしてくれるものがなかなかみつからないんだよなぁ。

ソフトウェア

主に作業使うのはAdobe Crietve Cloud
今だとCS6ですね。Dreamweaver、Photoshop、Illustratorなどなど。
月額のプランですが、バージョンアップしたときに買い換えてとかしないでいいし、計算すると費用もお得だったの迷わず。
今後はこっちが主流になっていくみたいですね。
コーディングには他にも色々使ったりしますが、その辺りはとりあえず割愛。

あとはMicrosoftのマイクロソフトアクションパックにも契約しているので、Visioとか。
VisualStudioも再勉強中だったり。

マイクロソフトアクションパックというサブスクリプションはいいですね。
これ以外と知られていないみたいなんですが、PC複数使う人とか小規模事務所とか、WindowsやOfficeを複数使えるし。
SOHO、中小企業なんかには本当にオススメじゃないかな。
VisualStudioも商用利用できるんで、デスクトップアプリ作りやすい。

モバイル

昔ながらのガラケー(あまりこの言葉好きではないが)が1台。
Androidのスマートフォンが2台。
iPad(第3世代)が1台。

スマホやタブレット開発もそれなりに出来るようにはしています。
WindowsPhoneやFirefoxPhoneも欲しいぜぇ。

ファイルの管理

データの保存はQNAPのNASを使ってファイルサーバーを構築。
2台のHDDをRaid1でミラーリングしつつ、外付けのHDD(こちらもRaid1)にバックアップ。
HDDは24時間稼働を謳っていてQNAP推奨のWESTERNDIGITAL Redを使用。いいHDDです。
UPS(無停電装置)をつけているので停電なんかでも安心。

昔、雷にPCや家電やをやられた苦い経験があるので、仕事用の機器やネット回線は雷サージもしていたり。

一応クライアントのデータを預かっているので損失することのないように気を付けてはいます。

クラウドにという意見もあると思うし、DropBoxなんかも便利に使ってはいますが、結局情報漏洩やデータ損失なんかのリスクはあるし、サービスがいつ変わったり終了するかわからないものに依存するのも何なので・・・。
作業場にしっかりした環境を作るほうが確実かなと思っていたりします。
というのは半分言い訳で色々いじってみたいというところもあったり。

ということで、「人と成り」というよりは「仕事成り」的な紹介でした。

一回目の投稿とかなかなかなに書いていいかわからないからこんな内容でまとめて見ました。

この中でも何かさらに深く掘り下げて発信すると良さそうなだなというのを思いついたら、また書いてみようと思います。