WordPressのセキュリティ対策プラグイン

WordPressの不正アクセスが怖い今日このごろです。ホームページを運営したりする立場からすれば、こういうセキュリティ対策はしっかりとっておきたいものです。最近では、レンタルサーバ上のWordpressが狙われて、不正改ざんが起こっています。

ロリポップ!、WordPress利用サイトで不正アクセスによる改ざん被害 -INTERNET Watch

ということで、今日はこのブログで使っている、セキュリティ系のプラグインを書いておきます。

 

セキュリティ対策をしっかりやるために

Acunetix WP Security

WordPress › Acunetix WP Security « WordPress Plugins

自分のブログ内にあるセキュリティの脆弱性について教えてくれるブログです。インストールすると管理画面のサイドバーに「WP Security」というメニューが現れるので、そこから脆弱性がないかを確認します。

インストールした直後はいろいろ問題点が表示されて、少しずつ改善していきました。セキュリティ対策として何をやったら良いかわからない、という人はまずインストールしてみると良いと思います。

 

Akismet

WordPress › Akismet « WordPress Plugins

WordPressに最初からインストールされているプラグインですね。そのまま有効にしておきましょう。コメント欄へのスパムなどをちゃんと対策してくれます。

 

Crazy Bone (狂骨)

WordPress › Crazy Bone « WordPress Plugins

WordPressは多くの人に使われているが故に、不正アタックで乗っ取られたり改ざんされるリスクが高いと言われています。このプラグインは、ログイン履歴を表示してくれるものです。ログイン履歴を表示してみると、たくさんの不正ログインを試みる履歴がでてきて、本当にびっくりしました。

不正ログインのIPアドレスは、次の紹介する「WP-Ban」という別のプラグインでアクセスできなくするのが良いです。

 

WP-Ban

WordPress › WP-Ban « WordPress Plugins

指定したIPアドレスは、アクセスできなくするためのプラグインです。CrazyBoneと組み合わせて、こまめにチェックして不正アクセスを防ぎましょう。ちなみに僕は毎日確認してます。(そして、毎日不正ログイン攻撃を受けています。)

 

Semisecure Login Reimagined

WordPress › Semisecure Login Reimagined « WordPress Plugins

ログイン時のパスワードを暗号化してくれるプラグインです。SSL通信が常に確保できれば良いんですが、そうとは限らないので、やっておいて損はないかな、と。

 

Simple Login Lockdown

WordPress › Simple Login Lockdown « WordPress Plugins

複数回ログインを失敗すると、ログイン画面をロックします。不正ログインで連続攻撃を受けたときに、早急に画面をロックしてしまってログイン処理をできなくします。ロックする回数は設定画面から指定することが可能です。

 

これらのプラグインは、ひとまずインストールしておきましょう。また、CrazyBoneとWP-Banの組み合わせで、不正アクセスをちゃんと防止しておく取組が重要かと思っています。

こういうセキュリティ対策をどうしてもやらなければいけないのか?という疑問を持つ方は、以下の記事を読みましょう。

デフォルトユーザー名の変更やパスワード強化を推奨:標的は「admin」のユーザー名、WordPressを狙う攻撃激化 – @IT

Google AuthenticatorプラグインでWordPressブログを2段階認証に設定する方法 | 海外SEO情報ブログ

WordPress初心者向け セキュリティ強度をできる限り上げる方法 | More Access! More Fun!