ブログをWordpressで運営していく中で、素人が見落としがちなのがWordpressのセキュリティ対策です。ここでは、ブログのサイト運営者必読!海外からのWordpressの脆弱性攻撃の対策に必要なプラグインWordpress Firewall 2のインストール方法と設定方法などについて解説いたします。
Agenda
WordPressにはセキュリティ対策が必要!
私も普通の主婦なので、ブログをWordpressで運営していく上で、「セキュリティ対策」といってもピンとこないのですが、(スパム対策に当然プラグインの「Aksmit」は導入程度)
ある日、先輩のアフィリエーターの方からこんな連絡をいただきました。
本日弊社で管理するワードプレスサイト1つがfunction.phpの改竄 マルウェアのようなものを仕組まれて500エラーでサイトにアクセス出来なくなりました。 知り合いのSEに依頼して速攻で復旧していただきました。 ※復旧費だけで32400円 ワードプレスを利用している方は下記のプラグインを入れておく事をおすすめします。 SEの方曰くある程度の攻撃は防げるようです。 Wordpress Firewall 2
とな…!!
500エラーでサイトにアクセスできなくなるって、それはえらいこっちゃ~。しかもサイトが無事に復旧するまでにどの部分がおかしいのかを確認して修正する必要があるので、恐らく素人の私だったムリ!SEさんにお願いするしかないー。その間、当然、サイトはアクセスできずに収入はゼロに!
HTTP500エラーとは?
HTTP500エラーはperlやphpなどのCGIの記述ミスが殆どで、簡単に言うと「ホームページの作り方(書き方)に問題があって表示できません」という事です。
引用:https://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q139250058
上記の先輩アフィリエーターの方のサイトは、500エラーということなので、Wordpressにマルウェア(ウィルス?)を仕組まれて、サイトのphpやCGIなどを書き替えられてしまい、500エラーが発生してしまったということなのでしょう。。。怖いですね。
私たちが一般のブロガーとしては、「テーマの編集」で記事下などにスタイルシート部分を編集して広告コードを挿入したりしますよね。その部分を何かしらの攻撃されて勝手にウィルスが書き換えてしまい、サイトが表示できなくなってしまった!っていう理解でいればOKです。
私もアクセス集中による503エラーを頻発させてしまい、上位表示が落ちてしまうなど痛い目にあっているので、500番台のエラーがいかにサイト運営に危機をもたらすかは、身をもって知っています。
ということで、早速オススメのセキュリティ対策のプラグイン「Wordpress Firewall 2」をインストールせねば!ということで、インストール方法を解説いたします。
ワードプレスのセキュリティ対策「Wordpress Firewall 2」とは?
そして、そのような攻撃を防いでくれるセキュリティ対策には、プラグインの「Wordpress Firewall 2」がオススメです。
ワードプレスのセキュリティ対策としては、「All In One WP Security & Firewall」というプラグインにもFirewall機能がありますので、そちらを導入済でONになっている場合は、新しく追加される必要はありません。
Firewallのプラグインを入れることで、外部からの攻撃を遮断してくれます。
ワードプレスのセキュリティ対策「Wordpress Firewall 2」の導入方法
インストール方法はとても簡単です。
「プラグイン」>「新規追加」>「Wordpress Firewall 2」で検索
上記のプラグインを見つけて、「今すぐインストール」➾「有効化」で設定完了です。
ワードプレスのセキュリティ対策「Wordpress Firewall 2」導入後の注意点
さて、これで脆弱性をついた攻撃からはFirewallが守ってくれるので安心ね!と思われた方、ちょっとだけ導入後の注意点が3つほどあるので、是非最後まで記事を読んでください。
WordPress Firewall 2導入後の注意点①スタイルシートの編集ができなくなるので、White listの設定が必要
先ほど、Firewallがスタイルシートの書き換えなどの攻撃から守ってくれるという話をしましたが、「Wordpress Firewall 2」のプラグインを導入することによって、サイト管理者であるあなたもサイトのスタイルシートの編集ができなくなります。私も広告コードを「テーマの編集」で変更しようとしたらできなくなっていて焦りました。
その場合は、「設定」>「Firewall」を開きます。
その中で、上から3番目に「Whitelisted IPs」という項目があります。
まず、ドラフトで白い左上の枠にIPアドレスが入っていますので、そちらを消去。
右下の赤い枠の部分に、今現在自分がアクセスしているIPアドレスが表示されますので、それを左上の赤い枠の部分にコピーして貼り付け「Set Whitelisted IPs」をクリックして保存完了してください。
この際に、コピーしたIPアドレスの一番右端に「.」が表示されているので、IPアドレスのおしりの「.」は消去するか、コピーしないようにしてくださいね☆
これで、管理人の貴方のIPアドレスからはスタイルシートの編集ができるようになります!ただし、IPアドレスは固定回線であれば変更にはなりませんが、wifiなどを利用している場合は3か月程度で変更になってしまうので、編集したいときの最新のIPアドレスを確認する必要がありますのでご注意を。
WordPress Firewall 2導入後の注意点②メールが沢山飛んでくるようになったらメールアドレス設定を消去
次に、プラグインを入れると、Firewallちゃんが、「私が攻撃から守りましたよー!」というお知らせメールが届くようになります。これはプラグインをインストールをすると、Wordpressで設定されているメールアドレスがドラフトで設定され、自動的に登録される仕組みになっているからです。
ただ、この報告メール、、、サイトにもよりますが、すごい数の報告メールが来ます。私の場合は1時間当たり250件の未読メールが来ていたりしました。それだけ攻撃があったということも考えられますが、Wordpressは海外でも日本でも人気のコンテンツなので、それだけ攻撃が飛び交っているということです。
メールの自動振り分けでメールボックスをわけるという手もありますが、先ほどの
「設定」>「Firewall」>「Email」
という項目があり、ドラフトで自分のメールアドレスが記入されていますので、こちらを消去して「Set Email」ボタンを押せば、メールアドレスの登録が解除されましたので、沢山の報告メールを受け取ることはありません。
知り合いのSEさんに確認しましたが、SEで問題の解析などをしない限りは、特にメールで設定していてもいなくても大して大差ないとのことでしたので、私は設定を外すことにしました。
WordPress Firewall 2導入後の注意点③Wordpressとプラグイン共にVerは常に最新にバージョンアップを忘れずに!
そして、これで脆弱性を狙った攻撃からは安心!ではありません。セキュリティ対策をきちんと保つためには、日々の運用も大事です。
ですので、セキュリティ対策としては、Wordpressと、プラグイン「Wordpress Firewall 2」に関しては、常に最新のVerにバージョンアップを忘れないように設定しましょう!
※セキュリティ対策的には、すべての導入済プラグインは最新のVerにバージョンアップしておいた方が、脆弱性の発生を防げるのでいいそうです。
Firewallを入れたら、最近流行のWPへのパスワード総当たり攻撃を防ぐプラグインも導入がオススメです!
➾WordPressパスワード総当り攻撃を防ぐプラグイン「Limit Login Attempts」の導入方法
以上、ワードプレスのセキュリティ対策[Wordpress Firewall 2]プラグイン導入方法と注意点でした!
主婦のpunikoKが毎月100万円の収入を得ている方法を教える無料メルマガ
コメントを残す