どうも、ウェブ系ウシジマくんです。
仕事柄セキュリティについてよく考えることが多いのですが、
そういえばこのブログ、SSLしかやってないな。。
と気づいたので、先日セキュリティ対策作業を行いました。
とは言っても高価なセキュリティソフトを購入したのではなく、
- 無料のWordPress用プラグインを導入
- ログイン情報を一元管理できるアプリの購入
- WordPressのログインURLの変更
やったのはこの3つだけ。
作業時間としては10分くらいでできるので、とっても簡単。
ということで、今回はWordPressを使ってブログを運営している人向けにプラグインを使ったセキュリティ対策について書いていこうと思います。
あなたのWordPress、セキュリティ対策していますか??
これからWordPressのセキュリティ対策について記事を書いていくのですが、読み進めていただく前に簡単なセキュリティチェックをしてみましょう。
まず、自分が運営しているサイトURL(以下ドメイン)の末尾に /wp-login.phpという文字を入力し、エンターキーを押してアクセスしてみてください。
もし、その際に以下のようなログインページが表示された場合、SSL対応していてもあなたのセキュリティ対策レベルは0です。
ログインページの悪い設定例
ちゃんと対策されている方は、以下のようなページが見つからないというエラーが返ってくるはずですね。
ログインページの良い設定例
なぜドメインの末尾にwp-login.phpとつけるだけでログインページが表示されてしまうのでしょう?
それは、WordPressは多数のプログラムファイルで構成されており、デフォルトだとwp-login.phpというファイル名がそのままURLとして指定されているためです。
WordPressはオープンソースと呼ばれるソフトで利用するのに料金はかかりません。
ただし、その分悪意をもったユーザーの標的になりやすいので、最悪の場合サイトを乗っ取られる可能性があるんですよね。
無料で使えるが故に、セキュリティ対策は基本的に自分で行う必要があります。
これから紹介するプラグインやソフトを使えば、最低限の対策はできるので、さっそくみて行きましょう!
ボタンクリックだけで設定完了!おすすめプラグインを紹介!
WordPressには、インストールするだけで使えるプラグインと呼ばれる拡張機能があります。
プラグインをインストールすることで、WordPressはどんどん便利になっていきます。
ただし、なんでもかんでも入れすぎるとサイトの表示が遅くなるなどのデメリットもあるので、見極めは必要ですけどね。
今回紹介するのは、
- SiteGuard
- Google Authenticator
というプラグインです。それでは次から導入手順をみていきましょう。
サイドバーのプラグインにカーソルをあわせて、その中から新規追加をクリック。
画像青枠の部分が検索バーなので、そこにSiteGuardとGoogleAuthenticatorと入力してください。
プラグイン検索バー
Site Guardと入力すると、検索結果が異なってしまうので、注意してくださいね!
画像だと有効となっていますが、まだインストールされていない場合は今すぐインストールとなっているので、それぞれクリックしてインストールしましょう!
SiteGuard
GoogleAuthenticator
SiteGuardでログインURLを変更しよう!
さて、まずはSiteGuardの設定からみていきましょう。
SiteGuardのインストールに成功すると、サイドバーにSiteGuardという項目が増えているのがわかります。
カーソルを合わせるといくつか項目がありますが、ログインページ変更をクリックしてください。
ログインページ変更
青枠の部分に任意の文字を入力します。問題なければ変更を保存をクリックすれば、設定は完了。
なお、ここに入力した文字が、今後あなたのサイトのログインURLになるので、忘れないようにメモしておきましょう!
これを忘れると、サイトにログインできなくなりますので、要注意です!
なお、もし万が一わすれてしまった場合は、SiteGuardプラグインをFTPソフト経由で削除をすれば復旧します。
ですが、手順が若干複雑なので、今回の記事では割愛しますね。
また、SIteGuardには他にも色々と機能があるので、興味があれば調べてみるといいでしょう。
完了できましたか?このSiteGuardによって、あなたのログインページは変更されました。
おめでとうございます、あなたのセキュリティレベルは1になりました!
ただ、これだけではどんなに強固なパスワードを設定したとしても、
これでセキュリティ対策はバッチリ!
とはいえないんですよね。
そこで導入したいのが次に紹介する2段階認証です。
Google Authenticatorで二段階認証を設定しよう!
さて、続いてGoogleAuthenticatorで二段階認証を設定していきましょう!
プラグインを有効化したら、サイドメニューにあるユーザーにカーソルをあわせて、あなたのプロフィールをクリックします。
画面遷移したあとにスクロールしていくと、Google Authenticator Settingsという項目があるので、
- Activeにチェックをいれる
- Descriptionは任意で入力
- Secretに表示されている文字列をコピー
上記それぞれ設定してくださいね。
Google Authenticator Settings
WordPressでの設定はこれでおしまい。
続いて、ワンタイムパスワードを生成するためのスマホ・タブレット用アプリをダウンロードします。
GooglePlayまたはApp Storeにて、GoogleAuthenticatorと検索してみてください。
App StoreでGoogleAuthenticatorと検索した場合
ダウンロードしたら、WordPressのプロフィールページ内GoogleAuthenticatorSettingで控えたSecretを登録する作業に移ります。
アプリを開くと、画面上部に「+」ボタンがあるので、そこをタップ。
すると、設定ページが開くので、
- 「アカウント」には任意の値
- 「キー」にはWordPressのGoogleAuthenticatorSettingsページでメモしたSecretの値
をそれぞれ入力してください。
これで、設定は完了。一度ログアウトした際に、GoogleAuthenticaror Codeとして入力項目が増えていることを確認しましょう。
新しく追加されたログイン画面の入力項目
スマホ・タブレットのGoogleAuthenticatorアプリに表示されているワンタイムパスワード(6桁の数字)を入力し、ログインできたら成功です!
お疲れ様でした!
まとめ:セキュリティ対策を行って、安全にサイトを運営することが大事!
これで、今回のセキュリティ対策にまつわるお話はおしまいです。
正直、セキュリティ対策において100%安全というものはなくて、サイトを運営する以上は常に意識しなければなりません。
今回紹介した内容も、最低限のものなので、これをやったらからと言って絶対安全とうわけではないですが、少なくとも無対策よりは安全性が高いといえると思いますね。
WordPressのアップデートも頻繁に行われるので、最新版を常にアップデートしていくことも心がけるといいでしょう!
ここまで読んでくださり、ありがとうございました。それではまた次回!
