WordPressでブログを書いていたら不正アクセスされたのでセキュリティ対策をしました。
WordPressを使っていてセキュリティに興味がある方は参考にして下さい
※プロじゃないので参考程度にして下さい。
突然不正アクセスされる
2018年の初めからWordPressでブログを書いていたのですが
契約しているXserverから不正アクセスがあったので、アクセス出来ないようにしましたという連絡が来ました。
こんな感じでサーバーから連絡が来ました
このため全てのアカウントを削除してファイルをアップロードし直すことになりました。
バックアップはあったのですが、直したい記事なども結構多かったので
この機会に思い切って新しく始めることにしました。
不正アクセスの原因
海外からの不正アクセスということで、原因も目的もよくわかりませんでした
設定も変えていないのに、ある日突然だったので本当に驚きました。
なんでそんな簡単に不正アクセスが出来たのか?と疑問に思って色々調べてみると、WPはありふれているツールだからこそセキュリティ的にはかなり脆弱で、対策をしないと同じ事が起こると思いセキュリティ対策をすることにしました。
セキュリティ対策でやったこと
まずXserverとWPで分けて対策をします。
共通で変更した設定
パスワードを大文字小文字、記号数字を混ぜて作成する
パスワードは毎回入力するのが面倒くさいので覚えやすかったり、簡単なものにしてしまう事が多いと思います。
1、2文字違う種類を混ぜるだけで小文字や数字だけよりもセキュリティが向上します。
セキュリティ対策を普段からしている人にとっては当たり前な事だと思いますが大切な事です
Xserverで変更した設定
基本的にはサーバーパネルにログインして公式の解説を見ながら、設定をONにするだけです。
WordPressの設定はこの記事
FTPの設定はこの記事の通りにやればいいです。
僕の不正アクセスはFTP由来だったので、すぐに制限設定をしました。
WordPressでやったこと
WordPressでセキュリティ対策をするなら、プラグインを使うのが
簡単だけど効果的だと思ったのでプラグインを導入しました。
導入したプラグイン
完全に日本語なので非常に使いやすいです。
特にWordPressはデフォルトだと、サイト名/wp-admin がログイン画面になっているのでそこを変更しないと不正アクセスされやすい。
とのことなのでオリジナルのURLに置き換えた方が良く、これは画像のログインページ変更から可能です。
基本的には設定をONにしていくだけでOKです。
スパム対策にもなる
WordPressはデフォルトでAkismet というスパム対策のプラグインが入っているのでそれを使っている方はそれでもいいと思います。
僕はSiteGuard WP Pluginの設定でコメントを投稿する際に画像認証の設定をONにしたので、それでもスパム対策になるので、使うプラグインの数を減らす事が出来ます。
まとめ
基本的に設定をONにしていくだけのことが多いので
実際にやるのは思ったよりもずっと簡単です。
でも、自分は不正アクセスの被害に合うはずないだろうと思って
大抵の人はデフォルトの設定のままにしていると思います。
トラブルが起きてからでは遅いので
当たり前に言われていることですが、早めにセキュリティ対策をするのが本当にオススメです。