
All In One WP Security & Firewallでワードプレスの乗っ取り対策
「誰でも簡単に作れる」ということで、多くの企業がWordPress(以下、ワードプレス)を使ったホームページやECサイトを開設しています。
そんなワードプレスですが唯一弱点が在ります。それが「脆弱性」で、じつは2014年頃からワードプレスは「サイバー攻撃の対象」になっています。
セキュリティ対策の中でも、すぐにやっていただきたいものが「All In One WP Security & Firewall」というプラグインの設定です。名前を見ると、すごく難しそうに感じますが、設定作業は早ければ30分程度で完了します。素人の方でも簡単にできます。
ここでは弊社で実際に行っている「All In One WP Security & Firewall」の設定方法とその対策効果についてご案内します。
【ご注意ください】
お手持ちのワードプレスのバージョン、使用しているテーマ等によって「サイトが崩れた」などの可能性もゼロではありません。必ず作業はバックアップを取りご自身の責任において行ってください。ご不安な方は弊社にご相談をいただき、代行いたします。
All In One WP Security & Firewall とは?
脆弱性が懸念されるWordPressを守るプラグイン、それが「All In One WP Security & Firewall」です。
このプラグインをインストールするだけで、様々なセキュリティ設定が簡単に行えます。
- ログイン画面を守る
- データベースを守る
- 悪意のあるアクセスを防ぐ
- コンテンツの盗用を防ぐ
本来、システム会社に発注しなければならないようなセキュリティ機能を、初心者でも簡単に無料でできてしまう。
そんな頼もしいプラグインなので、設置をオススメしています。
※当サイトにも導入しました。
インストール方法
管理画面の左メニューから「プラグイン > 新規追加」をクリック。
画面右上にある検索ウィンドウから「All In One WP Security & Firewall」と検索をします。
※プラグイン名で検索すると最初に出てきます。
「今すぐインストール」と書かれているボタンをクリックするだけでプラグインがダウンロードされます。ダウンロードが終わったら「有効化」をクリックしてください。
左メニューの下の方に「WP Security」というリンクがでてきたらインストールは完了です。
日本語化ファイルのダウンロード
初期状態で「WP Security」をクリックしても、英語で表記になっており、何がなんだか分かりません。
そこで、以下ふたつの日本語化ファイルが必要になります。
- all-in-one-wp-security-and-firewall-ja.mo
- all-in-one-wp-security-and-firewall-ja.po
上記リンクをクリックしていただくと、zipファイルがダウンロードされますので、解凍して2つファイルがあることを確認してください。
日本語化ファイルをサーバへアップロード
二つの日本語化ファイルをFTPでアップロードします。
アップロード先は「/wp-content/plugins/all-in-one-wp-security-and-firewall/languages」です。
するとプラグインページが「WP Security」だったのが「WPセキュリティ」となります。
これで日本語化は完了です。
設定1.ログイン画面を守る
ワードプレスの管理画面のディレクトリは「/wp-admin/」と決まっています。
つまり、WordPressを使う場合、ログインURLが「https://~~~~~~~~~~.com/wp-admin/」と予測されやすいのです。
もちろんパスワードをしないと管理画面へ侵入はできませんが
- 名前を使ったパスワード
- 生年月日を使ったパスワード
など、工夫のないパスワードを設定している人は、簡単に突破されます。
そこでやってほしいのがこれ。
ログインURLを変える
左メニューから「WPセキュリティ > 総当たり攻撃」をクリック。
ログインページの名称変更設定より、ログインページのURLを指定することができます。
ログインディレクトリが「/wp-admin/」のままでは、悪意のあるハッカーから狙われやすくなってしまうので、任意のURLへ変更が必要です。
ここでの設定を保存すれば、次回のログインは任意で指定したURLがログインURLとなります。
ログインやパスワード変更画面でCaptchaを使用する
「WPセキュリティ > 総当たり攻撃」の上部のタブから「ログインCaptcha」をクリック。
Captchaとは、機械的なアクセス(悪意があると想定されるアクセス)を排除し、人によるアクセスを許可するためのセキュリティシステムです。
ログインページでのCaptchaとパスワード再設定フォームでのCaptchaを有効にすることで、ID・パスの他にもう一つ「数字で答えを入力してください」という入力項目が必要となり、セキュリティを向上します。
設定2.データベースを守る
ワードプレスのデータベースを構成するテーブルの種類は決まっています。
- ○○_comments
- ○○_links
- ○○_posts
- ○○_terms
など、複数のテーブルで構成されています。
いずれも「○○_」という接頭辞を任意でつけることができるのですが、多くの場合「wp_」という設定時で自動インストールされるケースが多いのです。
そのため、テーブル名称などが予測されやすく改ざんしやすい状態にあります。
接頭字を変える
「WPセキュリティ > データベースセキュリティ」をクリック。
データベースを守るために、まずは接頭辞を変えましょう。
「Generate New DB Table Prefix:」に、任意の設定時(小文字アルファベット推奨)を記述して「データベースの接頭辞を変更」のボタンをクリックします。
この作業を行う前に、データベースのバックアップが推奨されています。
自動バックアップの設定をする
「WPセキュリティ > データベースセキュリティ」をクリック。
さらに、上部にあるタブ「データベースのバックアップ」をクリック。
- 手動でバックアップ
- 自動でバックアップ
どちらでも取得可能です。
毎回手動で出すのは手間なので、ここでは1日に1回、3日のデータが自動バックアップされるように設定しています。
保存先は「/wp-content/aiowps_backups/database-backup-yyyymmdd.zip」になります。
設定3.悪意のあるアクセスを防ぐ
ここまで、ログイン画面やデータベースへのアクセスを防いできましたが、まだ十分ではありません。WordPressの構成する様々なPHPファイルへ直接アクセスをし操作することも可能だからです。
悪意のあるアクセスをブロックするために「ファイアーウォール」の設定をします。
次の2つの設定をしましょう。
- BasicFireWallSettings
- WordPress XMLRPC Pingback Vulnerability Protection
ファイアーウォールの基本設定
「WPセキュリティ > ファイアーウォール」をクリック。
BasicFireWallSettings のページが表示されます。
Enable Basic Firewall Protection にチェックを入れることで、次のセキュリティ効果があります。
- htaccessファイルへのアクセスを拒否して保護する
- サーバー署名を無効にする
- ファイルのアップロードサイズを制限する
- アクセスを拒否してwp-config.phpファイルを保護する
アップロードファイルの制限は動画等も考え50MBにします。
遠隔操作機能を使用しない
こちらも「WPセキュリティ > ファイアーウォール」のBasicFireWallSettings にて設定します。
XMLRPCとは、WordPressの管理画面からではなく、サイト外からでも遠隔で操作するために用意された機能です。しかし、ここにも脆弱性は存在し悪用されてしまう可能性が在ります。
「XML-RPC へのアクセスを完全にブロック」をチェックすることで外部侵入の可能性を減らします。
設定4.悪意のあるコメントを防ぐ
身に覚えのない詐欺メールなど「悪意のある迷惑メール=スパム」と呼びます。このスパムコメントは詐欺的、脅迫的なコメントを埋め込むものもあれば、システムへの侵入経路を作るために使用される場合もあります。
WordPressのコメント機能等、スパムが大量に送られて来る可能性があるため、ブロック設定をしましょう。
コメントフォームにCaptchaを追加する
左メニュー「WPセキュリティ > スパム防止」をクリック。
WordPressの設定でコメントの使用を許可している場合は、スパム防止は必須です。
ログイン画面出の設定と同じように、コメントに対してもCaptchaを使用します。
自動コメントなどをブロックし人のコメントをのみ許可します。
スパムボットのコメントをブロックする
captchaを使用でほぼスパムのブロックはできますが「Captchaを使用させたくない」という場合は、最低でもこちらを対応させましょう。機械的なコメントをブロックしてくれます。
おまけ:コンテンツの盗用を防ぐ
最後にコピープロテクションを設定します。「コンテンツの盗用を防ぐ」ことはできないにしても、右クリックやショートカットによるコピー機能が使えないため、コピーされる可能性を低減させます。
設定前のバックアップをお忘れなく!
さて「All In One WP Security & Firewall」の設定方法について解説してきました。
ここまで紹介してきた設定をするとセキュリティポイントは「170/515」の安全ゾーン(緑色)になりました。
※ちなみに設定前は「30/515」の注意ゾーン(黄色)でした。
まだワードプレスのセキュリティ設定を何もされていないなら、今すぐこのプラグインをインストールし、設定をしてみてください。
ただし、必ず事前にバックアップをとりましょう。
データベースやホームページが壊れる可能性がゼロではないからです。
設定に関してご不安がある場合は、設定代行も承りますのでお問合せ下さい(*^^*)