もし、ブログがハッキングされてしまったら?
あなたが今まで何年もかけて書きためてきた記事がすべて無くなってしまう
かもしれません。もし、Googleアドセンスなどで月10万円以上の収益が
あるサイトでしたらどうでしょうか?
僕だったら、もう立ち直れないと思います。
だから、セキュリティ対策はきっちりした方がいいです。とはいっても、
まだ収益も全然ないのに、お金なんてかけたくないでしょう。
なので、今回は、無料で出来るセキュリティ対策に焦点を絞り調べて
みました。
このページに書かれていることだけやればセキュリティ対策は万全です。
パスワードを使い回ししない
WordPressにログインするときのパスワードは、他のサイトと使い回し
をしないのが基本です。例えば、YahooにログインするときのIDと
パスワードと全く同じIDでWordPressにログイン出来るように設定
していた場合、Yahooから情報が漏れたとき、攻撃者は、WordPressに
簡単にログインできることになりますね。
ですから、WordPressにログインする際のパスワードは、他のサイトと
は異なるものにしましょう。
僕も他のサイトと同じパスワードを使い回すことが多かったんですが、
WordPressに関しては、今後力を入れて取り組む予定ですから、
セキュリティ対策は万全にしています。
ログインするためのユーザー名はadminにしない
通常、WordPressでは、ログインユーザー名がadminに設定されている
ようです。だから、攻撃者は、あなたのブログにログインするとき、
パスワードだけ分かれば、ログインできるという状態になっているのです。
これは、玄関のドアのチェーンをかけていないのと同じですね。
鍵だけ開ければ中に侵入できるんですよ。僕の場合は、知らないうちに
自分で別のものに設定していたので大丈夫でした。
SiteGuard WP Pluginというプラグインを導入する
このプラグインは、WordPressにインストールするだけで、セキュリティが
大幅に向上します。特に、管理ページとログインページからの攻撃を防ぐのに
特化したプラグインです。プラグインをインストールして有効化しさえすれば
初期設定でも十分安心できるでしょう。
Crazy Boneというプラグインを導入する
このプラグインは、ログイン日時、IPアドレス、ブラウザの環境を記録
してくれるプラグインです。これを導入することで不正ログインを検知する
ことができます。
例えるなら、玄関のドアの前に防犯カメラを設置して、泥棒がカギを開けよう
としていないかを確認するのと同じですね。
もし、不正ログインが試みられたなら、さらなるセキュリティ対策をする
きっかけにもなるでしょう。
WordPress本体やテーマ、プラグインは常に最新版に
ハッカーは脆弱性というシステムの欠陥をついて、サイトに侵入し、改ざんや
ウイルスの設置を行ないます。それを防ぐために、脆弱性を修正したものが
最新版なのです。
ですから、いつまでも古いバージョンを使っていては、ハッカーに対して、
とても無防備なのです。
ブログ運営者は、常にWordPress本体やテーマ、プラグインを最新版に
更新する。また、未使用のプラグインも停止ではなく、削除しておかなければ
なりません。
未使用のプラグインとはいえ、今後脆弱性が見つかり、そこをついてハッカー
が攻撃をしかけてくるということもあるからです。
まずは、こういう基本的な対策をしっかりすることがセキュリティ対策の基本
なのです。
セキュリティソフトに高額な使用料を払っていても、こういう基本的なことが
しっかり出来ていなければ意味がないと思うのですが、どうでしょうか?
ファイルのパーミッションを変更する
ファイルのパーミッションとは、あるファイルに対して、誰が何をできるか
という設定のことです。例えば、パーミッション「400」とは、自分だけが、
ファイルを読み込みだけできるというもので、最も厳しいアクセス制限になります。
具体的には、.htaccessは「604」、wp-config.phpは「400」に設定
しなければいけません。
これは、FTPソフトかサーバーのサイトから変更することができます。
ロリポップサーバーをしようの方はこちらを参考にしてください。
2013年8月29日に起こったロリポップサーバー内の8000以上の
WordPressブログが攻撃者によってサイトの改ざんを受けた大事件は、この
パーミッションが緩かったことが原因でした。
なので、この設定は特に重要ですから、忘れずに設定してくださいね。
バックアップを定期的にとる
どれだけセキュリティ対策をしても、攻撃者は新しいシステムの穴をついて
攻撃をしてきます。
ですから、絶対に攻撃を受けないということはありえません。
そういった、万が一のときのために、記事とサイトのデザインのバックアップ
は必ず必ずとっておきましょう。
ハッカーによる攻撃を受けないとしても、サイトデザインを編集している
過程で画面が真っ白になんてことはよくあることですから、1つ記事書いた
らバックアップをとるという癖をつけることは、ブログ運営者にとって、
必須ではないでしょうか。
バックアップのとり方
WordPressの管理画面にログインした後、
ダッシュボード内の「ツール」→「エクスポート」をクリックする。
「すべてのコンテンツ」→「エクスポートファイルをダウンロード」を
クリックすればOK。
ダウンロードしたファイルはパソコン内に大切に保管しておこう。
これで、投稿、固定ページなどのバックアップが完了だ。
次は、テーマ、プラグイン、画像などのバックアップ方法を説明します。
FTPソフトでワードプレスが設置されているサーバーにアクセスして、
wp-content内の「plugin」、「themes」、「uploads」をダウンロード
してパソコン内に保存しておけばOKです。
サイト名、サブタイトル、パーマリンク設定などをメモ帳などにコピペして保存しておこう。
特にパーマリンク設定は、忘れると、記事のバックアップファイルを読み込んでもうまくいかない
ので注意だ。くれぐれもどれを選択したかを忘れないように!!
セキュリティソフトは必要か?
今までやってきたセキュリティ対策は、WordPress上におけるものでした。
しかし、そもそもパソコン自体がウイルスに感染してしまえばブログの
ログインIDやパスワードなどが奪われるという事態も起こりうるのです。
なので、パソコンのセキュリティ対策もしっかりしましょう。
パソコンのセキュリティ対策は、ウイルス対策ソフトを1つ導入すれば
大丈夫です。
しかし、ウイルス対策ソフトって無料のものから有料のものまでたくさん
あるし、ネット上の評判だとアフィリエイト報酬の高いものが無理やり
売り込まれているので何やら胡散臭い感じがぷんぷんしますね。
ブログ運営初心者の人にとっては、悩みの種でしょう。
なので、今回は僕が、実際に試して使ってみて1個1個特徴をレビュー
させていただきます。それで、実際に、1個導入するつもりです。
僕自身、初心者ブロガーとして、ガチで導入するものを選ぶつもりで
紹介しますから、絶対ためになる中立的な記事になることと思います。
お楽しみに!!