ワードプレスを安全に使い続けるために、これだけはチェックしてほしい3つのこと

 

 WordPress(ワードプレス)

WordPress(ワードプレス)の弱点を利用したブログの改ざんや乗っ取りなどの事件が多発しています。今は自分が被害に合うだけではなく、自分のワードプレスが踏み台にされて、ほかの方に被害を与える事例もあります。

ワードプレスをお使いのみなさま、今一度安全対策は十分か確認してくださいね。

なぜワードプレスの事件が多いかというと、世界中で人気のあるCMSというシステムだからと私は考えています。ユーザーが多いと、攻撃のしがいがあるというか、影響力は高いですよね (-_-;)

ワードプレスには、メーカー保証というものがありません。何が起きても、すべて自己責任ってことになります。その代わりライセンス料が必要ないんです。(ライセンス料がいらないから、普及したともいえるんですが、、、)

ライセンス料が不要なのは、システムがどのように作られているかソースが公開されているからです(オープンソースといいます)。これでみんなが手軽に使えるというメリットがあるのですが、逆にソースが公開されているため弱点を突きやすく、悪いこともしやすいってことなんです。

※システムの開発元と、システムを利用してブログを作るWeb制作会社は違うんです

こんにちは。さおりんです。最近はニューヨーク旅行のことばっかり書いていましたが、一応Web屋です(^^ゞ。

サーバーへのアタックと日々戦っているサーバー技術者から、ワードプレスの対策を今以上にしていく必要があると提案があって、ここ数日はワードプレス対策を考えてきました。

今日は、インターネットやシステムにあまり詳しくない方にむけて、チェックポイントをざっくりと書きます。

とくに、制作会社ではなくて、ご自分でがんばってワードプレスでブログを構築した初心者の方に読んでいただきたいと思います。

お客さまに配布する資料を作成中です

ワードプレスで確認すべき基本的なこと

(1)ユーザ名を確認する

まずはワードプレスのユーザー名を確認してください。「admin」になっていませんか?

ワードプレスをインストールした直後の設定は「admin」になります。これはインストールした人すべてで同じ設定になっていることを意味します。つまり、ログインするときの情報の一部を公開しているようなになっちゃうんですね。

ですので、管理画面の「ユーザー」で新しいユーザーを作って、「admin」ユーザーを削除する方がよいです。ユーザーを作る際は、必ず権限を「管理者」にしてください。

[ユーザー]→[ユーザー一覧]からユーザー画面を開いたところ

(2)パスワードを複雑なものにする

パスワードは英数字を組み合わせて、10文字以上にした方がよいかな。その際、大文字も小文字も組み合わせて!とか&などの記号も入れてもいいです。

長くすると覚えられなくなっちゃうのですが、人間が覚えやすい7文字くらいのパスワードだと結構簡単に破られてしまいます。

なぜなら、パスワードは0~9の数字と26文字の英字、それに記号で作られますから、それらの文字の組み合わせを作ればパスワードが一致してしまうんです。人間が組み合わせを作るのであれば時間がかかることも、パソコンで自動的に作らせればすべての組み合わせを作るのは早いですね。それをひたすら、自動的にユーザ名とパスワードを入力し続ければ、あるとき管理画面にログインできちゃうということです。ログインできれば、勝手に記事を書きこんだり、パスワードを変更して乗っ取ったりすることができちゃいます。

(;´Д`)

そうならないために、パスワードは長く複雑なものにすることが大事なんです。

(3)基本認証を設置する(上級編)

基本認証といってIDとパスワードを入力しなければ、ワードプレスのログインが表示できないようにすることもできます。これで二重にパスワードを設置することになります。

ワードプレスのログイン画面が門番とすれば、その手前にもうひとつ門番をおくような感じと言えば伝わりますか?

基本認証は本当は設置してほしいんです。

テキストエディタを使って、.htaccessというファイルを使って設置するんですが、、、別記事にしないと書ききれないのです。

基本認証のほか、リンク先を制御する記述も入ることがあるで、慎重にファイルの中を確認しないとあとで動かなくなることもあるんです(私はやっちゃったことあります)

契約しているレンタルサーバーによっては、コントロールパネルで基本認証を設置できる場合があります。一度、レンタルサーバーのマニュアルを確認するか、問い合わせしてみてください。XSERVER、さくらサーバーやロリポップなどはできますね。

できるのであれば、Author Slugの変更してみて(上級編)

だんだん専門的な話になってきますが、「Edit Author Slug」というプラグインを入れて、ニックネームの設定をしておくこともお勧めします。

これはワードプレスの初期設定では、たとえユーザー名を変更したとしても、割とカンタンに見破ることができるからです。「Edit Author Slug」というプラグインは、ユーザー名を隠すことができるプラグインなので、こちらも入れてほしいです。

プラグインを入れると「ユーザー」画面のニックネームで、読者に公開する記事名をユーザー名ではなく、別の名前に変更することができます。そうすることで、ユーザ名を隠すことができます。

わからなければ誰かに相談してみましょう

いろいろ書いたので、ワードプレスを使うのが嫌になっちゃう方もいるかもしれないですね。

私は安全性をお客様に説明するときは、車に例えています。

車は遠くに行ったり、荷物を運んだりする便利な道具です。でも、車そのものの整備をしたり、安全な運転の方法を知らないと事故を起こすこともあります。場合によっては、人の命を奪ってしまうこともある。

それと同じで、ワードプレスは独自ドメインでブログを作ったり、ホームページ全体をワードプレスで作ってブログもあわせて運用するってことができる便利なツールです。デザイン面を除けば、自力で文字を修正したり画像の入れ替えができるので、制作会社にいちいち発注する手間も省けます。

ですが、一方で無防備に使うと、攻撃の対象になってしまうこともあるってことなんです。

デジタルの世界は、直接人間には影響がないから危険と言われてもピンとこないかもしれません。

ですが、ホームページやブログが改ざんされ、お金を払わないと元に戻らないみたいな詐欺まがいの問題も起こっているので、対策は必要と考えているんです。

作成中の資料には、被害の事例も書いてあります

制作会社に作ってもらった方は、一度ワードプレスの設定を点検してもらうことをお勧めします。

どうしたらよいかわからない場合は、お気軽にご相談くださいね。

コメント

comments

 この記事の投稿者

白藤沙織

札幌のWeb・印刷事業をしている株式会社正文舎で、Webを中心にお客様の販促のお手伝いをしています。

ニックネームは「さおりん」
私のミッションは、「Webと紙で中小企業を元気にすること」と勝手に信じてばく進む中。

趣味はテニス♡ 愛読書はサザエさん

ひとり娘と一緒に住んでるシングルマザー。仕事と子育てとめいっぱいがんばってきたので、人生の伴侶ができるといいなぁと密かに夢見ているとか

上級ウェブ解析士、エクスマ59期・65期、エヴァ16期

  • このエントリーをはてなブックマークに追加
  • 6 follow us in feedly

ページ最上部へ