WordPressのセキュリティ

WordPressでのホームページ運用はセキュリティ対策が必須です。

悪意ある第三者に不正ログインされ、ホームページが改ざんされるなどの被害にあわないためにも、できうる限りの対策は講じておきましょう。

パスワードは12桁以上の複雑なものを設定する

セキュリティ対策最初の第一歩はパスワードです。推測できるもの、単語になるものは避け、英数記号、大小文字を組み合わせ12桁以上のパスワードを設定するように心がけます。これは何もWordPressに限ったことではなく、SNSやクラウドサービスなどインターネット上でアカウントをもつ場合はすべからくそうすべきです。

ブルートフォースアタック対策

ブルートフォースアタックはプログラムによる総当たり攻撃です。4桁程度のパスワードのでしたら英数記号まじりでも、ものの数分でパスワードが破られます。今後コンピューターの処理速度が上がればもっと時短されることが容易に推測できます。

ブルートフォースアタックにもパスワード

現時点、英数記号の組み合わせ12桁以上のパスワードなら、まず我々の生きている間にパスワードが破られることはないはずですが、この間、1案件数千万のシステムを開発されているガチエンジニアさんと、その系の話しになった時は念のため16桁とおっしゃっていました。

定期的にパスワードを変更する

安全なパスワードを手に入れただけで満足してはダメです。いずれからか管理情報漏洩する可能性もゼロではありませんので、パスワードは定期的に変更しておくことが望ましいでしょう。

ブルートフォースアタック以外にも

• 辞書攻撃（辞書に載っている文字列での攻撃）
• リバースブルートフォースアタック（パスワードをpassword等で固定し短いユーザー名に攻撃する）
• ジョーアカウント攻撃（同一のIDとパスワードを設定しているアカウントへの攻撃）
• パスワードリスト攻撃（情報漏洩したIDとパスワードを違うサービスに用い攻撃する）

などがありますが、こちらに関してもパスワードに気を配ることで、かなりの防御策になります。

プラグインによる対策

WordPressには不正アクセス対策ができるプラグインが公開されていますので、システム的に問題がないようであれば是非導入しましょう。

Limit Login Attempts

同一IPから連続してログインに失敗すると一定時間管理画面をロックして不正アクセスを防ぐプラグインです。

Google Authenticator

WordPressに2段階認証を導入できるプラグインです。スマホにアプリをインストールしておくと便利です。

Edit Author Slug

オーサーを活用する場合はEdit Author Slugを導入し、ログインIDをわからないようにします。

その他の対策

最新版を維持する

WordPressのアップデートは機能面だけではなくセキュリティホールなどの脆弱性の対策が施されていますので、なるべく最新版を維持するように心がけましょう。

インストールディレクトリ名

インストールディレクトリ名はwpなど推測されやすい名前は避けたほうが無難でしょう。大半の攻撃は機械的に行われますので、攻撃対象になる確率を下げることが期待できます。

1番のセキュリティ対策は意識

こういう類いのものに絶対安全などありません。人が作るものですので必ず何処かに穴があります。

セキュリティ対策で1番重要なのは「意識」です。セキュリティーに対する意識が高ければ自ずとパスワードは長くなるでしょうし、ユーザー名も推測されにくいものに設定したりするものです。特別意識するというよりは日常の習慣としてセキュリティーリテラシーの向上につとめるのが最も望ましいことでしょう。