みなさん こんにちは、伊藤みゆきです。
昨日まではずっと書類を作ったりなんだかんだと忙しかったですが
今日は自社運営のWordPressサイト(はっちゃん、お取り寄せ、動画セミナーとかネットショップ資格etc)
とサイトの運営をしているお客様のサイトのセキュリティー設定とバックアップをしています。
最近WordPressサイトの改ざんが流行っていますので、定期的にバックアップを取るもしくは
セキュリティーを強化する等 WordPressサイトの方は何かしらのクラッカー対策ををおすすめします。
※ ちなみに、一般的にはサイトを攻撃したり改ざんしたりする人のことをクラッカーではなくて
ハッカーの方が有名かもしれませんが、ハッカーとクラッカーは全く異なります
■ ハッカー (hacker) とは主にコンピュータや電気回路一般について常人より深い技術的知識を持ち、その知識を利用して技術的な課題をクリア(なかったことに)する人々のこと。
■ クラッカーは、コンピュータネットワークに不正に侵入したり、破壊・改ざんなどの悪意を持った行為、すなわちクラッキング(悪意を持ったハッキング)を行う者のこと。(wikipediaより)
使用するWordPressセキュリティープラグインはこれ
「Better WP Security」プラグイン
このプラグインで簡易セキュリティーチェック!
まず、今のWordPressサイトがどういう状態でセキュリティー的に危険な部分(すぐに対策必要)
と
出来ている部分、一部出来ている、できればやったほうがいいというのを
色分けされています
● 緑色の項目は安全です
Items in green are fully secured. Good Job!。
● オレンジ色の項目は部分的に安全です。これらはより安全にしましょう
Items in orange are partially secured. Turn on more options to fully secure these areas.。
● 赤色の項目は安全ではありません。これらはすぐに安全にするべきです
Items in red are not secured. You should secure these items immediately。
● 青色の項目は、完全には安全でありません。可能な限り安全にするべきですが、
他のテーマやプラグイン、その他の操作と衝突する可能性があるので、心配な場合は実行しないでください。
Items in blue are not fully secured but may conflict with other themes, plugins, or the other operation of your site. Secure them if you can but if you cannot do not worry about them.
このプラグインで設定できることとは?
色々ありますが抜粋しますと
● データベースのバックアップ機能。(バックアップデータはメール送信)
毎日(時間毎、毎週など)バックアップを定期的に自動でメールで送ってくる設定
● 2:00~6:00まで等、決めた時間は管理画面に入れなくする
● クラッカーがファイルをいじれないように特定のファイルを制限する
● 誰かがファイルを変更したらそれもメールで届きます
● 悪質なホストやエージェントおブラックリストに乗っているの
● 何度もログインしようと攻撃してきたIPアドレスをブロックします
● 脆弱性を狙われるのでプラグインとかのバージョン情報を隠せる
● WordPressが世界的に人気な分、クラッカーから狙われるため
ヘッダーの情報からなるべくWordPressだよってのを
Better WP Securityプラグインを使う上での注意点
- このプラグインは、ホームページ制作、WordPress初心者向けではないです。
ある程度慣れた方、WordPressに詳しい人、サイトに何かあっても責任が取れる方におすすめします。 - プラグインを利用すると、WordPressサイトに影響を与える変更が加えられますので
設定変更については バックアップを取ってください
- .htaccessが使える(設定できる)レンタルサーバーの方がお使いください
- 使用前に、データベースのバックアップも取ってくださいね
- WordPressをインストール直後のサイトなら実装は簡単です(動いているサイトだとサイトに影響がでるといけないため慎重になります)
かなり脅かしておりますが、動いているサイトは本当に慎重にしないといけないです
時間的に難しいので 次回別の時に慎重にできてなお且つ簡単な方法を紹介しますね
私のサイトですとプラグインの設定画面はこんな感じです。
全部で21項目あります。
赤い部分から設定していきます。(サイトの状況によっては全てを緑色にするこは出来ない場合もあります)
えええ~~全部英語ですか(^_^;)
と思われた方、あかぎさんが、WordPress のセキュリティプラグイン Better WP Security を日本語化してくれています(ありがとう!あかぎさん)
注意事項としてあかぎさんブログより
このプラグインを使ったらサイトが崩壊した事例があるようだ。
-
このプラグインおよび言語ファイルを使用する場合は、自己責任でお願いします。
-
何らかの損害が発生しても一切関知しません。
使用方法と、ダウンロードはこちらのサイトからお願いします
管理画面では 訳すとこうなっています
- You are enforcing strong passwords, but not for all users.
強力なパスワードが必須になっていますが、すべてのユーザに対してではありません。 - Your WordPress header is still revealing some information to users.
WordPress のヘッダが、依然としていくつかの情報を露出しています。 - Non-administrators cannot see available updates.
管理者以外は、利用可能な更新の情報を閲覧できません。 - The admin user has been removed.
admin ユーザは削除済みです。 - A user with id 1 still exists. Click here to change user 1’s ID.id 1 のユーザは削除済みです。
- Your table prefix should not be wp_.Click here to rename it.テーブルのプレフィックスが好ましくありません: wp_.
- You are not scheduling regular backups of your WordPress database.
WordPress データベースの定期バックアップが設定されていません。 - Your WordPress admin area is available 24/7. Do you really update 24 hours a day?
WordPress 管理画面が常に利用可能な状態です。本当に24時間365日アクセスしますか? - You are not blocking known bad hosts and agents with HackRepair.com‘s blacklist? Click here to fix.
既知の悪質なホストやエージェントがブロックされていません。 - Your login area is protected from brute force attacks.
ログイン画面はブルートフォースアタックから保護されています。 - Your WordPress admin area is not hidden.
WordPress の管理画面が隠蔽されていません。 - Your .htaccess file is NOT secured.
.htaccess ファイルで安全な設定が行われてません。 - Your installation is actively blocking attackers trying to scan your site for vulnerabilities.攻撃者による脆弱性のスキャンは積極的にブロックされています。
- Your installation is not actively looking for changed files.
ファイルの変更が監視されていません。 - Your installation accepts long (over 255 character) URLS. This can lead to vulnerabilities.長い URL (255文字以上) を受け付けるようになっています。これは脆弱性につながる可能性があります。
- You are not allowing users to edit theme and plugin files from the WordPress backend.
ユーザに対して、管理画面からテーマやプラグインを編集することが許可されています。 - You are allowing users to edit theme and plugin files from the WordPress backend.Better WP Security は wp-config.php と .htaccess への書込みを許可されています。
- Better WP Security is allowed to write to wp-config.php and .htaccess.
wp-config.php と .htacess が書込み可能な状態です。 - Users may still be able to get version information from various plugins and themes.
wp-config.php and .htacess are writeable.
いくつかのプラグインやテーマから、バージョン情報が取得可能なようです。 - You should rename the wp-content directory of your site. Click here to do so.
サイトの wp-content ディレクトリの名前を変更するべきです。 - You are not requiring a secure connection for logins or for the admin area.
ログイン画面や管理画面で、SSL 接続が必須になっていません。
最後にね
このプラグイン入れたくなる画像載せておきますね(^_-)
WordPressサイトへは攻撃は頻繁に来ています
WordPressが便利なので人気になれば利用者も増えるためクラッカーからの攻撃があります。
実際の管理画面からの IDがadmin のままの人を狙った攻撃の
画像添付します。
(まだの人は変更してくださいね!WordPressのID:adminを変更する方法)
↓こんなにadminアタックだけでも来ています(おお~~怖い怖い)
こんなにも普通にきてます(^_^;)
プロフィール
-
こんにちは、三重県四日市出身です。ネットショップやWordPressなどの制作やコンサルやセミナー講師等で教えています。このブログは最近雑多になってしまったため、備忘録として色々書いています。
■ はっちゃんセミナー
最新記事一覧
- WordPressテーマ2024年10月18日Elementorで作ったサイト【日本サイトの事例集】デモ・デザインの参考に
- 新着2024年10月17日おすすめのピックルボールのパドル(ラケット)紹介
- 新着2024年10月17日ナッジ理論とは?個人でも中小企業でも使える行動理論
- ピックルボール2024年10月16日かわいいピックルボール専用のバッグ紹介★ギフトにも!