PC・デジモノ・旅行など他にも色々語りたいブログ

Sponsor link

WordPressが遅くならない最低限のセキュリティ

      2016/12/06

midashi-wordpress

ここ2~3年の間にCMSが一般的になり、Wordpress利用のサイトも本当に多くなりました。利用者が多いということはそれだけ悪意のある攻撃者も多いということにもなります。僕も人事ではなく、そういった悪意のある攻撃の餌食になったこともあります。

WordPressにはセキュリティのための便利なプラグインが数多くリリースされていて、ありがたいことに、そのほとんどを無料で使用できます。

しかし、様々なブログ等で「効く」「良い」と紹介されているものの中には、機能は良いのだが、プラグインを入れるとWordpress自体の動きがもっさりと遅くなるものもあります。

今回はその辺を交えて「Wordpressが遅くならないようにしつつ、最低限やったほうが良いセキュリティ」をブログしたいと思います。

Sponsor link
Sponsor link

はじめに

この記事がもしもお役に立ったなら・・・是非ツイッターやフェイスブックなどでシェアしていただけると今後のブログ運営の励みになります!

セキュリティの為とはいえサイトの表示速度は捨てられません

有名なセキュリティ系プラグイン

  • iThemes Security
  • Acunetix WP Security
  • Wordfence Security

よくブログなどで紹介されているお三方。セキュリティ機能面やバックアップといったシステムマネジメント面でも非常に便利ですぐれたプラグインだと思います。

しかし、これをWordpressに導入すると・・・もっさり重い感が顕著にわかります。導入前と後ではかなり気になる差です。

セキュリティは非常に大事ですが、本来「閲覧してもらうため」のサイトやブログです。「遅さ・重さ」が顕著に発生してしまうのはまるで意味がありません。

特に、レンタルサーバーの「ロリポップ」で運用したサイトなどにこれらのプラグインを入れると、遅さが非常に目立ちます。

とりあえず最低限のセキュリティ

ユーザー名を「admin」にしない、接頭詞を「wp_」から変える等のベターなものは省きます。要はデフォルトの設定は使わないほうがセキュリティ的には良いということです。

WordPressのバージョン情報を非常時

ソースに記載されてしまうWordpressのバージョン情報を非表示にする。様々なサイトで「Wordpressは常に最新にしましょう」と警告されていますが、クライアントワーク上それもなかなか叶わないこともやはりあるのです。そのような場合のためにプラグインは使わずに function.php に一文を追加しバージョン情報を非表示にします。コードは以下。

もちろんバージョン情報を非表示にできる便利なプラグインもありますが、たったこれだけですから、function.php にいれたほうがサイトの速度に優しいと思います。

ログイン履歴を監視しよう

Crazy Boneの利用

ダッシュボード上からWordpressへのログイン履歴を閲覧・監視できる便利なプラグイン「Crazy Bone」を導入する。

loginerror

このプラグインはログインした履歴の他、ログインエラーも表示してくれます。また履歴の中に覚えのないIPアドレスやOS・ブラウザなどがあれば、それは侵入されたかもしれないということなので対策がとれます。マメに監視することが最善のセキュリティにほかならないのではないでしょうか。とても軽いプラグインです。

インストール後は左サイドバーの「ユーザー」にてログイン履歴にアクセスできます。

ログイン失敗に対するペナルティを設定しよう

Simple Login Lockdownを導入

ブルートフォースアタック(総当り攻撃)でパスワードを解析されないように「Simple Login Lockdown」を導入する。

SimpleLoginLockdown

このプラグインは「ログインを○回失敗したらそのIPアドレスは○時間のあいだ停止」させるというそれだけのプラグインですが、「それだけ」がとても重要で役に立ちます。規定回数失敗するとログインできなくなるので、ブルートフォースアタックがとりあえずその時点でやみます。とても軽いですから入れて損はない、というか必須プラグインではないでしょうか。僕はだいたい5回に設定していますね。類似のプラグインは他にもいくつかあるのでお好みで。

余談:たまにクライアントさんから「規定回数失敗してログインできなくなった、面倒だからこれはずしてよ」と依頼されることもありますが、セキュリティの大事さを説いて却下します(笑)「セキュリティには面倒臭い」がいつもついて回るものです。

設定は「設定→表示設定」にあります。導入することによって「表示設定」の下段に付随します。

2つ目のパスワードを設定しよう(2段階認証風)

Stealth Login Page の導入

ログインページに2つめのパスワードを設定できる。「Stealth Login Page

StealthLoginPage02

GoogleやEvernoteのように毎回ランダムの数字を入れる・・・ということではなく、決められたパスワードになってしまいますので「2段階認証風」。1つよりも2つです!また、このプラグインで設定したパスワードは「ブラウザに記憶することができない」ので、毎回パスワードを入れなければならず、このポイントもセキュリティに一役買っています。

ユーザー名やパスワードはなかなか変えるのは腰が重いかもしれませんが、このプラグインは設定から簡単に変えることができます。第二パスワードを定期的に変えるだけでもセキュリティ対策になりますよね。

簡単な使いかた

StealthLoginPage

  1. このプラグインを使用する(チェックをいれて初めて使用可能)
  2. ここに入力したものが第二パスワードになります(忘れないでね)
  3. ログインを失敗した時に開くURLを入力
  4. 控用のE-mailを送信(Wordpressに登録されているメアドへ送信されます)

まとめ

とりあえず僕はこれらを最低限のセキュリティ設定として、他にプラスアルファしたりしなかったりしています。今回のブログはあくまで「最低限やったほうが良いセキュリティ」です。ご了承くださいね。質問等ありましたらお気軽にコメントくださいね!

こちらもお読みください

>wordpress これだけ設定したら不正アクセスがグンッと減る!

上記リンクは僕が実践してログインページへの不正アクセスがまったくといっていいほど無くなった方法を掲載しております。よかったらあわせてご覧ください。