WordPressのセキュリティ強化対策をしてアフィリエイト収益を保証しよう

Bicepper

こんにちは!Bicepperです。

ブログやアフィリエイトを始める人が、最初にやることって、たぶんWordpressをインストールですよね。

インストールが完了したら、いよいよブログの投稿…

…いやいや、ちょっと待ってください。
まさか、セキュリティ対策とかそのままにしてないですよね?
ちゃんとWordpressのセキュリティ対策プラグイン、入れました?

WordPressのセキュリティは、危ない

WordPressにはどんな危険があるの?

WordPressは、インストールさえ完了してしまえば簡単にブログを始められます。

しかし、Wordpressのデフォルトの設定では、セキュリティ対策の観点から見てもかなり不安要素が多いのも事実です。

例えば、WordPressに侵入したり、WordPressのIDやパスワードを突破するための参考サイトとして、海外にはこんなWebサイトがあります。

参考 5 ways to Brute Force Attack on WordPress WebsiteHacking Articles

ここに書かれている「Brute Force Attack」というのはブルートフォースアタックと読みますが、とても簡単に説明するならば、

悪い人

思いつくIDとパスワード全部試してたら、いつかWordpressにログインできるかもしれないよねw

という総当たり攻撃を意味します。
いわゆる不正アクセスですね。

どうしてそんなことが起こるの?

そもそもブルートフォースアタックは、Wordpressの管理画面へのログインURLを知らないと試すことさえできません。

しかし、Wordpressの管理画面へのログインURLというのは、インストール時のデフォルトで
http://◯◯◯.com/wp-login.php/
と決まっています。

これでは、「どうぞ、ブルートフォースアタックを試してください」と言っているようなものですよね。

一番最適な解決方法は、自分か知らないログインURLに変更してしまうということです。

そうすれば、

悪い人

う〜んログイン画面が見当たらないな…諦めよう…

となるわけです。

WordPressのセキュリティ対策をしっかりとしておけば、多くの不正アクセスは防ぐことはできますし、何よりも安心してWordPressを運用することができます。

不正アクセスされたらどうなるの?

自分の運営しているWordPressに不正アクセスされると、こんなことが起こる可能性があります。

  • サーバーの負荷増大
  • データベースの停止、改ざん、破壊
  • WordPressの乗っ取り
  • 不正なプラグインのインストール
  • 個人情報の抜き出し

ここまでされると、もう普通の運営ができる状況ではありません。
せっかくアフィリエイトなどで収益が発生していても、ある日突然途絶える可能性も十分にあるのです。

せっかく収益化に成功して3桁、4桁、5桁と収益が発生していても、Webサイトが停止してしまっては意味がありません。

実は….

僕も昔、WordPressに不正アクセスをされた経験を持っています!

これはまた別の不正アクセスで、大量のスパムメールを送ってくる不正な手口ですね。
おかげで全てのWebサイトが403のアクセス拒否状態となってしまい、全く閲覧ができない状態になりました。

Bicepper

いやーあの時はつらかったなあ…
ショックすぎて何も手につきませんでした。

もう二度とあんな経験はしたくないですね。

さきほどのブルートフォースアタックや、このスパムメールはほんの一例です。

世界中で使われている便利なWordPressですが、反面、セキュリティの面をおざなりにして対策を全くしてない人が多いのも現状なのです。

WordPressのセキュリティ強化対策プラグインを入れよう

ここまでしっかり読んだ人ならば、セキュリティ対策がどれだけ重要か、もう理解できてますよね。

WordPressには、セキュリティ対策強化用のプラグインもたくさん用意されています。
かと言って、なんでもかんでも入れればセキュリティが強くなるわけではありません。

しっかりと吟味して、厳選したセキュリティ対策強化用プラグインを1つ入れましょう。

オススメは「All In One WP Security & Firewall」

僕がオススメするのは、「All In One WP Security & Firewall」です。

このセキュリティ対策プラグインは、様々な面からトータルでWordPressを守ってくれます。
主に以下の機能がついています。

  1. WordPressユーザーアカウントセキュリティ
  2. WordPressユーザーログインセキュリティ
  3. WordPressユーザー登録セキュリティ
  4. データベースセキュリティ
  5. ファイルシステムセキュリティ
  6. htaccessやconfigファイルのバックアップとリストア
  7. ブラックリスト登録
  8. ファイヤーウォール
  9. ブルートフォースアタック防止
  10. セキュリティスキャナー
  11. スパムコメントセキュリティ
  12. コピペ防止

全てのセキュリティ機能を使うことはないかもしれませんが、これだけ多面的にセキュリティを設定できるのは非常に嬉しいです。
先ほど紹介したブルートフォースアタックに対してのセキュリティもしっかりと含まれていますね!

もう一つ個人的にこのプラグインの好きなところは、
現在のWordPressに対するセキュリティの強固さの度合いが、数値で把握できると言うところです。

見た目通りですが、緑のゾーンに針が振れていればセキュリティ的には安全であり、MAXの515に達していればかなり強固なセキュリティと言っていいでしょう。

デフォルトの設定では「35」ですから、安全とは言えないですね。。。

インストールと設定方法

早速「All In One WP Security & Firewall」をインストールしていきましょう。

STEP.1
プラグイン → 新規追加
「All In One WP Security & Firewall」と検索
STEP.2
今すぐインストールをクリック
インストール開始
STEP.3
有効化をクリック
プラグインを有効化
STEP.4
インストール完了

次はセキュリティの各種設定ですが、全ては設定しません。
必要最低限のセキュリティ対策のみをやっていきますが、これだけでもセキュリティ機能としては十分です!

WordPressのバージョン情報削除

WordPressはデフォルトで、使用中のバージョン情報がソースコード上に記載されています。

ただのバージョン情報と思われがちですが、バージョンによっては脆弱性(セキュリティ的に弱い部分)が残っていたり、セキュリティ的に弱かったりします。

そうなると、場合によっては「私は古い、脆弱性のあるWordPressを使用しています」とネット上で晒していることになり、大変危険です

バージョン情報は削除するように設定しておきましょう。

  1. 「Settings」をクリック
  2. 「WP Version Info」をクリック
  3. 「Remove WP Generate Meta Info」にチェックを入れる
  4. 「Save Settings」をクリックして、設定反映。

WordPressへのログイン試行回数の制限

悪意のあるユーザーにWordPressの管理画面にログインされたら、全てが終わると思っていいです。

管理者権限の変更、データベースの改ざん、ブログ情報の削除、不正プラグインのインストール、個人情報の漏洩…
挙げたらキリがありませんが、やりたい放題なのは間違いありません。

ログイン試行回数に制限を加えることで、管理画面への不正アクセスの危険度をグッと抑えることができます。

これはブルートフォースアタックへの対策にもなりますので、しっかりと設定しておきましょう。

  1. 「User Login」をクリック
  2. 「Login Lockdown」をクリック
  3. 「Enable Login Lockdown Feature」にチェックを入れる。これで試行制限が有効になる。
  4. 「Max Login Attempts」に3を入力。ログイン試行回数を3回までに制限する。
  5. 「Login Retry Time Period」に5を入力。ログイン試行回数が許容される時間。この時間内にログイン試行回数を超えると、該当IPはログイン禁止。
  6. 「Time Length of Lockout」に60を入力。ログイン禁止の時間。時間は分。
  7. 「Instantly Lockout Invalid Usernames」にチェックを入れる。登録されていないユーザー名を入れると、即時ログイン禁止。
  8. 「Notify By Email」にチェックを入れ、メールアドレスを入力。ログイン禁止が発動した場合に、該当メールに通知される。
  9. 「Save Settings」をクリックして、設定反映。

一定時間経過後にWordPress管理画面から強制ログアウト

一定時間を経過したら、WordPressの管理画面から強制的にログアウトする設定をしておきます。

自宅のPCで、自分しか使わないというのであれば危険性は低いかもしれませんが、
例えばいつもとは違うPCを使った、誰かにPCを貸す可能性がある、という場合は、第三者がログインする可能性が否定できません。

  1. 「User Login」をクリック
  2. 「Force Logout」をクリック
  3. 「Enable Force WP User Logout」にチェックを入れる。これで強制ログアウトが有効になる。
  4. 「Logout the WP User After XX」に360を入力。時間は分。これで6時間後に強制ログアウトする。
  5. 「Save Settings」をクリックして、設定反映。

WordPressの新規アカウント作成の自動承認を無効化

WordPressではデフォルトで、新規アカウントの作成を自動で承認していますが、これを手動承認にします。

悪意のあるユーザーがログインして、目に見てわかるような不正操作をしたのであればわかりやすいですが、
パッと見ただけでは一瞬わからない不正をしている可能性も十分にあります。

そのうちの一つが、新規アカウントの作成です。

気付かないうちに知らないアカウントが作成されていた、なんてこともあるので、しっかりと対策しておきましょう。

  1. 「User Registration」をクリック
  2. 「Manual Approval」をクリック
  3. 「Enable manual approval of new registrations」にチェックを入れる。これで手動承認が有効になる。
  4. 「Save Settings」をクリックして、設定反映。

Firewallを有効化

WordPressに対するFirewallを有効化します。

特に、xmlrpcは必ずどちらかを設定しましょう
xmlrpcは簡単に紹介すると、外部からWordPressを操作するために機能を提供するシステムです。

便利である一方、その特徴から悪意のあるユーザーに狙われやすいのも事実です。

「Completely Block Access To XMLRPC」の方が強力ですが、場合によっては不具合が生じる可能性もありますので、その場合は、「Disable Pingback Functionality From XMLRPC」にチェックを入れてください。

  1. 「Firewall」をクリック
  2. 「Basic Firewall Rules」をクリック
  3. 「Enable Basic Firewall Protection」にチェックを入れる。これでFirewallが有効になる。
  4. 「Completely Block Access To XMLRPC」にチェックを入れる。不具合が生じる場合は、「Disable Pingback Functionality From XMLRPC」に切り替える。
  5. 「Block Access to debug.log」にチェックを入れる。debug.logへの外部からのアクセスを遮断する。
  6. 「Save Basic Firewall Settings」をクリックして、設定反映。

WordPress管理画面へのログインURLの変更

いよいよログインURLの変更です。

これまで話した通り、そもそもログインURLを知られていなければ、不正アクセスされる危険性はかなり軽減されます。

簡単に変更できるので、URLを変更してしまいましょう。

  1. 「Brute Force」をクリック
  2. 「Rename Login Page」をクリック
  3. 「Enable Rename Login Page Feature」にチェックを入れる。これでログインURLの変更が有効になる。
  4. 「Login Page URL」に好きなURLを入力。これ以降、このURLがログインURLになる。
  5. 「Save Settings」をクリックして、設定反映。

最終セキュリティスコアは…

これで最低限の設定は完了しました。

さて、最終的なスコアは…

120です!

515には程遠いですが、緑圏内に入ったこと、35から大幅にアップしたことを考慮して、ひとまず良しとしましょう。

【まとめ】Wordpressのセキュリティ対策は終わりがない

WordPressのセキュリティ対策について紹介しました。

何度も言っていますが、これは最低限です

技術の進歩とともに、新しい不正アクセス方法が生まれれば、当然対策も考えられます。
まさにイタチごっこで、キリがありません。

しかし、基本的なセキュリティは今も昔も変わりありませんので、基本さえ抑えておけば、まずは安心です。

もっと強固なセキュリティを築きたい場合は、色々調べてぜひ設定してみてください。

Bicepper

ここまでやればある程度は大丈夫でしょう。

これでアフィリエイトの収益もある程度は守られますね。

自分のブログですから、セキュリティもしっかり自分で守りましょう!