WordPressのセキュリティーを強固にする必須プラグイン
せっかくLiteSpeedサーバで爆速化してもプラグインをどんどん入れて重くしてスピードダウンはしたくありません。
Cocoonは、正直なところ無料版ながら非常によくできたテーマだと思います。
通常ですと、無料版の場合、自分が必要としている形にソースをいじったりして手入れをしたり、プラグインを使ったりします。
しかし、Cocoonは、ほとんどその必要がなく無料版でありながら完成度が高いと思われます。
無駄なプラグインを入れずに、また、ソースをいじることもなく痒い所をしっかり押さえて作り込んであると思います。
SEO系のプラグインも必要ない作りとなっているようで素晴らしいものがあります。
AIO SEOなども必要ないと思われます。
しかしながら、サイトセキュリティを考えると、どうしても外せないプラグインがあります。
昔と違い、誰でも手が出せるようになってからはWordpressはかなり広く使われています。
WordPressをインストールすると、ログインページがどこになるかわかっていますので、そこをつかれやすくなっています。
対策としては、図形や文字の認証を入れたり、複数回ログインに失敗したら、一定時間ログインを無効にしたりすることでいくらか凌ぐことができます。
極端な例では、自分が繋いでいるIPからだけしかログインできないようにする方法もあります。
ログインIPを固定すると強固にはなりますが、指定されたIPからでないとログインできないので異なったIPから接続しなければならない時に困ってしまいます。
IP指定は、海外IPからの接続ができないくらいにしておいたほうが無難かと思います。
WordPressを運用する上で使い勝手がいいものとして「SiteGuard WP Plugin」があります。
これは非常に優秀なプラグインです。
前述のように新規にWordpressがインストールされた状態では、ログインページが広く知られているため、悪意のあるものから狙われやすくなっています。
SiteGuard WP Pluginを使うと、ログインページを自分だけがわかるページに変更を行い第三者が簡単にログインページにアクセスできないように設定することができるようになります。
それでは設定手順を見てみましょう。
手順【1】プラグイン追加をクリックして「SiteGuard」で検索
プラグイン追加をクリックして「Site Guard」で検索すると、SiteGuard WP Pluginが候補に出てきたら、「今すぐインストール」をクリックしてください。
手順【2】「有効化」する
インストール完了後、「有効化」アイコンになったら、「有効化」をクリックします。
ログインページ変更にチェックが付いていますが、ここをクリックしてログインページを自分だけわかるように変更して安全度を上げます。
ログインページは、メモを取ることを忘れないように!
ログイン時、画像認証を行う設定はできています。
以上のように、プラグインを探して、インストールして、有効化
次に、ログインページ変更の2ステップで完了します。
上の図のようにログインページのURLを確認してください。
また、ログインする時に画像認証が追加されてることも確認してください。
WordPressプラグイン「SiteGuard WP Plugin」における情報漏洩の脆弱性
2024年5月31日
■概要
WordPressプラグイン「SiteGuard WP Plugin」のVer1.7.6以前に情報漏洩の脆弱性が存在することが判明しました。 この脆弱性が悪用された場合、本プラグインの機能により変更されたログインパスが漏洩し、不正なログインの試行が行われる危険性があります。 この問題の影響を受ける「SiteGuard WP Plugin」のバージョンを以下に示しますので、修正されたバージョンを使用してください。
■該当製品の確認方法
影響を受ける製品は以下の製品です。
製品名称 WordPressプラグイン「SiteGuard WP Plugin」
該当バージョン
バージョン1.7.6以前
使用しているバージョン番号の確認方法は以下の通りです。
WordPressに管理者の権限があるユーザーでログインし、左のメニューから「プラグイン」を選択する。
プラグインの一覧から「SiteGuard WP Plugin」を探して、バージョンの表示を確認してください。
■脆弱性の説明
WordPressプラグイン「SiteGuard WP Plugin」は、機械的なログイン試行の攻撃を低減する目的で、標準のログインパス(/wp-login.php)を任意のパスに変更する機能「ログインページ変更機能」を搭載しています。/wp-activate.php、/wp-signup.phpにアクセスした場合に、変更されたログインパスにリダイレクトすることを防止する対策をしていますが、/wp-register.phpにアクセスした場合に、変更されたログインパスにリダイレクトすることを防止できていませんでした。このため、/wp-register.php(あるいは ”/任意のパス/wp-register.php”)にアクセスすると、変更されたログインパスにリダイレクトされ、ログイン試行の攻撃を受ける可能性があります。
■脆弱性がもたらす脅威
ログインページ変更機能のオプションである「管理者ページからのログインページへリダイレクトしない」をチェックした場合は(初期設定ではチェックされません)、変更されたログインパスは漏洩されない想定でしたが、/wp-register.phpにアクセスすると漏洩してしまいます。変更されたログインパスが漏洩した場合、ログイン試行の攻撃が行われる可能性がありますが、直ちにログインを許すことはありません。
■対策方法
バージョン 1.7.6 以前の製品を利用されているお客様は、バージョン1.7.7以降に更新してください。WordPressのプラグインの一覧から更新できます。
■回避策
この脆弱性(変更されたログインパスの漏洩)自体を回避する方法は、バージョン1.7.7以降に更新する以外にありません。ログイン試行の攻撃に対しては、本プラグインの「画像認証」「ログインロック」「フェールワンス」の機能を使用することにより、攻撃を成功させる可能性を低く抑えることが可能です。
※Wordpressは常に最新バージョンで運用し、プラグインも最新バージョンを使用するようにしてください。
おわりに
プラグインはできるだけ使いたくありませんが、訪問者に対するサイトの安全性を考えると、どうしても外せないプラグインはインストールしておく必要があります。
初心者でも手が出せるほど敷居が低くなったWordpressですが、セキュリティはしっかりしておかないと痛い目に遭ってしまいます。
SEOを考えた時、まず、サイトの爆速化はプラスに働きます。
表示速度に大きく寄与し、訪問者に対してサクサクと閲覧していただけます。
そして、閲覧者に対して、安心、安全なサイト構築にも配慮する必要があります。
後は、有益な情報を提供していくことになります。
まずは、爆速プラットホームと安心・安全なサイトを構築しましょう!
参考までに「SiteGuard WP Plugin」をインストールしたことによる、サイトのパフォーマンスの変化を確認したところ問題なく「爆速中」です。
【スマホ】
【PC】
コメント