ブログを守るために是非やっておきたいこと[WordPress]

ブログを守るために是非やっておきたいこと[WordPress]

Canon EOS Kiss X7 (60mm, f/2.8, 1/125 sec, ISO800) at 16:52 on 2017/11/07

okutaniさん(@okutani_t)が運営している「ブロガー専用のコミュニティサイト『bcafe』でも投稿させていただいたのですが、

bcafe(ビーカフェ)はブロガーのためのコミュニティサイトです。ブログで困ったことを聞いたり、ブロガー同士で交流を深めることができる、新しいプラットフォームです。

WordPressでブログを運営する上で最も気をつけなければならないのが「セキュリティ」です。

『はてなブログ』などのサービスを利用していれば、運営会社がセキュリティを担保してくれているので、ある程度は「安心」と言えます。

しかし、レンタルサーバーを借りてWordPressでブログを運営する場合は、セキュリテイは運営者自身が自分で担保しなければなりません。

自分のブログを守るために何をしなければいけないのか、最低限これだけはやっておきたい、という内容をまとめておきました。



ブログの入口を守る

ここでいう『ブログの入口』とは、下記のこととします。

  • WordPressの管理ページへのログインページ
  • サーバーにファイルをアップロード/ダウンロードするための方法

WordPressの管理ページへのログインページ

ブログに記事を投稿したり、WordPressの設定を変えるためには『ログインページ』からログインする必要があります。

WordPressのログインページ

この画面から「ユーザー名またはメールアドレス」と「パスワード」を入力してログインします。本来であれば、「ユーザー名またはメールアドレス」と「パスワード」は、運営者本人しか知らないはずです。

しかし、悪意を持った第三者に「ユーザー名またはメールアドレス」と「パスワード」が漏れてしまったらどうなるでしょう?

あなたの知らないうちに記事を追加されたり、記事の中にウイルスマルウエアをダウンロードするようなスクリプトを埋め込まれたりするかもしれません。

その結果どういうことになるか?

あなたのブログの記事を閲覧した読者のPCがウイルスマルウエアに感染してしまうかもしれません。

あなたが意図していないことだとしても、結果的に、悪意を持った第三者の犯罪行為に手を貸してしまう結果になります。

ブロガーさん
パスワードは複雑なものにしているから大丈夫ですよ!

とおっしゃるかもしれませんが、実際にログインページからログインされて、知らないうちにユーザーを追加されていたという『事件』が発生しているようです。

キーワードから推測すると、「WordPressのユーザーに、知らないユーザーが勝手にできてていた」、ということだろうと思う。WordPressのシステムが勝手に知らないユーザーを作ることはない。

攻撃手法のひとつとして、『ブルートフォースアタック』という方法があります。ログインページの「ユーザー名またはメールアドレス」と「パスワード」のところに機械的に作り出した内容を次々に入れてみてログインを試みる、という攻撃手法です。

人間の手で「ユーザー名またはメールアドレス」と「パスワード」を入力するのではなく、コンピュータが作り出したものを次々に自動的に入力させてログインを試みます。もしかすると、いつかはあなたのブログの「ユーザー名またはメールアドレス」と「パスワード」と一致されたものを入力されるかもしれません。

この攻撃手法を成立させないための方法として考えられる方法は2つあります。いずれも「ユーザー名またはメールアドレス」と「パスワード」以外のものを入力しないとログインできないようにする方法です。

画像認証を取り入れる

ログインページにランダムな「文字」の画像を表示させて、その文字と入力した文字が一致しないとログインできないようにするものです。

ログインページに「画像認証」を追加できます。

WordPressでもこの機能を取り入れることができます。『SiteGuard WP Plugin』というプラグインを使えば、画像認証を取り入れることが可能です。

インターネット上にあるものは、日々、攻撃の脅威にさらされています。ブログも例外ではありません。特に、WordPressを使ってい...

ログインの際に一手間かかってしまうのですが、「ブルートフォースアタック」では画像の認識ができないため、仮に攻撃を受けたとしても、ログインページを突破することはできません。

ただし、AI(人工知能)の発達により、画像認識ができるようになった、という記事をどこかで読みました。今後もしかすると「画像認証」を突破するような「ブルートフォースアタック」が行われるようになるかもしれない、ということは頭に入れておいたほうがいいでしょう。

二段階認証(Google Authenticator)を導入する

スマートフォンと専用のアプリが必要になるので、さらに手間がかかってしまうのですが、アプリに表示された「6桁の数字」を入力しないとログインできないようにする方法です。

WordPressでサイトやブログを運営する上で、最も怖いのが「乗っ取り」。WordPressの管理ページの「ユーザー名」と「パ...

「6桁の数字」の有効期限は「1分間」で、1分経過すると別の数字に変わってしまいます。1分間の間に「6桁の数字」を解析される可能性は極めて低いので、セキュリティ的にはかなり安全といえます。

Google2段階認証

専用アプリに表示された6桁の数字をログインページで入力します。

スマホのアプリで表示されている6桁の数字を入力して「ログイン」をクリックします。

スマホのAuthenticatorで表示されている6桁の数字を入力して「ログイン」をクリックします。

スマホのアプリで表示されている6桁の数字を入力して「ログイン」をクリックします。

今のところ、こちらの方法が「ブルートフォースアタック」に対しては最も安全ではないか?と思われます。

サーバーにファイルをアップロード/ダウンロードするための方法

WordPressのプログラムを自分でカスタマイズしたり、デザインを変えるためにCSSファイルをカスタマイズする、ということをやっていらっしゃる方も多いと思います。

サーバー上にあるファイルをダウンロードして、ファイルを修正し、アップロードします。

このときによく使われる方法として「FTP」という物を使います。「FTPクライアントソフト」を使って、サーバー上のファイルをダウンロードしたりアップロードするわけです。

FFFTPの開発の終了がアナウンスされましたので、WinSCPへの移行をオススメします。FTPで大量のファイルのダウンロード/アップ...

実はこの「FTP」ですが、安全ではありません。FTPでサーバーにログインするときの「ユーザー名」と「パスワード」が暗号化されすにインターネット上を流れてしまうためです。可能性として、暗号化されていない「ユーザー名」と「パスワード」が悪意を持った第三者の手に渡ることを否定できません。

そこで、FTPよりも安全な方法として、「SFTP」があります。

サーバーにファイルをアップロードしたり、サーバーからファイルをダウンロードするために「FTP」という仕組みをよく使います。パソコン側から...

通信内容が全て暗号化されますので、「ユーザー名」と「パスワード」が外部に漏れる可能性は極めて低いです。また、XSERVERでは「ユーザー名」と「パスワード」での認証ではなく「秘密鍵」のでの認証しか「SFTP」では使えなくなっています。通常の「ユーザー名」と「パスワード」を使ってログインする方法よりも、さらに安全な方法です。

WordPressのログインページと同様、FTPでのログインも「ブルートフォースアタック」の対象になり得ますので、サーバーの設定でFTP自体を使えなくすることが肝心です。

XSERVERにFTPで接続できないようにする方法XSERVERにSFTPで接続できるように設定しました。SFTPで接続でき...

WordPressを守る

WordPressは「PHP」というプログラム言語で作られたプログラムの集合体です。もちろん人間が作るものなのでバグや不具合が紛れ込んでいることも少なくありません。

単にWordPressの動きがおかしくなるだけなら問題は少ないのですが(あ、いや、コレも問題ですけど^^;)、悪意を持った第三者に不正利用されるような不具合だったらどうでしょう?

悪意を持った第三者に不正利用されるような不具合のことを『脆弱性』(ぜいじゃくせい)といいます。

特殊なアクセス方法でWordPressにアクセスすると、WordPressの管理ページに認証なくログインできてしまったり、WordPress本体のプログラムが書き換えられるような事ができてしまったら、ものすごく大変なことになります。

WordPress本体はもちろん、WordPressにインストールするプラグインやテーマもプログラムですから、不具合が紛れ込んでいる可能性は否定できません。新しいバージョンが出たら、速やかにバージョンアップすることが大切です。

ただ、WordPress本体やプラグイン、テーマをバージョンアップすることで、エラーが出てしまうことが度々あります。エラー出てしまうことを恐れてバージョンアップしない、ということも聞きますが、そもそも「脆弱性」を修復するような不具合修正を含んだバージョンアップだった場合、古いバージョンを使ったままだと悪意を持った第三者に不正に攻撃を受けてしまう可能性があります。

直ちに運用している本番の「ブログ」をバージョンアップしたくないときは、もう一つコピーのブログを「テストのブログ」として持っておいて、そちらで先に試してみる、ということができます。

  • 「テストのブログ」の方で先に試しにバージョンアップしてみて、問題がなければ本番の「ブログ」をバージョンアップする
  • エラーが起きたらどこでエラーが起きているのか検証をして、解決したら本番の「ブログ」をバージョンアップする

ということも可能になりますね。

サーバーエラーは機会損失Twitterのタイムラインを追っているとよく見る話です。WordPressのカスタマイズを...

いち早く情報を手に入れる

WordPressやプラグイン、テーマに脆弱性が見つかったときに、いち早く情報を入手できれば、対応も速くできます。

インターネットを経由した不正なアクセスなどへの対策のために設立された「JPCERT/CC」という団体があります。

こちらの団体は様々な製品やアプリケーションなどの不具合や脆弱性の情報を流していますが、WordPress関連の脆弱性の情報も流してくれています。こちらの団体のメーリングリストに参加することで、WordPress関連の脆弱性の情報をいち早く知ることができます。

自由には責任が伴う

自分の意見を発表したり、有益な情報を流すための媒体として「ブログ」は広く認知されています。レンタルサーバーを借りてWordPressをインストールすれば、誰でも自由にブログを開設できる便利な世の中になりました。

しかし、「自由」には「責任」も伴います。出来る限りのセキュリティを担保しなければ、「安全なブログ」を運営することはできません。「安全でないブログ」を一般公開することは、運転免許を持たずに一般公道を車で運転するくらい危険なことです。

安心して安全なブログを運営するために、必要な知識はぜひ身につけておきたいものです。

「週末写真愛好家」兼「週末Web随筆家」。

ちっちゃい花を撮ることがめっちゃ大好き。愛機はCanon EOS Kiss X7。50mm単焦点レンズと60mmマクロレンズで小さな花を撮ることに喜びを感じています。
職業はWEBのシステム屋。「まろ」と呼んでいただけるとうれしいです。

いわゆる「画像直リンク」、画像の複製は固くお断りいたします。
スポンサーリンク
この記事が気に入ったら
いいねをお願いします!

最新記事をお届けします。

シェアしていただけるとうれしいです

フォローよろしくお願いします

関連記事



スポンサーリンク