こんにちは、りくななです。
ブログを立ち上げるとき、準備とならんで疑問が沸くのがセキュリティ対策です。
結論からいえば、Wordpressだとプラグインを導入するだけでOKな場合がほとんどで。
という悩みが解消できるように。
ここでは立ち上げ準備とは別に、ブログのセキュリティで対策したことを書いていきたいと思います。
ありがたいことに、簡単に設定可能です。3分で設定できるように、最低限の作業手順をまとめてみます。
ちなみに、メジャーなブロガーさんだと、どんな対策をしているのか。
例えば、ヒトデさんのブログでは、不正ログインや乗っ取りといった被害に言及しています。
【これだけでOK!】WordPressのセキュリティ対策とバックアップ!プラグインで簡単に導入しよう!
やはり対策しておかないと、怖いことになりそう。。
セキュリティ上にどんな脅威があるのか
この項目はすっ飛ばして、「立ち上げ直後のセキュリティ設定」を読んでいただいても大丈夫なのですがっ。
最初にもふれた、セキュリティ対策しないとどんな脅威にさらされるのか。
注意喚起という意味でも、本論と関係する範囲で書いておければと思う次第です。
Webサイトの通信情報をみられてしまう
一つ目は、URLを「http」じゃなくて「https」にしとこうっていう内容ですね。
例えば、Googleでは次のように説明されています。主要なところを抜粋すると、
暗号化 - 通信データの暗号化によって、盗聴から保護されます。
「HTTPS でサイトを保護する - Search Console ヘルプ」
データの完全性 - データの転送中に、意図的かどうかを問わず、データの改ざんや破壊が検出されずに行われることはありません。
認証 - ユーザーが意図したウェブサイトと通信していることが保証されます。
暗号化をしっかり施さないと、通信情報をみられる危険性があるので、気を付けましょうという説明です。
あと、リンク先を表示したとき「きちんとアクセスできてるよ~」って教えてくれる意味もあるので。
見る側としても安心感がありますね。
管理画面に侵入されてしまう
二つ目は、パスワードを解読されて、サイトを荒らされてしまうことです。
いわゆるハッキングの典型例というか。
ある日、突然管理できなくなって、変なサイトに飛ばされるようになってしまったり、
無茶苦茶にされたり、削除されてしまったり。怖い。。
半沢直樹の第三話で、黒崎検査官がパスクラッカーを使って、隠しファイルに迫ろうとする場面がありましたが。
イメージすると、あんな感じでしょうか。
対抗するためには、プラグインのセキュリティ設定で取り扱う、二段階認証などの手段が考えられます。
立ち上げ直後のセキュリティ対策:https化とログインページ変更
以上のような脅威が想定されるなかで。
- http→httpsにする
- ログイン用URLを隠す
- ロクインロック
- 二段階認証
この四つの作業を行いましょう。
httpsにしておく
立ち上げ直後に「http」から「https」にして、通信データを暗号化することからはじめましょう。
ConoHa WINGでブログ(wordpress)をつくった場合、初期設定でhttpsにできる機能が搭載されています。
▼コノハウィングの立ち上げ準備はこちら▼
手順は「無料独自SSL(https)を設定する」→「かんたんSSL化を利用する」のふた手間のみです。
無料独自SSLの設定は、WINGパック申し込み時の「WordPressかんたんセットアップ」のなかで行えます。
あとのSSL化は、公式サイトでの説明が次になります。
「WordPressかんたんSSL化を利用する|ConoHa WINGサポート」
最近だと、httpsにしていないサイトは、URL欄に「セキュリティ保護なし」と表示される場合もあって。
安心感という意味でも、対策しておいたほうがよさそうです。
管理者名とログイン用URLをみえなくする
もう一つ、この管理者名とログイン用URLをみえなくする作業も、立ち上げ時に気にするべき点です。
初期設定の時点では、なぜか誰でも、管理者名(ログインID)とログイン用のURLがみえる状態にあるので。。
この二つを伏せることによって、悪意のある人たちから、少しでも侵入する機会を防ごうという手段になります。
手法は、ConoHa WINGでは、最初から搭載のプラグイン「SiteGuard WP Plugin」を有効化するだけです。
有効化すると、自動でログイン用ページのURLが変更されて、ワンクリックでセキュリティ強化というわけです。
逆にいえば、このURLを忘れてしまうと自分でもログインできないので。。
有効化したとき、URLは控えておくことを強く推奨します。
ログインロック機能も設定しておく
SiteGuard WP Pluginを有効化したとき、ログインロックという大事な機能も自動で設定されます。
ログインロックとは、違うIDやパスワードを入力したときに一定時間ログインできなくする機能です。
「三回とも適当なパスワードいわれて、おじゃんになるのがオチよ!」って黒崎検査官がいってたやつですね。
自動設定なので、いうならばゼロクリック。作業時間も0秒と簡単っ。
二段階認証も設定しておく
あと強力な機能になるのが、二段階認証です。LINEなんかでも導入されていますよね。
これは、SiteGuard WP Pluginには入ってない機能なので、別にプラグインを導入する必要があります。
二段階認証のプラグインでは、「Two Factor」の名前をよくみかけます。
スマホユーザーなら、playストアで「Google認証システム」を入れておけばOKで。
もっと手軽にログインできるようになります。
もしくは、ログイン時にメールアドレスに送ってもらうのも手ですね。
まとめ:最低限のセキュリティ対策で快適なネットライフを
以上、ブログ(Wordpress)運営にひそむ、セキュリティ上の脅威とその対応策をみてきました。
冒頭、作業時間3分と書いたように、今すぐ、簡単にできるセキュリティ対策の紹介でしたが。
とくに、コノハウィング だと、圧倒的に設定が簡単なので。ぜひオススメしたいと思います。
▼コノハウィングの立ち上げ準備はこちら▼
あと、最後なのですが。。
PCでもスマホでも、自分の端末のセキュリティ設定もきちんとしておかないと、やっぱり危険です。
ということで、メジャーなセキュリティソフトを紹介して、記事をしめたいと思います。
ブログをはじめ、安全なネットライフをお過ごしください。
▼定番のセキュリティソフト3選▼