Instagramでインフルエンサーになるには?アカウント設計からフォロワー増加、収益化までの道のり【インフルエンサー直伝】
- インフルエンサー
WordPressは、オープンソースのCMSとして世界中で幅広く利用されています。一方で、オープンソースであるがゆえに、サーバーに不正侵入されてデータを改ざんされたり、個人情報の不正流入が起きてしまっているのも事実です。
WordPressのセキュリティに対して少しでも知識を持っていたり、セキュリティ対策に有効なプラグインを入れていたりすれば、大半のリスクは回避できます。
そこで今回は、Wordpressセキュリティについての基礎知識と、4つのセキュリティ被害をご説明します。そして、それぞれの被害を回避するためのプラグインを15個まとめました。
現在Wordpressを使ってサービスを運用している方も、これから使う予定のある方も、ぜひ参考にしてみてください。
目次
世界中のハッカーからWordpressが狙われるのは、Wordpressが世界一使用されているCMSだからです。2017年の時点で世界中に公開されているWebサイトのうち、Wordpressで制作されたサイトは全体の約30%。CMSとしては、実に約60%のWebサイトでWordpressが利用されているのです。
管理画面がインターネット上に存在しているので、Webサイトのコアな部分がいつ攻撃されてもおかしくない状況にあります。セキュリティ対策をしなければ、いつハッキングされるかわからない危険にWebサイトを晒し続けることになります。
これらの危険を放っておいて被害を受けてしまうと……
管理画面への不正アクセスや大量のスパムコメントなどの被害を受けます。それだけならまだしも、大量のユーザー情報が漏洩してしまった日には、サービスの信頼はガタ落ちです。
サービスの復旧や信用回復には、途方もない労力と時間を必要とします。
では、あらゆる危険に対してどのような対策をとればいいのでしょうか。
代表的な4つの対策をご紹介します。
具体的に、どのようなプラグインでセキュリティを強化すればいいのかご紹介します。
『SiteGuard WP Plugin(サイトガード・WPプラグイン)』は、WordPressサイトの基本的なセキュリティ対策を実行できるプラグインです。
管理ページへのアクセス制限やログインページ変更、スパムコメント削除、画面認証などの機能がプラグインに含まれています。
初心者にとっては使いやすいですが、高度な設定を実施できないため、他社プラグインと併用しましょう。
『All In One WP Security & Firewall(オールインワン・セキュリティ&ファイアーウォール)』では、各種設定ファイルのバックアップやログインユーザー名の変更、ログインユーザー名の変更、WordPressの各種ディレクトリやファイルに対するパーミッションの設定、PHPファイルの編集を無効化などを実施できます。
さらに、ユーザーのIPアドレスやユーザー名などの情報を登録できるブラックリストにより、スパム対策にも効果的です。
All In One WP Security & Firewall
『iThemes Security(アイテームズ・セキュリティ)』は、セキュリティ対策とデータベースバックアップができるプラグインです。
セキュリティ対策に活かせる機能は、404の検出とIPアドレスによる禁止ユーザーリストとネットワーク保護です。
また、データバックアップは、データをサーバーに置くのか、メールで送信するかの両方から選べます。
『Wordfence Security(ワードフェンス・セキュリティ)』は、脆弱性スキャンやファイヤーウォール、リアルタイムトラフィック、IPブロックなどの機能を含むセキュリティプラグインです。
他のプラグインと比べて、設定が簡単にできるのが特徴です。
アプリケーションの管理画面に表示される「Start a Wordfence Scan」をクリックするとスキャンが実行され、複数の項目で問題点と対策が表示されます。
『BulletProof Security(ブレットプルーフ・セキュリティ)』は、不正ログインへの予防対策とブルートフォース対策を実施できるセキュリティアプリケーションです。
簡単な操作で、セキュリティログとwp-login.php周りの設定を強化できます。
初心者を対象にしているアプリケーションですが、『BulletProof Security』では全体的な対策ができないため、他のアプリケーションとの併用をおすすめします。
『Google Authenticator(グーグル・オーセンティケーター)』は、GoogleによるWordPress用の2段階認証システムです。
ログインの際はユーザー名とパスワードだけでなく、スマートフォンアプリからコードを確認しなければいけません。iPhoneなら「Google Authenticator」を、Androidなら「Google 認証システム」を使います。
『Stealth Login Page(ステルス・ログインページ)』は、ログイン画面にもうひとつのパスワードを追加できるセキュリティ対策のプラグインです。
別のデバイスにコードを送信して認証するタイプではなく、2個目のパスワードを記入するアプリケーションです。
『Crazy Bone(クレージー・ボーン)』は、管理画面のログイン履歴を記録し、ユーザーの情報を閲覧できるプラグインです。
日時やIPアドレスなどの情報を残してくれるため、悪質なユーザーを見つけやすくなっています。また、WordPressに自分以外のユーザーがアクセスする頻度を確認できます。
『Limit Login Attempts(リミット・ログイン・アテンプト)』は、ユーザーのログイン試行回数を制限するプラグインです。
制限したログイン試行回数を越えると、ログイン画面が一時的にロックされます。その結果、パスワード総当り攻撃によるシステムへの不正アクセスを防げます。
『Akismet(アキスメット)』は、海外でも日本でも評価されているスパムコメントを自動的に振り分けてくれるプラグインです。
Google Analyticsが発行するAPIキーを取得すると全機能が使えます。初期設定でほとんどのスパムコメントを取得してくれます。
『Throws SPAM Away(スローズ・スパム・アウェイ)』は日本語のスパムコメントをフィリターリングしてくれるプラグインです。
また、日本語に限らず、どんな言語でもNGワードを設定できます。コメント欄にリンクを記入することが禁止され、IPアドレスによる判断もできます。
『WP-SpamShield Anti-Spam(WP・スパムシェイルド・アンチ・スパム)』は、自動的にコメントスパムをブロックしてくれるプラグインです。
『Akismet(アキスメット)』 より正確にスパムコメントを振り分けてくれて、AIだけではなく、人間によるスパムコメントのフィリタリングもできます。
『UpdraftPlus(アップデートプラス)』は、SQLファイルからはじめ、サーバー上のファイルを圧縮して保存してくれるプラグインです。
メールやGoogle Driveなど、データを置く場所も幅広く対応してくれます。最短で4時間ごとのバックアップ間隔を設定でき、データベースも暗号化できます。
『BackWPup(バックWパップ)』は、FTPサーバーにアップロードされているWordPressのファイルをバックアップできるプラグインです。
サイトのバックアップは「Job」と呼ばれ、サイトにおけるバックアップしたい要素を分けて保存できます。『Dropbox』(ドロップボックス)やGoogle Driveなどにバックアップのデータを保存できます。
『All-in-One WP Migration(オール・イン・ワンWPマイグレーション)』は、WordPressのサーバーを簡単に移設できるプラグインです。データを書き出し、移設先にアップロードするという簡単なプロセスのみです。ボタンひとつでサイトが格納され、専門知識のない人でも使いやすいよう設計されています。
さらに、『All-in-One WP Migration(オール・イン・ワンWPマイグレーション)』のバックアップでは、スパムコメントのような、いらない情報を保存しないオプションもあります。
いかがでしたか?
しっかりしたセキュリティ対策を実施するには、ファイアーウォールなど基本的なセキュリティ対策のプラグインが必要です。
WordPressでサイトを作るときは、セキュリティ対策のプラグインをぜひお試しください。
(執筆:Jordan Colston 編集:Emily)