あなたのWordPressサイトのセキュリティは万全ですか?
基本的には万全なサイトやサーバーはほぼ無いに等しいのですが、それでもガンガンに攻撃されるより、ファイアウォールを使用し、少しだけでもサイトをガードしようでは有りませんか。
Wordfenceというプラグイン
Wordfenceというプラグインがセキュリティのプラグインです。
インストール方法は割愛いたします。
このWordfenceは、エンドポイント ファイアウォール(WAF)とマルウェアスキャナーを搭載した、比較的扱いやすい、無料のWordPress セキュリティプラグインです。
Wordfenceはクラウド上ではなく、ローカル(あなたのパソコン上)のファイアウォールです。
割と強固なファイアウォールで、理論的にはデータが漏れてしまうことも、バイパスされることもありませんが、クラウドとは違い、あなたのサーバーに負荷がかかります。
しかし、多少の負荷より外部からの攻撃を防御する方を優先したほうが安全ではあります。
インストールすると下記画面になります。
メアドを入れ「YES」をチェックし「CONTINUE」します。
「Pro版を使用するライセンスキー」の入力画面が出てくるので「無料で十分だ!」という思いで「No Thanks」しましょう。
上部の「CLICK HERE TO CONFIGURE」をクリックします。
「.htaccess」が上書きされるのでもとに戻すことも考慮してダウンロードしておきます。
テキストファイルでダウンロードされますので、保存しておいたほうが良いでしょう。
各項目の設定
各項目の設定と言っても、そんなに多くありません。
わからない場合は、デフォルトのままでも良いのですが、「All Options」の設定だけしておけば良いでしょう。
項目だけ、とても簡単に説明しておきます。
Firewall
IPアドレスや国別などの制限を行ったりできます。これは、悪意ある誰かが既知の脆弱性を繰り返し攻撃したときなんかに役立ちます。
もしかすると、個人レベルではあまり操作しないかもしれません。
Scan
実行すれば、何らかの異常があれば警告されます。
テストしてみました。
一つチェックが外れていますが、現状気にしないことにしましたw
鍵のマークは有料版でのみ動作するようです。
Tools
Live Traffic
すべてのユーザーログインやハッキングの試行、悪意あるリクエストが表示されます。
デフォルトでは「セキュリティのみ」となっています。
すべてのトラフィックをオンにするとサーバーのリソースを大量消費するので、オフっておいたほうが良いでしょう。
Whois Lookup
Whoisサービスを使用すると、WebサイトにアクセスしているIPアドレスまたはドメイン名を所有しているユーザーやWebサイトで悪意のあるアクティビティを実行しているユーザーを検索できます。
「インポート/エクスポートオプション」「診断」のオプションがありますが、Tools自体、あまり使用しないかもしれません。
Login Security
すべてのログインに対し「2ファクタ認証」を有効にすることもできますが、私はやりません。
All Options
様々なオプションを設定できますが、General Wordfence Options(一般的なワードフェンスオプション)を触っておくことをオススメします。
(画像は日本語になっていますが、私はLocoTranslateで日本語化しています。)
ここの「Hide WordPress Version(WordPressバージョンを非表示)」にはチェックを入れておきましょう。
これはWordPressのバージョンによって攻撃のコードが違うため、非表示にしていたほうが良いということです。
また「Brute Force Protection」項目のそれぞれの時間を変更しておきましょう。
ブルートフォースアタック(Brute Force Attack)は、総当り攻撃とも呼ばれるパスワードを解読する手法の1つで、しつこく厄介です。
まとめとして
全く安全なWebサイトは皆無と言ってもいいと思います。
私自身、よ〜く わからないことが多すぎて「攻撃されたら、それはもう不運と思って諦めるしかない」と思っているくらいですが、最低限の防御ができるのであればやっておくに越したことは有りませんので導入しています。
幸い、サーバーへの負荷は今の所大丈夫なようです。
このまま攻撃されないことを祈るしかありません。
