WordPressへのサーバアタックから守る為にした2つのこと

シェアする

WordPressロゴ

このブログはロリポップサーバにWordPressをインストールして運用しています。

ロリポップサーバのWordPressは以前大規模なアタック攻撃を受けたことがあり、改善されたと報告があった後から使い始めたのですが、どうも私のWordPressにもアタックがあったようで、ログイン画面がロックされました。

スポンサーリンク
スポンサードリンク

WordPressのセキュリティを考える

いざロックされてみるとブログの更新は出来ないし、ログイン画面の表示すらできなくなります。

私の場合は、ノートパソコンを持ち歩いて色々なところからアクセスしています。なので頻繁にIPアドレスが変更になります。もしかするとこれがアタックと認識されたのかもしれないと推測しています。といわけで、ロリポップから来た手順でまずは解除しました。

ロリポップサーバにログイン

ロリポップサーバの管理画面に入ります。そこからロリポップFTPへ。WordPressのフォルダを開いて、htaccessを開きます。開いた直ぐに出てくるIPアドレスの設定をどのIPアドレスでも入れるように書き換えます。

ロリポップサーバ設定

このように書き換えます。とりあえずこれでIPアドレスの変換には対応しました。しかし、どのIPでアクセスしても大丈夫なようになってしまったので、こうなるとセキュアになりません。

次にセキュリティ対策や!

1.WordPressのセキュリティプラグイン

最初に探したのは、WordPressのセキュリティプラグインです。色々見て回って、とりあえずこれだろうという、ウィルスソフトでいうところのノートン的なプラグインを入れてみました。

Acunetix WP Security

これを入れることで、

  1. セキュリティ上の脆弱性スキャンができる。
  2. セキュリティを向上させる設定の変更ができる。
  3. データベースのテーブルの接頭辞(Prefix)の変更ができる。
  4. データベースバックアップができる。
  5. セキュリティを向上させる為にファイルのパーミッションを一括変更できる。
  6. 管理者ユーザー以外に対して、バージョンやエラー等の情報を隠せる。

出典:NetaOne

ということで、突っ込んで設定しました。ですがログイン問題はあまり関係ないので、解決していません。とりあえず安心というところです。

2.Googleログイン認証

google-authenticator

私が参加しているブログコミュニティで、「Google2段階認証を使ったログイン用プラグインを提供している」と教えてくれた人がいましたので、さっそくインストールした。WordPress側で設定しているIDとパスワードに追加して、Googleの2段階認証コードがログイン時に必要になり、設定している端末から発行されるコードがないとログイン出来なくなり非常にセキュアになります。

使い方の説明ブログ:アンギス

まずはGoogle Authenticatorのプラグインをインストールします。ユーザー情報のプロフィールのところから設定を進めます。

次にmobileアプリ版の認証アプリAuthenticatorで認証します。私は2段階認証を普段から使っているので、インストール済みでした。Android版、iOS版共に配布されています。新規に認証を追加するとQRコード読み取りが出ますので、こいつで認証コードを発行します。勝手にWordPressって名前で残る。

WordPressをログアウトして、IDとパスワード、認証コードを打ち込んでログインします。ちなみにログインする度に毎回アプリを起動して、認証コードを入力する必要があります。少し手間ですが、安全性には変えられない。

以上、2つのセキュリティ対策を施しました。これで私のブログも少しはセキュアになったかと思います。

スポンサーリンク
スポンサードリンク
スポンサードリンク

シェアする