こんにちは!
WordPressのインストールや初期設定も終わり、ブログ運営の準備が整いつつあります。しかし、忘れてはならないのが「セキュリティ対策」です。
WordPressは世界中で最も使われているCMS(コンテンツ管理システム)であるため、悪意のある攻撃者から狙われやすいという側面もあります。
ブログを作成した初期段階ではそれ程攻撃対象にならないかもしれませんが、ブログを運営していく中で、個人的な攻撃対象にならないとも限りませんし、ブログが大規模になると無差別に攻撃対象となってしまう恐れもあります。
初心者のうちは大丈夫、と思いがちですが、実は逆です。セキュリティが甘い作りたてのサイトは、泥棒にとって『鍵の開けやすい家』。今のうちに鍵をかけてしまいましょう。
今回は、初心者でも知っておくべきセキュリティの脅威と、誰でもすぐにできる対策について解説します。
セキュリティは、「完璧な防御」と「万が一の保険」で構成される。侵入対策を徹底し、同時にバックアップというデータの命綱を確保せよ。
セキュリティの脅威を知ろう:ブルートフォース攻撃
セキュリティ対策と聞くと難しそうに感じるかもしれませんが、そのほとんどは「泥棒に入られないように鍵をかける」のと同じです。
ブログに対する最も一般的な攻撃の一つに「ブルートフォース攻撃」があります。
これは、プログラムを使って、ありとあらゆるパスワードの組み合わせを試行し、WordPressの管理画面にログインを試みる攻撃です。
この攻撃は、パスワードが「123456」や「password」のように単純な場合に特に有効です。もしログインされてしまうと、ブログの記事を消されたり、サイトを改ざんされたりする危険があります。
この脅威からブログを守るために、私たちは以下の対策を講じる必要があります。
まずはここから!パスワードを強固にしよう
ブルートフォース攻撃を防ぐための最も効果的な方法は、「複雑で推測されにくいパスワード」を設定することです。
パスワードを変更する
1.WordPressの管理画面にログインします。
2.左側のメニューから「ユーザー」→「プロフィール」をクリックします。
3.画面を一番下までスクロールすると、「新しいパスワード」という項目があります。
4.「新しいパスワードを生成」ボタンをクリックすると、自動で複雑なパスワードが生成されます。
この自動生成されたパスワードは、手動で考えるよりもはるかに安全です。必ずメモして、大切に保管しておきましょう。
5.パスワードを入力したら、「プロフィールを更新」ボタンをクリックして完了です。
パスワード作成のポイント
パスワードを自分で設定したい場合は、以下のポイントを意識しましょう。
8文字以上、できれば12文字以上
大文字、小文字、数字、記号を組み合わせる
誕生日、名前、辞書に載っている単語などは使わない
例:
NG例:takanori19820515(名前、誕生日)
OK例:G#8kL?j%p$!(推測されにくい組み合わせ)
セキュリティをさらに強化!2段階認証設定
パスワードを強固にしても、もし何らかの方法でパスワードが漏れてしまったら、ブログは危険にさらされます。そこで、「2段階認証(二要素認証)」を設定しましょう。
これは、「パスワード」という1つ目の認証に加えて、スマートフォンなどに表示される「認証コード」という2つ目の認証を求める仕組みです。
これにより、たとえパスワードが漏れても、あなたのスマホがない限りログインすることはできません。
WordPressで2段階認証を設定するには、プラグインを使います。
おすすめプラグイン「XO Security」
【役割】
WordPressに2段階認証機能を追加する
【使い方】
プラグインをインストールして有効化し、スマートフォンの認証アプリ(Google Authenticatorなど)と連携させます。
STEP1:
スマートフォンに認証アプリ「Google Authenticator」をインストールします。
STEP2:
WordPressにプラグイン「XO Security」をインストールします。
STEP3:
「XO Security」の設定で「2要素認証」をONにします。権限は管理者だけにチェックを入れます。
STEP4:
プロフィール編集画面で表示されるQRコードを「Google Authenticator」で読み込ませて登録する。表示されたワンタイムパスワードを「認証コード」に入力してプロフィールを更新する。
「プロフィール」画面を表示してから少し時間が経過するとスマートフォンに表示されている認証コード(ワンタイムパスワード)が変化します。この変化した認証コードを入力して設定の更新をすると認証コードが違うと表示されることがあります。
その場合は、「Google Authenticator」の登録を一旦削除してから、wordpressの「プロフィール」画面を表示し、時間をかけずに「Google Authenticator」にQRコードを読み込ませて登録し、表示された認証コードを入力後「プロフィール」の更新までを短時間で一気に作業してみてください。
STEP5:
WordPressのログイン時にログイン名、パスワードを入力後、「認証コード」入力画面が表示されます。「Google Authenticator」で表示されたワンタイムパスワードを入力すると、管理画面に入ることができます。
命綱!ブログのバックアップは超重要
パスワードを強固にし、2段階認証を設定しても、セキュリティリスクをゼロにすることはできません。
・WordPressのアップデート失敗
・操作ミス
・ウイルス感染
などの予期せぬトラブルで、ブログのデータがすべて消えてしまう可能性があります。
そんな万が一の事態に備えるために、「バックアップ」は必ず取るようにしましょう。バックアップがあれば、大切なブログのデータを元に戻すことができます。
バックアップは「プラグインとは?ブログ初心者におすすめな必須プラグイン5選」で必須プラグインとして紹介した「BackWPup」を使用すると良いでしょう。
こんにちは!WordPressテーマを選んで、ブログの見た目を整えました。WordPressの本当の力は、まだまだここからです。「WordPressのプラグインって何?」「プラグインは何をいれたらいいの?」という方。この記事を読[…]
おすすめプラグイン「BackWPup」
【役割】
ブログ全体のデータ(記事、画像、テーマ、プラグインなど)を自動でバックアップしてくれる
【使い方】
プラグインをインストールして有効化し、バックアップを取る頻度(毎日、毎週など)と、バックアップデータの保存先(Google Driveなど)を設定します。
このプラグインを使えば、一度設定しておけば自動でバックアップしてくれるので安心です。
使い方は、次回解説します。
ブログの安全は自分で守る!
今回は、WordPressのセキュリティ対策の基本を解説しました。
多機能で一括管理したいならXO Security、シンプルに2段階認証だけならTwo Factorがベストです。
・2段階認証で、セキュリティをさらに強化する
・万が一の事態に備え、「BackWPup」などのプラグインでブログのバックアップは必ず取る
これらの対策は、あなたのブログを悪意ある攻撃者から守り、安心して運営していくための「保険」のようなものです。少し手間がかかるかもしれませんが設定しておくと安心です。
Next Step:「ブログのバックアップ」に迫ります!
バックアップは、ブログ運営における最後の砦です。
次回は、大切なブログのデータを守るための「バックアップの具体的な方法」を、より詳しく解説します。
こんにちは!前に、WordPressのセキュリティ対策についてこの記事(「ブログの安全を守る!WordPressセキュリティ対策と2段階認証」)にて解説しました。今回は、その中でも特に重要な「ブログのバックアップ」に焦点を当てて[…]
お楽しみに!