🎬初めに
皆様、新年あけましておめでとうございます!!
今年も一年どうぞよろしくお願い致します!!
毎度お馴染みフューチャースピリッツ、エンジニアブログの中の人、「通行人R」でございます!!
新年早々ではございますが今回も前回に引き続きWordPressキュリティ対策の記事となります。
インターネットの世界は休む事無く、日々進化を遂げております!もちろん悪意のある攻撃者も同様に進化を遂げております。
その為、セキュリティ対策を怠ってしまうと、不正ログインや、サイト改竄、情報漏洩等の被害にあってしまうかもしれません…
そのような被害にあうリスクを少しでも下げる為、セキュリティ対策は「やるに越したことはない」かと思います!!
そこで今回は、「誰でも簡単にできるワードプレスセキュリティ強化方法」後編を皆様にお届けします!!
まだ前編を見てない方はそちらをご覧になり、見て頂けるとより理解しやすいかと思います!!
前編はこちら!
それでは「誰でも簡単にできるワードプレスセキュリティ強化方法」後編スタートです!
📘フォームに画像認証を導入する
皆様はフォーム機能をご利用になられてますでしょうか?
WebフォームとはWebサイトにて入力された情報を送信する機能となっております。管理者は入力された情報をメールやチャットサービス等で受け取る事ができます。
WordPress等でWebサイトを運営している場合、プラグイン等を使用してお問い合わせページや応募ページ等で実装されているケースが多いかと思います。
Webフォームはとても便利な機能ではございますが、悪意のある第三者がスパムメール配信の踏み台として悪用利用してしまうケースがございます。
そういった事象の多くは、機械的にプログラムされたPOSTアクセスをwebフォームへ行う事で悪用されております。
そういった場合、「画像認証」機能などを利用する事で有人または機械を判定し機械的なPOSTアクセスを制限し対策する事が可能となっております。
「画像認証」の代表的なサービスと致しましては「Google社」が提供している「reCAPTCHA」が有名ですが、近年では「intuition Machines社」が提供する「hCaptcha」等がシェア率を伸ばしております。
📘プラグインのインストールは最小限にする
誰でも簡単にできるセキュリティ強化方法として「プラグインのインストールを最小限にする」方法がございます。
WordPressにてWebサイトを構築する際に、実装したい機能等があり試しにインストールしたプラグインや、昔は使っていたが、現在は使用していないプラグイン等が有効化のままになっていた経験が、ある方は少なくないと思います
WordPressのプラグインは非常に便利な拡張機能となっておりますが、悪意のある第三者にシステムの脆弱性を利用した悪用利用を行われてしまう場合等がございます。
通常であればそういった脆弱性等は発見次第、プラグイン製作者が対策を行いセキュリティアップデートを実施しているかと思います。
ですが開発元または開発者によっては対策期間が異なり、早い方だと数日、遅い場合、数か月から数年と時間がかかる場合がございます。
また開発が終了している、または停止しているプラグイン等はアップデートされないケース等もございます。
その為、セキュリティを意識したWebサイト運用を行う場合、プラグイン使用の際は脆弱状況を等を都度確認し、自身のWordPress環境(サーバー環境、WordPressバージョン等)を考慮した上でプラグインのセキュリティアップデートを行っていく必要があります。
上記の理由からプラグインのインストールは必要最小限にし、不必要なプラグイン等は停止する、またはアンインストールを行う事でセキュリティ対策を行うことが可能となっております!
📘定期的にバックアップを作成する
これまで様々な対策方法をお伝えしてきましたが、不正ログインやWeb改竄等を100%防げるわけではございません。
初めにもお伝えした通り「悪意のある攻撃者も常に進化を遂げております」。
その為、個人的な意見と致しましては、現時点のインターネットでは100%の安全は無いと思っております。
では仮にWebサイト改竄を行われたと仮定します。
そういった場合、改竄前の状態に戻すには以下2つの方法がございます。
- 改竄された内容を手動で修正する
- バックアップから改竄前の状態に切り戻す
「改竄された内容を手動で修正する」方法は至ってシンプルです。読んで字のごとく改竄されたコンテンツを手動で修正する方法です。
しかし改竄個所の調査を行い手動で修正する方法は、非常に工数がかかる上、完璧に以前の状態に戻すのは非常に難しい場合が多いかと思われます。
そこでおススメなのが定期的にWordPressのバックアップを作成し、不正ログインやWebサイト改竄があった場合、以前の状態に切り戻しできるよう対策する方法でございます。
バックアップを取る方法は様々ですが有名な方法として主に以下2つの方法がございます。
- ・契約サーバーのバックアップ機能を使う
- ・WordPressのバックアッププラグインを使用する
「契約サーバーのバックアップ機能を使う」方法については契約サービスにより仕様が異なる為、契約前に確認する事をおススメ致します。
確認する内容は「バックアップ範囲」「保存期間」「バックアップからの切り戻しの際の費用等」です。
「WordPressのバックアッププラグインを使用する」方法については、サイト管理者にてバックアップ機能を備えたプラグインをインストールして頂き、バックアップ作成する方法となります。
メリットとしては細かくバックアップ設定を行える等がございます。
ただし注意点として、バックアップを行う頻度によっては、サーバー容量を多く使用してしまう場合がございます。
バックアップの保存世代数や保存期間等を自身のサーバー環境に合わせて調整して頂く必要がございます。
また定期的にローカル領域にバックアップをダウンロードし管理を行って頂く事で、より安全な運用が可能となっております!!
🎯まとめ
いかがだったでしょうか?
セキュリティー対策と聞くと難しそうなイメージを持たれる方も多いと思います。私自身もその一人でした。
しかしアレコレ調べてみると意外と簡単に実装出来るセキュリティ対策も多いなと感じました!!
セキュリティを意識したWebサイト運用で大事なことは「やれる事はやる!」「様々な手段を想定し対策する」「最新の情報を確認し対策する」の3つだと感じました!!
さてさて、ここまでまで読んでくださり誠にありがとうございます!!
それではまた次回の記事でお会いしましょう!!