広告
はじめに
第3回の記事では、
- プラグインとは何か
- 入れすぎないための考え方
- 実運用を前提に厳選した11個のプラグイン構成
について解説しました。
その中で、 最初に必ず整えておきたいプラグインとして紹介したのが、
CloudSecure WP Security です。
今回の【第4回】では、
- なぜ最初にセキュリティ対策を行なうのか
- CloudSecure WP Security は何を守ってくれるのか
- 初心者は「どこまで設定すれば十分なのか」
を中心に、
専門用語をできるだけ使わず
そのまま真似できる考え方と設定内容
で解説していきます。
なぜ最初に「セキュリティ対策」なのか?
ブログを始めたばかりの方ほど、 次のように感じているかもしれません。
- まだ記事も少ないし、狙われないのでは?
- 有名なサイトじゃないから大丈夫そう
- 何か起きてから考えればいい
ですが実際には、
WordPressへの攻撃は、サイトの有名・無名に関係なく行なわれます。
多くの場合、
- 自動プログラムによる無差別攻撃
- 初期設定のままのサイト探し
が原因です。
つまり、
「始めたばかりで、何も対策していないサイト」
こそが、狙われやすい状態だということです。
家づくりで例えると
これは、
引っ越した初日に、 玄関の鍵も付けずに生活を始める
のと同じ状態です。
どれだけ立派な家でも、 鍵がなければ安心して暮らせません。
ブログ運営も同じで、
- 記事を書く前
- デザインを整える前
に、 最低限の防犯対策を済ませておくことがとても大切です。
CloudSecure WP Security とは?
CloudSecure WP Security は、 日本語環境向けに最適化された WordPress セキュリティプラグインです。
主な特徴は次の通りです。
- 管理画面が日本語で分かりやすい
- 初心者でも扱いやすい設計
- 必要な機能が最初から一通りそろっている
海外製の高機能セキュリティプラグインもありますが、
- 設定項目が多すぎる
- 英語表記が多い
- 何をONにしているのか分からなくなる
といった理由で、 途中から触れなくなる方も少なくありません。
CloudSecure WP Security は、
「完璧を目指さず、大きな事故を防ぐ」
という考え方に、とても合ったプラグインです。
CloudSecure WP Security で守れること
CloudSecure WP Security を導入することで、 次のようなリスクを大きく減らせます。
- 管理画面への不正ログイン
- ログイン画面への総当たり攻撃
- 管理画面URLを狙ったアクセス
- 不審な挙動の検知・遮断
特に重要なのが、
「ログイン周りの防御」
です。
WordPressへの攻撃の多くは、 まず管理画面に入ることを目的としています。
ここをしっかり守るだけで、 被害の大半は未然に防ぐことができます。
CloudSecure WP Security 初期設定の考え方
ここからは、CloudSecure WP Security の設定項目を、
- すでに有効になっている項目(デフォルト設定のまま使うもの)
- これから有効にする項目(理由を理解してONにするもの)
の2つに分けて解説します。
この整理をしておくことで、
- どこまで触ればいいのか
- どこは触らなくていいのか
が明確になり、 「設定しすぎて不安になる」状態を防ぐことができます。
すでに有効になっている項目(デフォルト設定のまま利用)
CloudSecure WP Security は、 インストールした時点で 最低限の安全対策(8項目)がすでに有効になっています。
ここで紹介する8項目は、
- 内容を理解しておく
- 設定は変更せず、そのまま使う
というスタンスで問題ありません。
8項目の確認方法
・CloudSecure WP Security をクリック
・有効になっている8項目を確認してみてください
ログイン無効化
一定回数ログインに失敗すると、 そのIPアドレスからのログインを一時的に無効化します。
これは、
- パスワードを総当たりで試す攻撃
を防ぐための、 基本防御機能です。
通常の利用で困ることはほとんどないため、 デフォルト設定のままで問題ありません。
ログインエラーメッセージ統一
ログインに失敗した際、
- ユーザー名が違うのか
- パスワードが違うのか
を攻撃者に分からせないための設定です。
エラーメッセージをあえて曖昧にすることで、 攻撃のヒントを与えない 役割があります。
これも、 初期設定のままで安全に機能します。
設定ファイルアクセス防止
WordPress の重要な設定ファイルへの 直接アクセスを防ぐ機能です。
これにより、
- サイト構成の情報漏えい
- 不正な情報取得
といったリスクを下げます。
裏側で静かに働く機能なので、 意識する必要はありません。
ユーザー名漏えい防止
WordPress では、 初期状態のままだと ユーザー名が推測できてしまう場合があります。
この設定は、
- 管理者ユーザー名の特定
を防ぐためのものです。
ログイン対策と組み合わせることで、 防御力が一段高まります。
XML-RPC 無効化
XML-RPC は、 外部サービスと連携するための仕組みですが、
- 攻撃に悪用されるケースが多い
- 通常のブログ運営では使わない
という特徴があります。
そのため、 CloudSecure WP Security では最初から無効化されています。
特別な理由がない限り、 そのまま無効のままでOKです。
ログイン通知
管理画面にログインがあった際、 メールで通知を受け取る機能です。
- 自分のログインを確認できる
- 身に覚えのないログインに気づける
という点で、 安心材料になる設定です。
アップデート通知
WordPress 本体やプラグインに 更新があった場合に通知を受け取れます。
セキュリティ対策では、
「古いまま放置しない」
ことが非常に重要です。
通知が来たら確認する、 という運用で十分です。
サーバーエラー通知
サイトでエラーが発生した際に、 管理者へ通知が届く設定です。
- 表示トラブル
- 不具合の早期発見
につながります。
普段は意識しませんが、 何かあった時に助けてくれる機能です。
これから有効にする項目(理由を理解してONにする)
ここからは、 初心者でも 必ず有効にしておきたい項目 を解説します。
ここで紹介する3つは、
- 効果が分かりやすい
- リスクが低い
- 長期運用に向いている
という理由から選んでいます。
ログインURL変更
なぜ有効にするのか
WordPressの管理画面URLは、初期状態ではすべてのサイトで共通です。
そのため攻撃プログラムは、この 「誰でも分かる入口」 を狙って、機械的にアクセスしてきます。
そこで、
管理画面の入口そのものを変更する
ことで、不正アクセスを受ける確率を大きく下げることができます。
運用上の注意
- 自分だけが分かるURLにする
- 必ず控えを残す
忘れると自分も入れなくなるため、ここだけは注意してください。
設定方法
ログインURL変更 をクリック
① 有効 をクリック
② 変更後のログインURLを入力(例:wp-change)
変更前:https://test12.xyz/wp-login
変更後:https://test12.xyz/wp-change
③ リダイレクト設定にチェックを入れる
④ 変更を保存 をクリック
新しいログインページURL をクリックして、変更後のURLを登録
画像認証追加
なぜ有効にするのか
ログイン画面に画像認証を追加することで、
自動プログラムによるログイン試行を防げます。
人には簡単、機械には難しい
この差を利用した、非常に効果的な対策です。
設定方法
画像認証追加 をクリック
① 有効 をクリック
② 変更を保存 をクリック
管理画面アクセス制限
なぜ有効にするのか
管理画面へのアクセス自体を制限することで、
- 不要なアクセス
- 不審な挙動
を減らすことができます。
特に、
- 自分しか管理画面を使わない
という個人ブログでは、 非常に効果的です。
初心者向けの考え方
- 推奨設定をベースに有効化
- 細かい条件設定は行なわない
「守りすぎない」ことが、トラブル回避につながります。
設定方法
管理画面アクセス制限 をクリック
① 有効 をクリック
② 変更を保存 をクリック
設定項目を確認
11項目が有効になっていることを確認
あえて触らなくていい設定
CloudSecure WP Security には、さらに細かい設定項目もありますが、初心者のうちは触らなくて大丈夫です。
- IP制限の細かい設定
- 高度なログ分析
- 他プラグインとの連携
理由はシンプルで、元に戻せなくなるリスクがあるからです。
セキュリティは「完璧」より「継続」
セキュリティ対策は、
- 100%理解しないといけない
- 完璧にしないと不安
と思いがちですが、ブログ運営では考え方を変えましょう。
- 大きな事故を防げれば十分
- 管理できる範囲にする
- 長く放置できる状態を作る
これが、60代・初心者でも続けられるセキュリティ対策です。
プラグイン操作についての補足
この第4回では、 CloudSecure WP Security は すでにインストール済み という前提で解説しました。
そのため、
- プラグインのインストール方法
- 有効化・無効化・削除の違い
- 不要なプラグインの整理方法
といった 「プラグイン操作」 については、 あえて触れていません。
「プラグイン操作」については、 第5回で説明します。
まとめ
CloudSecure WP Security は、
- 日本語で分かりやすい
- 初期設定だけで効果が高い
- 長期運用でも負担が少ない
という、 初心者に非常に相性の良いセキュリティプラグインです。
今回紹介した範囲の設定を行なえば、
- ブログ運営の土台が安定し
- 不安なく記事作成に集中できる
状態が整います。
次回予告|第5回で「プラグイン操作」をまとめて解説
次回【第5回】では、
- プラグインのインストール方法
- 有効化・無効化・削除の考え方
を、実際に操作しながら解説します。
インストールするプラグインは以下の2つです。
- WP Multibyte Patch
- EWWW Image Optimizer
「なぜ必要なのか」
「どこまで設定すれば十分か」
も含めて、そのまま真似できる形で説明していきます。
