WordPressのセキュリティ対策

数日前から、ワードプレスで作ったポートフォリオサイトのアクセスが急激に増えました。

やったー！！！

とは全然思いません…ただただ恐怖です。
調べたらポーランドからの不正アクセスでした。

ワードプレスは使い勝手が良いけれど、その分セキュリティ対策が大変だなと感じています。

今日試したことと、導入しているセキュリティ対策をまとめました。

不正アクセスを遮断するために試したこと

サイトの内容が書き換えられたりしたら怖いですよね。
まずは、特定のユーザーの訪問を遮断するプラグインを探すことにしました。色々な種類がある中で選んだのが「ip-geo-block」というプラグイン。

早速有効化すると…

”このサイトで重大なエラーが発生しました”

わわわ！！！

なんと管理画面に入れなくなってしまいました。
こんな画面は今まで一度も表示されたことがないのに…。

さらに調べると、この画面は入れたプラグインの相性が悪い場合にも表示されるとのことで、FTPサーバーから「ip-geo-block」というプラグインのフォルダ名を別の名前に変えることでプラグインが適用されなくなり、また管理画面に入ることができました。

ネットで色々調べていると、どうやら「ip-geo-block」は何年も更新されておらず古いプラグインだそうで、次はこちらの「ip-location-block」を入れてみました。

IP Location Block

ただ、不正アクセス元を調べる過程で「news grets store」というドメインだとわかり、検索すると世界中で困っている人がたくさんいました。

Referral Spam news grets store (Poland) - Google Analytics Community

ドメインをgoogleアナリティクスに表示させて、そのサイトに誘導させたりする目的もあるそうで、クリックしないように気を付けていればページを改ざんされるようなトラブルはなさそうです。

とりあえず大丈夫…だと良いですが。
もう少し様子を見ていきたいと思います。

不正なログインの対処法

この間はこんなメールが続きました。

サイトロックアウト通知
ログインに失敗した回数が多いか、ユーザー名が無効なため、ロックダウンイベントが発生しました

自分以外の人がログインを試した場合、メールで通知が来ます。
パスワードを変えただけでは解消できませんでした。
そのため、こちらのプラグインを導入したところ、ログインURLがデフォルトのURLから変更されたことで解消されました。

SiteGuard WP Plugin

最初に導入したセキュリティプラグイン

次は、私がワードプレスを導入した時に入れた、セキュリティ関係のプラグインを紹介します。

①スパムコメントをブロックしてくれるプラグインです。

Akismet Anti-spam: Spam Protection

②セキュリティ対策の全部入りみたいなプラグインです。

All-In-One Security (AIOS) – Security and Firewall

③サイトの内容のバックアップを取ってくれるプラグインです。

UpdraftPlus: WordPress Backup & Migration Plugin

そのほか気を付けていること

他にはこんなことに気を付けて、Webコンテンツの改ざんやデータの情報漏洩を防いでいます。

・ドメインのSSL化（暗号化）
・WAF（ウェブアプリケーションファイアウォール）の利用
・お問い合わせフォームは有料のフォーム専用サービスを使用

ワードプレスはWebサイトの更新がブログ感覚で簡単にできるし、SEO効果もあるので、自分にとっては欠かせないツールです。一方、世界中でたくさんの人に使われている分、狙われるリスクも高いです。

引き続き慎重に対策していきたいと思います。