ホームページの放置はとても危険です
WordPress(ワードプレス)を利用してホームページやブログを運営している方も多くいらっしゃるかと思いますが、サイトを放置しておくと様々なリスクがあります。
WordPress自体またはプラグインの脆弱性を突いたブルートフォースアタック(総当たり攻撃)で不正ログインされると、サイトが改ざんされたり、悪意のあるスクリプトを埋め込まれたり、バックドアを仕掛けられたりということが起こりうるのです。
そうなってしまったらサーバ上のデータを初期化する必要があり、全データを一度消去しなければなりません。
そんなときにもしバックアップを取ってなければ、もうお先真っ暗です・・・。
いまや世界中で1/4のサイトがWordPressで作られているということもあり、シェアが大きいため狙われやすいのも事実です。
かといってWordPressほど汎用性の高いCMSはきっとないでしょうし、今の時代は個人にしろ法人にしろ何かしらウェブで情報を発信するのが当たり前な時代ですので、これは避けて通れない問題なのではないでしょうか。
このようなトラブルを未然に防ぐために、是非ご自身でできる対策はしっかりと行なって頂くことをおすすめします。
具体的な対策方法
- 定期的にアップデートを行なう
- とても重要です。
WordPressのバージョンだけでなく、インストールしている各プラグインも同様に、できるだけこまめにバージョンアップするようにしましょう。
また、普段使ってないプラグインは削除した方が良いですね。 - ユーザー名やパスワードを複雑にする
- ブルートフォースアタックはユーザー名とパスワードをランダムに組み合わせてログイン試行しますので、もし現在のユーザー名やパスワードがシンプルなのであれば、できるだけ長くしたり、大文字小文字や数字・記号を組み合わせるなど変更しておきましょう。
パスワードジェネレーターなどを利用すると便利です。 - ログイン試行回数を制御する
- ログイン試行に何度か失敗するとログインできなくなるようにするプラグインを導入することで、数で勝負の無差別攻撃を防げます。
- ログイン時に画像認証を必須にする
- こちらもプラグインによって利用できます。
例えば管理画面にログインする際、ユーザー名とパスワードに加えて画像が表示され、その画像に書かれた文字を正しく入力しないとログインできないといった機能です。
これによりプログラムではログインできないようにすることができます。 - 海外からのログインを不可にする
- ブルートフォースアタックは海外のサーバーからがほとんどですので、海外からのログインをできないように設定するだけでセキュリティレベルがかなり上がります。
設定方法については、ご利用されているサーバのサポートにお問い合わせください。 - 定期的にバックアップを取る
- ブルートフォースアタックへの対策ではありませんが、もしサーバ上の全ファイルとデータベースのバックアップを取っていれば、万が一のことが起きた場合でも、バックアップを取ってないよりは被害を抑えることができます。
全てのファイルとデータベースファイルを消去しなければならなくなってしまうケースも考えられますので、そのときはバックアップを取ってないと全て最初からホームページ(またはブログ)を作り直しということになってしまいます。
他にもやった方が良い対策方法はいくつかありますが、少なくとも上記に紹介したことを行なうだけでセキュリティのレベルも格段に上がりますので、もしご自身でWordPressを利用してホームページやブログを運用している場合は是非試して頂きたいです。
