ブログについて

WordPressのセキュリティ対策はとりあえずこの2つやっておこう

こんにちは。
Webコンサル屋の鈴木友啓(@WebTomohiro)です。

この記事は、
WordPressブログのセキュリティ対策に関する備忘録です。

セキュリティ対策って、
めっちゃ重要だよな〜とふと思ったのです。

だって、
頑張ってブログに100記事とか書いて、
アクセスが集まってきたあたりで悪い人たちに攻撃されてブログ奪われたら、めっちゃテンション下がりますよね。

本気で自殺を考える人もいるかもしれません。

ブログは資産なのに、
いい感じに資産になってきたところで
その資産を奪われる・・・。

この残酷さを言い換えるなら、
マイホームの建築が終わり、
一軒家が完成した途端に放火魔に丸ごと燃やされる感じですね。

なので事前に出来るセキュリティ対策はサクッと終わらせちゃいましょう。

では行きます。

WPS Hide Loginを使う

まずは、
WPS Hide Loginというプラグインをインストールしましょう。

これは何かというと、
WordPressのログインURLを変更するプラグインです。

セキュリティ対策をしていないと、
ログイン画面って簡単にバレちゃうんですよね。

ブログURLの最後に
「/wp-login.php」と付け加えれば誰でもログイン画面に行けます。

けど、
そのログイン画面のURLを変えてしまえば、
悪い人たちはそのブログのログイン画面を特定できず、
攻撃しにくくなります。

やり方は簡単です。

WPS Hide Loginをインストールして有効化したら、
Settingsから設定画面に移動して、
ここの部分に好きな文字列を入力するだけです。

デフォルトだと
「login」になってますがそれだとアホっぽいので、
特定されづらい文字列に変更してください。
例えば、「draemonpokemon」という文字列にしたら、
ログイン画面のURLが、
「https://あなたのドメイン/draemonpokemon/」
に変わるということです。

もちろんですがこのURLは
誰にも教えないでくださいね。

これが1つ目のセキュリティ対策です。

新ログイン画面のブックマークをお忘れなく!

ブックマークを忘れて、ログインページに行けなくなってしまったら非常に大変なことになってしまいますので念のため。

ユーザー名を隠す

続いては、
ログインに必要な「ユーザー名」を特定されないようにするための対策です。

悪い人から見たら、
ユーザー名が分かっていれば後はパスワードを推測するだけなので、
非常に攻撃しやすい状況になってしまいます。

で、
セキュリティ対策を何もしていない場合だと、
ブログURLの最後に
「?author=1」と付け加えることでユーザー名がバレてしまうんですよね。

なのでユーザー名がバレないように対策しましょう。

やり方は超簡単です。
プラグイン必要ないです。

WordPressの管理画面から
「外観→テーマの編集」と移動して、
functions.phpの編集画面を開きます。

で、それを開くと、
わけわからん文字列があると思うんですが
それには一切触れず、
1番最後に以下のコードを記述します。

// 投稿者アーカイブ非表示リダイレクト
function author_archive_redirect() {
if( is_author() ) {
wp_redirect( home_url());
exit;
}
}
add_action( ‘template_redirect’, ‘author_archive_redirect’ );

// 投稿者アーカイブ非表示リダイレクトここまで

これをそのままコピーして、
あなたのブログのfunctions.phpに貼り付けてくれればOKです。

そしたら
「ファイルを更新」ボタンを押して、
何もエラーが出なければ完了です。

確認のために、
「https://あなたのドメイン?author=1」
と入力してみてください。

ブログのトップページに遷移したら、成功です!

 

以上2点が、
僕のやってる手軽なWordPressセキュリティ対策です。

他にも調べてみると、
ログイン画面で3回パスワードを間違えたらロックをかけられたりするようなセキュリティ対策も出てくるので、
心配性の方はそれもやっておくといいと思います!

ということでセキュリティ対策については以上でした。


ーーーーーーーーーーーーーーーーーーー
期間限定で、
完全無料Webコンサルティングをしています。
あなたのビジネスはWebをもっと効率的に使うことで、
99%成長します。
コストカット出来るのか、売り上げを◯倍に出来るのか、
などは各ビジネスの状況によって異なるので、
まずは気軽にお問い合わせください。

期間限定無料Webコンサルの概要はこちら

COMMENT

メールアドレスが公開されることはありません。

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください