WordPressのセキュリティ対策ってどうやってするの?
やり方がわからない・・・。
WordPressが『ハッキング』されたらもう大変ですよね。
今までの作業が水の泡。。。
そんなことにならないように、セキュリティ対策は事前に入れておきましょう。
問題が起こってしまって、あれこれ悩むより、事前に対策をしていた方が断然良いです。
今回は『WordPressのセキュリティ対策』に関して、画像を踏まえてわかりやすく説明します。
この記事を見れば
- WordPressのセキュリティ対策ができて『安心』できるようになります。
- WordPressのセキュリティ対策用のプラグイン『Two-Factor』の使い方がわかります。
ハッキングによるサイト乗っ取りで何が起こる?
一般的には、サイトへの悪意のある攻撃や不正アクセスは『クラッキング』というのが正しいですが、ここでは一般的な呼称『ハッキング』と併用しています。
◆ハッキングされるとどうなるか?
- WordPress管理画面が乗っ取られる
- サイトが改ざんされる。
- Googleからのペナルティを受ける
WordPress管理画面が乗っ取られる
ハッカーがハッキングを成功させたとして、まず何をするかというと、WordPressにログインできなくするのが一つの兆候。
あなたがログインパスワードを変更したり、セキュリティを強化しないようにするためですね。
最悪の場合、あなたのアカウントを削除するということもありえます。
サイトが改ざんされる
なぜ、ハッキングしてくるかというとやっぱり『フィッシングサイト』などへの誘導が目的とされています。
読者があなたのサイトに行くと、リダイレクト機能でフィッシングサイトに飛ばすといった方法です。
Googleからのペナルティを受ける
ハッキングによりあなたのサイトが危険な状態と判断されると、Googleからのペナルティにより検索結果から削除という事態になってしまいます。
一生懸命作ったサイトが
乗っ取られるなんて考えたくもない・・・
プラグインで対策できるので
対策しておこう!!
Two-Factorの導入方法
ここから先は、『セキュリティ対策』で有効なプラグイン『Two-Factor』の導入方法について説明します。
Two-Factorの機能
Two-Factorは簡単にいうと次のような機能があります。
- WordPressのログイン画面に、もう一段階の認証を追加できる。(2段階認証)
- 選べる認証方法は「メール」「ワンタイムパスワード」「セキュリティキー」の3択で自分にしかわからない方法を設定できるので安心。
Two-Factorの導入方法
WordPress管理画面より、プラグインの追加の画面に行ってインストールを行うだけです。
→①『プラグイン』
→②『新規追加』
→③右側の検索で『Two-Factor』と入力
→④Two-Factorが表示されたら
『今すぐインストール』をクリックします。
インストールが終わったら『有効化』ボタンをクリックします。
Two-Factorの設定方法
Two-Factorを『有効化』したら、WordPress管理画面よりTwo-Factorの設定を行います。
日本語化されているのはちょっとありがたいですね。
→①『ユーザー』
→②『プロフィール』
→③『Two-Factor 設定』の画面が下のほうにあります。
たくさんあって戸惑うかもしれませんが、選べる認証方法は[方法1~3]の3択とバックアップ用のコードです。
- [方法1] メールでの認証
- [方法2] ワンタイムパスワードでの認証
- [方法3] セキュリティキーでの認証
- [もしものとき] バックアップ検証コード
使いたい認証方法の『有効』にチェックを入れて設定します。
簡単でおすすめなのは、[もしものとき]のバックアップ検証コードの設定と[方法1]のメールでの認証設定になります。
各方法のやり方については、次の項目で詳細を説明していきます。
まずは[もしものとき] のバックアップ検証コードを設定する
まずは、もしものときのバックアップ検証コードを設定します。
これは万が一、設定した認証方法(先ほど説明した[メール]、[ワンタイムパスワード]、[セキュリティキー])でログインできなかった時の救済方法になるので必ずやっておきましょう。
→①バックアップ検証コードの部分の『有効』にチェックする。
→②『検証コードを生成』のボタンを押す。
→③『検証コード』が10個生成される。
→④『ダウンロード』して保管しておく。
→⑤『プロフィール更新』をクリックする。
設定したら、実際に試してみましょう。
- WordPress管理画面の右上にある『ログアウト』ボタンを押す。
- ログイン画面になるので、ユーザー名/パスワードを入力し、『ログイン』ボタンを押す。
- 上記で入手したバックアップ認証コードを入力し、送信する。
これで万が一設定した認証方法でログインできなかった場合は、バックアップコードでログインできるようになります。
検証コードは使い捨てで10個しかないので、少なくなってきたら再度生成してダウンロードしておくことをおすすめします。
方法1:メールでの認証
次は、メールを利用して認証する方法で、一番簡単なのでおすすめです。
認証コードが送信されるメールアドレスは、WordPressのユーザープロフィールで設定しているメールアドレスです。
普段運用で使用しているメールアドレスが記載されているか、間違いがないか確認しましょう。
→①メール認証の『有効』と『メイン』にチェックする。
→②運用で使用しているメールアドレスが記載されているか確認する。
→③バックアップ検証コードは『有効』にしておく。
→④『プロフィール更新』をクリックする。
こちらも設定したら、実際に試してみましょう。
- WordPress管理画面の右上にある『ログアウト』ボタンを押す。
- ログイン画面になるので、ユーザー名/パスワードを入力し、『ログイン』ボタンを押す。
- 指定したメーアドレスにコードが送信されるので、そのコードを入力してログインする。
これでメールでの2段階認証ができるようになります。
- 設定してすぐだと、WordPress側に反映されるのが遅いためか、メールが来ないことがありました。
- また、コードの再送信を何回かすると、キャッシュ(インターネット一時ファイル)のようなものが溜まってしまうのか、メールが来ないことがありました。
- 少し待って、再度ログインするとメールが来るようでした。
※もし、どうしてもメールが来ない場合はバックアップ検証コードでログインしましょう。
方法2:ワンタイムパスワードでの認証
次は、またちょっと複雑になりますが、スマホやタブレットに『Google認証システム』というアプリを入れて認証する方法です。
『Google認証システム』はGoogle公式の2段階認証アプリです。
数十秒ごとに変わるワンタイムパスワードというコードを入手して認証する方法です。
これは、先ほどのメール認証よりも、さらに強力な方法になります。
◆スマホ(Android)側での準備:アプリを入れて『QRコードをスキャン』ボタンを押して待機。
→①バックアップ検証コードは『有効』にしておく。
→②ワンタイムパスワードの『有効』と『メイン』にチェックする。
→③先ほど説明した「Google認証システム」のアプリ(スマホ側)でQRコードを読み込む。
→④「Google認証システム」のアプリで出てくるコードを入力して送信する。
◆④の『送信する』のボタン押すと下記画面になります。
→⑤の部分は、特にこのままでOK。
→⑥『プロフィール更新』をクリックする。
こちらも設定したら、実際に試してみましょう。
- WordPress管理画面の右上にある『ログアウト』ボタンを押す。
- ログイン画面になるので、ユーザー名/パスワードを入力し、『ログイン』ボタンを押す。
- スマホ側の「Google認証システム」のアプリに出てきたコードを入力してログインする。
これでスマホでの2段階認証ができるようになります。
方法3:セキュリティキーでの認証
最後に、セキュリティキー(FIDO U2F)で認証する方法です。
こちらの場合は、専用の機器を購入する必要があるため、省略しています。
また何かの機会があれば紹介したいと思います。
セキュリティ対策だけじゃなくバックアップも必要
これでセキュリティ対策は
バッチリだねー。
そうなんだけど、
これだけで安心したらだめだよ!
ハッキングのほかに、WordPressやプラグインのアップデート時によるトラブル、サイトのカスタマイズ時の誤った作業によるエラーなどなど、サイト運営ができなくなってしまうような危険は、まだまだ沢山あります。
なので、定期的にバックアップをとることをおすすめします。
バックアップ方法に関しては、また今度、紹介したいと思います。
まとめ
今回は、セキュリティ対策として、Two-Factorの導入を紹介しました。
簡単にまとめると次のような内容でした。
- WordPressプラグインでTwo-Factorをインストールする。
- まずは [もしものとき] のバックアップ検証コードを設定。
- 次に選べる認証方法は「メール」「ワンタイムパスワード」「セキュリティキー」の3択。
- 認証方法を選んだら実際に機能するか試す。
これでセキュリティ対策は
完了だよ!
何度も言いますが、問題が起こってあれこれ悩んで対応していくよりも、事前に対策をしていた方が断然良いですよね。
是非参考にしてみて下さい!
コメント