WordPressで行える簡単なセキュリティ対策

2018-03-01IT記事


セキュリティはなるべく、危険度、リスクの度合いを把握しながら、どれくらいまで行うか決めたいものです。

このブログ自体はAWSのLightsail(仮想サーバーサービス) + WordPressで運営されています。なので、サーバー側でHTTPSにして、Wordpress側では有能なセキュリティプラグインを入れようと思いました。

過去にLightsailのシリーズ内で、通信をHTTPSにするところまでは記事にしました。そこからさらにWordpress側で行ったセキュリティ対策を書いておこうと思います。

といってもプラグインを入れて設定をしたといったよくある対策が主です。

入れたセキュリティプラグイン

  • Jetpack
  • Akismet Anti-Spam
  • IP Geo Block
  • Easy Updates Manager

Jetpackは、Wordpressの便利なプラグインをセットにしたものですが、その中にはログインページへの不正な試行を弾いたりするプラグインも入っています。
便利そうなので入れました。

実際に弾いた数は設定ページから見ることが出来ます。自分の場末のブログでもサイト開設から今までで400なんぼという数字が表示されています。
このようにネット空間はランダムにwordpressサイトをハックするBOTがうようよしている、危険な世界なんですよね……。セキュリティはなるべくしっかりやりたいところです。

Akismet Anti-Spamは、重いと言われていますが、スパムコメントを弾いてくれます。人によっては以下のIP Geo Block一つにするようなのですが、自分で判断できなかったので入れています。

IP Geo Blockはセキュリティサイトで公開されている攻撃IP情報をダウンロードして、IPからシャットダウンするプラグインです。これを入れておくとログインページなど裏側へのアクセスをほとんど遮断できます。だいぶ堅牢になるイメージです。

しかし個人的に問題も出まして、このプラグインを入れるとWordpressの本家サイトとの連携が出来なくなりました。
理由はWordpressの本家サイトからも自分のブログへの投稿等々が出来るのですが、それが裏側へのアクセス扱いになるからだと思われます。

ネットで調べると、Wordpressサイトのアドレスをホワイトリストに入れて回避する方法も載っています。けどちょっとその情報が自分で判断つかなかったのと、別に困らないし面倒くさくなったので、繋がらないままでいいやってそのまま使っています。

Easy Updates Managerはプラグインを自動で更新するプラグインです。他にもその手のプラグインはあるようです。プラグインの自動更新は時々手動にもなりますが、とても便利です。

user名とパスワードを変えるなどを行いました。

終わりに

ここまでである程度のWordpressのセキュリティを簡単に確保できたと思います。