セキュリティはなるべく、危険度、リスクの度合いを把握しながら、どれくらいまで行うか決めたいものです。
このブログ自体はAWSのLightsail(仮想サーバーサービス) + WordPressで運営されています。
過去にLightsailのシリーズ内で、通信をHTTPSにするところまでは記事にしました。そこからさらにWordpress側で行ったセキュリティ対策を書いておこうと思います。
といってもプラグインを入れて設定をしたといったよくある対策が主です。
入れたセキュリティ周りのプラグイン
- Jetpack
- Akismet Anti-Spam
- Wordfence
- IP Geo Block
- Easy Updates Manager
Jetpackは、Wordpressの便利なプラグインをセットにしたものですが、その中にはログインページへの不正な試行を弾いたりするプラグインも入っています。
便利そうなので入れました。
実際に弾いた数は設定ページから見ることが出来ます。自分の場末のブログでもサイト開設から今までで400なんぼという数字が表示されています。
このようにネット空間はランダムにwordpressサイトをハックするBOTがうようよしている、危険な世界なんですよね……。セキュリティはなるべくしっかりやりたいところです。
Akismet Anti-Spamは、スパムコメントを弾いてくれます。人によっては以下のIP Geo Block一つにするようなのです。
Wordfenceは、wordpressのセキュリティの多くをカバーしているプラグインです。今回はログインフォームを二段階認証にするために入れました。ユーザー名とパスワードだけを使ってログインできるのはいまどき怖すぎる。
IP Geo Blockを入れると管理画面などの裏側への怪しいアクセスを遮断できます。強固になりますが問題も出まして、Wordpressの本家サイトとの連携が出来なくなるということがありました。
ネットで調べると、Wordpressサイトのアドレスをホワイトリストに入れて回避する方法が載っています。けどちょっとその情報が自分で判断つかなかったのと、別に困らないし面倒くさくなったので、繋がらないままでいいやってそのまま使っています。
Easy Updates Managerはプラグインを自動で更新するプラグインです。他にもその手のプラグインはあるようです。メジャーアップデートだけは自分で確認しますが、これもとても便利です。
他
user名とパスワードを変えるなどを行いました。
wordpress本家サイトのアカウントも二段階認証を設定しました。
終わりに
ここまでである程度のWordpressのセキュリティを簡単に確保できたと思います。