WordPressがマルウェアに感染しないための対策とは?




こんにちは。

お父さんアフィリエイター、
はまぞふです。


前回の記事では、
「WordPressがマルウェアに感染してしまった場合、
どうなってしまうのか?」


この事について、いろいろと説明しましたね。

WordPress内のphpファイルが勝手に改ざんされたり、
運用しているサーバーのスペックとかが、わかってしまったり、
OSのコマンドが実行出来たりと、

それに、googleからは、「危険なブログだよ」と言われ、
アクセスしたら、勝手に他のサイトに自動転送されたり、
はたまた、自動転送された先で、ランサムってしまう可能性もあったりと、

感染後のphpソースを見る限り、恐ろしい事をしてしまう可能性がある
という事でしたね。

前回の記事を読んでいない方は、一度読んでみて下さいね。

WordPressがマルウェアに乗っ取られるとどうなるの?



そうそう。

だから、torocca!で、感染したことを一早く知って、
感染前の状態に素早く復元できるって事だったよね。

 

 

↓torocca!

;

わたちたちも、torocca!を使って、
マルウェアに対しては、安心してるんだけど。

他に、対策の方法とかあるの?

 

 

前回の記事は、マルウェアに感染してしまったら、
どうすればいいのか?

ってことで、torocca!を紹介したんだけど・・・

そもそも、
なんで、WordPressがマルウェアに狙われているか?

しってるかい??

 

 

WordPressがマルウェアに狙われるわけとは?


う~ん、たまたま??

 

 

っていうか、
WordPressのシェアが多いからじゃないの?

 

 

おっ、良いとこ付くね。

WordPressがマルウェアに狙われる理由として、
次の3つがポイントなんだよね。

1.世界で最も使われているブログシステムだから。
2.管理画面へのログインページが「URL+wp-login.php」なので、アクセスしやすい。
3.対策を行わないと、ユーザー名が一目瞭然


 

 

うんうん、シェアが一番だから、
一番狙われやすいって事だよね。

「Windowsをターゲットにしたのウイルスが一番多い理由」
みたいなもんだよね。

 

 

それに、管理画面へのログインページは、
確かにわかりやすいよね。

「URL+wp-login.php」は、管理者にとっても、
マルウェアを仕込む人にとっても、わかりやすいからね~

でも、ユーザー名が一目瞭然って??
すぐわかっちゃうわけ??

 

 

そうなんだよね。

この、管理画面へのログインページのわかりやすさと、
ユーザー名がわかってしまう事によって、

マルウェアの感染経路として、
”管理画面からの不正ログインによるマルウェア感染”
一番多いんだ。

 

 

ひゃ~

 

 

どうすれば、いいの?

 

 

それじゃ、

WordPressがマルウェアに感染しないために、
ブログ管理者がやっておきたい対策を教えるね。

 

 

はーい、お願いしまーす。

 

 

WordPressでやっておきたいセキュリティ対策とは?

デフォルト管理者ユーザー名”admin”の変更


実は、WordPressをインストールした直後だと、
管理者ユーザー名が“admin”になっているんだ。

その”admin”を変更しないままでいると、
不正ログインの原因になるんだよ。

だから、WordPressをインストールした直後は、
必ず、管理者ユーザー名をadminから変更する必要があるね。

 

 

でも、僕がインストールした時、”admin”なんて無かったよ。

 

 

チビ助はエックスサーバーを使ってるでしょ。

エックスサーバーの自動インストール機能を使って、
WordPressをインストールした時には、
管理者ユーザー名の”admin”は無くて、

自分で設定したユーザー名になっているから、
その点は安心だね。

 

 

なるほどね。

もしも、レンタルサーバーの
自動インストール機能を使わないで、

自分でWordPressを設置した場合は、
この辺りを注意したほうがイイってことね。


 

 

そういうこと。

adminユーザーがあるか確認するには、
WordPressのダッシュボードから、
左側にあるメニューから「ユーザー」をクリックしてみよう。


ユーザーの一覧が表示されるけど、
そこに、adminユーザーがあるようだったら、名前を変更しておこうね。

 

 

ニックネームを変更しよう


自分のブログにコメントしてくれた人に、
コメントを返すときって、

名前が表示されるでしょ?

 

 

うんうん。

 

 

実は、その名前ってデフォルトは、
ログイン時のユーザー名になっているんだ。
だから、きちんと設定しておかないと、
ユーザー名がみんなにばれちゃうんだよね。

コメントで表示される名前は、
ユーザー名とは別に”ニックネーム”も選択できるから、

そのあたりをキチンと、
”プロフィール設定画面”で設定しておこう。

ニックネームの設定が出来るプロフィール設定画面は、
ダッシュボードのユーザーから、
あなたのプロフィールを選択すると、
表示されるよ。

真ん中あたりに
”ニックネーム(必須)”という項目があるので、
ユーザー名以外で設定しておこう。

設定が終わったら、その1つ下の、ブログ上の表示名を
先ほど設定したニックネームにしておこう。

これで、ユーザー名は出なくなるよ。

 

 

 

 

コマンド”/?author=1″


実は、URL+/?author=1でユーザー名がばれてしまいます。

 

 

あっ、ホントだ・・・


これって、どうすればいいの??

 

 

これには、Edit Author Slug プラグインを導入することで、対策が可能なんだ。

まずは、Edit Author Slugプラグインを導入しよう。
これは、ダッシュボードのプラグインから検索すればインストール可能だよ。


インストールが成功したら、ダッシュボードのユーザーから
あなたのプロフィールを選択しよう。

そうすると、プロフィール設定画面の一番下の方に、
新しく設定項目が追加されているはずだよ。


投稿者スラッグの部分を、1や、カスタムを選択しておこう。
そうすることで、ユーザー名は出なくなるよ。


 

 

プラグインSiteGuard WP Pluginの導入


WordPressのもう1つの問題。
それは、管理画面へのログイン画面が、
“URL+/wp_login.php”ってこと。

この問題は SiteGuard WP Plugin を導入することで
解決できるよ。

 

 

SiteGuard WP Plugin ってどんなプラグインなの?

 

 

この”SiteGuard WP Plugin”は、
管理画面へのログインページのURLを変更したり、
ログイン画面に、ひらがなの画像認証を追加することが
出来るんだ。

マルウェアを仕込もうとする人達は、海外からの侵入
一番多いので、管理画面のログインページに
ひらがなの画像認証があるのなら、諦めちゃうだろうね。

 

 

でも、ひらがなを入力したらログイン出来るんでしょ。
そこも突破されちゃう可能性もあるんじゃない?

 

 

まぁ、画像からひらがなを読み取って、
それを文字入力することは可能だけど・・・

そこまでかなり手間のかかる事をやろうとする人は
いないと思うよ。
他のサイトを探したほうが効率的だからね。

 

 

確かにね。

 

 

SiteGuard WP Pluginの導入は、
ダッシュボードのプラグインメニューから
検索することで、インストールは可能だよ。


導入が完了すると、まず管理画面へのログインURLが
変わるので、しっかりとメモっておこう。
これがないと、管理画面へのログインが出来なくなるからね

 

 

はーい

 

 

あと、管理画面へのログインの方法に、
ひらがなの画像認証が加わるよ。

 

 

 

 

これで、安心よね。

 

 

SiteGuard WP Pluginを導入すると、コメントを残す際にも、
ひらがなの画像認証機能が加わるけど、
この機能は画面ごとにON/OFFできるので、
一度、設定画面で確認しておこう。

ダッシュボードのSiteGuardをクリック。
開いたメニューから”画像認証”を選択。

ログインページ、
コメントページ、
パスワード確認ページ、
ユーザー登録ページ

と4つの画面がでてくるので、
ひらがな認証を行いたい画面、行いたくない画面を
ここで設定しておこう


 

 

 

 

補足:Crazy Boneの導入


このプラグインは、WordPressの管理画面のログイン履歴を
記録閲覧できるプラグイン。

このプラグインを導入すると、
どんなIPからアクセスが有って、
ログイン処理を行って、その結果、
成功か、失敗かがわかるようになるよ。

自分のブログの管理画面に入ろうとする人
どれだけいるのかを、

まずは確認しておいたほうがイイね。

 

 

狂った骨?

 

 

そ、狂骨。
なんでこんな名前かは、お父さんにもわからない・・・

このプラグインも、ダッシュボードから検索して、
インストールは可能だよ。


プラグインインストール後、有効化すると、
ダッシュボードのユーザーメニューから
ログイン履歴が選べるようになるので、

そこから、確認することが出来るよ。

 

 

でも、さっき入れた SiteGuard Plugin でも、
ログイン履歴は、わかるんじゃない?

 

 

まぁ、ログイン履歴はSiteGuard Pluginでもわかるんだけど、
Crazy BoneはIPの国名が出るので、
おとうさんは好きなんだ。

まぁ、国がわかったところで、
「あぁ、中国から来てんだなー」とか、
「日本の人がだれか入った??」とかって、
思うだけなんだけどね。

 

 

 

 

マルウェアめ!!どっからでも、かかってこい!


じゃ、マルウェアの対策として、必要な項目は・・・

・adminユーザーを消す。

・ニックネームを設定して、表示名にする。

・Edit Author Slug プラグインを導入して、コマンド”/?author=1″に対応。

・SiteGuard WP Plugin プラグインで管理画面のURLを変更して、 管理画面にログインするときに、ひらがなの画像認証を追加。

・(余力があれば)Crazy Bone プラグインを導入して、どの国から攻撃を受けているか調べる。

これで万全だね。

 

 

そうだね。これだけやっていれば、
WordPressには不正ログインをされないで済むし、
マルウェアに感染することは無くなるね。

 

 

あとは、しっかりと、
WordPressやプラグインを更新を、
しておかなきゃいけないわね。

マルウェアの侵入経路として、Wordpressやプラグインの
脆弱性を突かれて侵入されることもあるからね

 

 

これで、完璧だね。

どっからでもかかってこい!マルウェア!!

シャー!ゴルァー!!

って感じだね。

 

 

う~ん、
かかって来られちゃ困るんだけどね~

 

 

WordPressを運営していても、
意外と、こういう対策を行っていない人がいますよね。

僕もその一人でした^^;

最近のマルウェアは、管理画面から不正ログインを行い、
侵入してくるパターンが多いようですので、

WordPressをインストールして、デフォルトのまま使ったり、
ユーザー名やパスワードと、adminやpasswordのように、
わかりやすい文字列だと、マルウェアに侵入されやすくなります

不正なログインをされて、後で、「困ったー!!」
とならないように、しっかりと対策をしておきましょうね。

万が一、WordPressがマルウェアに感染してしまっても、
torocca!のようなバックアップシステムがあれば、

復旧には時間はかかりませんし、
あなたの書いた記事が無くなることもありませんね。


;

「これで、WordPressのマルウェア対策は万全でござるな。」と思った方、ぽちっとお願いします^^

2 Responses to “WordPressがマルウェアに感染しないための対策とは?”

  1. こんにちは。
    毎記事とても感心しますが
    はまぞふさんのアフィリエイトの知識って
    半端ないですね。

    頭が下がりますm(__)m

    何かあったら、はまぞふさん、
    よろしくお願いいたしますって思いました(笑)

    Site Guardを入れてみようと思います。
    いつも役に立つ記事ありがとうございます。
    応援して帰りますね。

    • ロコさん、こんにちは。
      はまぞふです。

      コメントありがとうございます^^

      > 頭が下がりますm(__)m

      ありがとうございます^^
      マルウェアに付いて、調べてみた結果です。

      いろいろと調べてみると、
      僕も狙われてもおかしくない状態でした^^;

      > Site Guardを入れてみようと思います。

      ぜひ入れてみて下さいね^^
      プラグインをいろいろと紹介しましたが、
      Site Guardだけでも、マルウェアに感染する危険性は
      グンと減ると思います^^

      応援ありがとうございましたm(_ _)m

コメントを残す