こんばんは。
本来このサイトはバイクネタが9割9分なのですが、現在ネタ切れ中なので久しぶりにWordPressネタでも書こうかなと思います。
では、本題となります。
みなさまはWordPressを使っていて、今まで書いてきた記事1つ1つが「大事な資産」であると考えたことはありますか?
「所詮1データ」と捉えるか「価値を生み出す資産」と捉えるか。
記事一つ生み出すことでまた一つ自身のブログサイトが大きくなったことを意味しますので、私は後者派です。
そんな大事な資産を結構ないがしろにしているブロガーが多いこと多いこと。
そこで今回は、WordPressを使用するならインストールしておくべきセキュリティ系プラグインを「3つ」紹介したいと思います。
目次
デフォルト管理画面の隠蔽
WordPressのデフォルトの管理画面のURLが何なのか、使っている人ならお分かりですね?
そうです。ドメインの後ろに[/wp-admin]を付ければいいのです。
WordPressを使ったことのある人であれば、誰でも分かるこのURLをそのまま使っていると誰でも管理画面にアクセス出来てしまいます。
知らない人に玄関の入り口をイジられてあなたは平気ですか?
ちなみに後述しますが、未だに自身のサイトを「HTTPS」にしていない人も多いです。
HTTPS化していないとデータが平文つまりユーザ名やパスワード、クレジット番号など誰でも見れる状態で通信を行うので、「見たければ見れば?」状態になっています。
これをやられてしまうと管理画面にログインすることも難しくありません。
よって、あなたが今まで積み上げてきたWordPressサイトは一瞬で崩壊することになるでしょう。
「WPS Hide Login」を使用して管理画面を隠蔽する
「WPS Hide Login」というプラグインを使用すると、自分の好きなように管理画面のURLを変更することができます。
あんまり分かりやすいと突破される恐れもありますが、少なくとも「誰でも分かる」状態は回避できます。
当サイトもこの「WPS Hide Login」を使用して管理画面を隠蔽しています。
忘れない内にお気に入りのURLを変更しましょう。
使い方
① プラグインをインストールしたら有効化します。
② [設定] > [一般]の順にクリックし、[Login url]に好きな文字列を入れ、「変更を保存」をクリックするだけ。
SSL証明書を使ってHTTPS化する
HTTPは、Hyper Text Transfer Protocolの略で主にWeb関連で使用する通信規格となります。
この通信規格は、先程も少し触れましたが、「見たければ見れば?」の状態で通信を行っています。
故に、やろうと思えば誰でも他人の管理画面のユーザ名とパスワードを抜き取ることができます。
この「見たければ見れば?」の状態を防いでくれるのが「HTTPS」となります。
なぜ防げるのかというと、HTTP通信を暗号化することで「分かる人にしか分からない」状態を生み出すことができるからです。
分かる人にしか分からないので、第三者は分からない人なので解読が難しくデータを盗みにくくさせることができます。
ちなみに、Googleの検索エンジンでは「HTTPS」になっているかもSEOの判断基準としているという話を聞いたことがありますので対策しない理由がないですね。
まず、HTTPS化するには「SSL証明書」が必要となります。
元々SSL証明書は、「CA(Certification Authority)」と呼ばれる認証局と年間契約を結んで手に入れることができ、価格は数万円~数十万円と高価でした。
エックスサーバーなどのレンタルサーバの標準機能とも言えるのが「無償で使えるSSL証明書」です。
どうせ「安物買いの銭失い」でしょ?と思うかもしれませんが、そうではありません。
このSSL証明書は、「Let’s Encrypt」と呼ばれ、米国の非営利団体であるISRG(Internet Security Research Group)により運営されています。
この団体が無償でSSL証明書を提供してくれているおかげで我々個人のユーザも利用しやすくなったのです。
エックスサーバーでSSL証明書を発行するには、こちらをご参照ください。
「Really Simple SSL」を使用してサイト全体をHTTPS化する
前置きが長くなりましたが、「Really Simple SSL」を使用すると簡単にサイト全体をHTTPS化することができます。
有効にすればほぼデフォルトの設定で「HTTPS」化できるのでとても簡単です。
前置き長いくせにこれだけで完了します。
データをバックアップする
WordPressは大きく4つの構成で動作しています。
その4つとは「テーマ」「データベース」「プラグイン」「アップロードファイル」です。
各記事や設定内容は「データベース」に、WordPressの機能拡張は「プラグイン」に、Webデザインは「テーマ」、記事に必要な画像や動画は「アップロードファイル」に格納されています。
これらは1つでも欠損すると復旧が困難になります。(レンタルサーバに障害が発生したときなど)
何かあってからでは遅いので、なにか起こる前に対策をしておきましょう。
せっかく積み上げてきた「資産」が壊れていくのを指をくわえて見ているなんてありえませんからね
「UpdraftPlus - Backup/Restore」でデータをバックアップしよう
「UpdraftPlus - Backup/Restore」もほぼデフォルトで簡単にバックアップとリストアが出来ます。
設定次第では日次、週次、隔週、月次などバックアップのタイミングを好きなように設定することができます。
世代数(何個前のバックアップを保持するか)も管理できるのでとても重宝するプラグインとなっています。
まとめ
せっかく長年に渡って積み上げてきた記事たちを悪い奴らに破壊されないためには、ある程度の対策をしなければなりません。
最低限、今回紹介した3つのプラグインを入れていれば多少の防御にはなるはずです。
この記事を読んだ方は是非対応してみては如何でしょうか。