All In One WP Security & Firewallは、これ1つでWordPressをさまざまな危険から守ってくれる統合的なセキュリティ対策用プラグインです。WordPressへの攻撃が不安な方も多いと思いますが、このプラグインを使えばセキュリティ的な不安を大幅に軽減することができおすすめです。
この記事では、WordPressにはどのような攻撃の不安があるかをはじめに紹介します。その上で、All In One WP Security & Firewallでどのようなセキュリティ設定が可能かを解説していきます。
目次
All In One WP Security & Firewallとは?
All In One WP Security & Firewallは、WordPressに対するさまざまな攻撃を防いでくれる代表的なセキュリティ対策プラグイン(拡張機能)の1つです。導入や設定が簡単で料金もかからないため、WordPressでホームページを開設している多くのユーザーに利用されています。
またプラグインとは、WordPressに付加機能を追加するプログラムです。WordPressには数多くのプラグインが用意されており、必要に応じてWordPressへインストールして利用することができます。多くのプラグインが、無料で提供されています。
セキュリティが緩いとWordPressでどんな攻撃や被害を受ける?
WordPressでセキュリティがしっかり設定されていないと、多種多様な攻撃の標的となり被害をこうむってしまう恐れがあります。代表的な例として、以下のような被害や攻撃があげられます。
- 管理画面の悪用
- プラグインの脆弱性を悪用
- コメントスパム
- Pingback機能の悪用
- ブルートフォースアタック / 辞書攻撃
- SQLインジェクション
- クロスサイトスクリプティング
1つずつ簡単に解説します。
管理画面の悪用
悪意のある第三者にWordPress管理画面へ不正にログインされてしまう例です。管理画面を悪用されると、コンテンツを改ざんされるなどの被害が考えられます。
プラグインの脆弱性を悪用
パソコンやスマホにインストールしたソフトウェア・アプリにセキュリティ的な欠陥(脆弱性)があった場合に、その脆弱性を悪用してユーザーに大きな被害を与える場合があります。WordPressでもプラグインに脆弱性があると、悪意のある第三者がそれを利用してさまざまな攻撃の足掛かりにするのです。
たとえばプラグインに不正なプログラムのコードを仕込み、管理者アカウントを乗っ取ったり、訪問者を不正なウェブサイトへ誘導したりします。
※WordPressのセキュリティプラングインを使う以外に、パソコンにインストールしたソフトウェアと同じく、常に最新の状態に保つことが必要です。
WordPressで作成したホームページが重くなる。
WordPressに対し大量のアクセスを繰り返すなどして、サーバーへの負荷を高める攻撃があります。この攻撃を受けるとWordPressで作成したホームページの動作が重くなることがあります。最悪の場合、正常な動作が停止して管理者のユーザー名・パスワードや個人情報が盗まれてしまうといった可能性も否定できません。
コメントスパム
WordPressには、訪問者が簡単にコメントを残す機能が用意されています。コメントスパムとはコメント機能を悪用し、サイトに関係がないメッセージや広告を書き込む行為や、メッセージや広告のことです。この行為がパソコンやスマホなどに送られてくるスパムメール(迷惑メール)と似ていることから、コメントスパムと呼ばれています。
Pingback機能の悪用
Pingbackとは、WordPressで作成した自分のサイトのリンクが他のサイトへ掲載された場合に、そのことを通知してくれる機能のことです。どのようなサイトが自分のサイトのリンクを貼ったかが認識できるためPingback自体は便利な機能ではあります。しかしながら、この機能が悪用され、大量な通知が行われて自サイトの表示が遅くなってしまったり、さらなる攻撃の踏み台にされてしまったりします。
ブルートフォースアタック / 辞書攻撃
WordPress管理画面のパスワードを盗み取る代表的な手法です。手当たり次第にさまざまな文字列のパスワードを試して、正しいパスワードを盗み取ります。一見、アナログ的な攻撃にみえますが、この攻撃を使えば比較的短い文字列のパスワードなら簡単に盗まれてしまいます。
SQLインジェクション
WordPressではMySQLと呼ばれるデータベースに、コンテンツなどさまざまなデータを蓄積しています。SQLインジェクションとは、データベースに有害なコードを挿入する攻撃のことです。SQLインジェクションの攻撃が成立してしまうと、管理画面へ不正にアクセスされたり、管理画面に蓄積された個人情報を奪われたりなどの被害が考えられます。
クロスサイトスクリプティング
WordPress上の脆弱性を利用し、悪意のある第三者が不正なスクリプトを挿入する攻撃のことです。この攻撃が成立すると、サイトへ訪れた訪問者が不正なサイトへ誘導されてしまい、マルウェアに感染したり個人情報を奪われたりします。
All In One WP Security & Firewallの具体的な機能と設定方法
ここでは、All In One WP Security & Firewallが搭載する具体的な機能とその設定方法について簡単に紹介します。
①All In One WP Security & Firewallのインストール
All In One WP Security & Firewallを利用するためには、まずWordPressへのインストールが必要です。WordPressへログインし、「プラグイン」→「新規追加」と移動します。
そのあと、表示される検索窓へ「All In One WP (もしくはAll In One WP Security & Firewall)」と入力しプラグインを検索します。検索結果に、All In One WP Security & Firewallが表示されるので「今すぐインストール」をクリックすればインストールが完了です。その後、新しく表示された「有効化」をクリックすると、All In One WP Security & Firewallが使えるようになります。
管理画面の「設定」→「WP Security」へ進んでAll In One WP Security & Firewallの設定を行ってください。
②WordPressのバージョン情報を消す
初期設定では、サイトで利用しているWordPressのバージョンがソースコードの中に表示されています。悪意のある第三者にバージョン情報が知られると、どのような脆弱性があるかが容易に推測されてしまい危険です。
All In One WP Security & Firewallでは、WordPressのバージョン情報をソースから削除することができます。
まず「WP Security」の中の「Settings」メニューをクリックします。次に表示された画面から「WP Version Info」タブへ移動してください。そのあと、「
Remove WP Generator Meta Info」にチェックをいれ、最後に「Save Settings」をクリックすれば設定が完了です。
③ログイン試行回数制限を設定する
ユーザー名・パスワードの入力を試せる回数を制限する設定です。指定した回数まで間違った入力をすると、任意の時間、同じ接続元のIPアドレスからログインができなくなります。これによって、ブルートフォースアタック / 辞書攻撃などによって、ユーザー名とパスワードが盗まれるのを防ぐことが可能です。
設定する際は、「WP Security」の中の「User Login」をクリックします。ここで表示された項目のうち、設定をチェックすべき項目は以下の通りです。
| Enable Login Lockdown Feature: | 設定を有効にするためには、ここにチェックをいれます。 |
|---|---|
| Max Login Attempts | ユーザー名・パスワードの入力を何回失敗したら、その接続元から一定時間ログインできなくするかを決めます。
初期設定では「3」となっていますが、これは3回連続で失敗するとその接続元から一定時間ログインできなくなるという意味です。 特に希望がなければ3のままで構いません。 |
| Login Retry Time Period (min) | ユーザー名・パスワードの入力を「連続して繰り返されている」とみなす時間(分)をきめます。
たとえば初期設定では「5(分)」となっていますが、これは「5分間の間にユーザー名・パスワードの入力を試行された回数を連続とみなす」という意味です。 初期設定のままであれば、5分間の間に3回ユーザー名・パスワードの入力を失敗すると、その接続元からのログインができなくなるということです。 特に希望がなければ、こちらも初期設定の「5(分)」のままでかまいません。 |
| Time Length of Lockout (min): | 上記条件に従いログインに失敗した接続元から、何分間までログインできなくするかを決めます。
初期設定では「60(分)」となっています。これは指定の回数までログインに失敗したら、その後、60分の間は同じ接続元からログインができなくなるという意味です。 こちらも特に希望がなければ、初期設定の「60(分)」のままでかまいません。 |
上記全てのチェック・設定が終わったら、最後に「Save Settings」をクリックします。
④データベースの接頭辞を変更する
データベースにはWordPressに関するさまざまな情報(コンテンツ・ユーザー名・パスワードなど)が含まれています。不正にデータベースへアクセスされると、これらの情報が盗まれたり改ざんされたりされる危険性があります。
この設定は攻撃を目的としたデータベースへのアクセスを予防する設定です。WordPressのデータベースには、接頭辞という共通の文字列が各データ(テーブル)に付与されます。たとえばWordPress初期設定では接頭辞が「wp_」となっていますが、これは各データの最初に「wp_」という文字列が入るという意味です。しかしながら初期設定のままだと、悪意のある第三者にデータベースの各データの場所が推測されやすくなってしまいます。そこで接頭辞を変更することで、データの場所を推測されづらくするわけです。
設定時を変更する際は、「WP Security」の中の「Database Security」をクリックします。次に表示されたメニューの中で「Current DB Table Prefix」に記載された文字列(アルファベット)を変更します。文字の最後には、初期設定にならって「_(アンダーバー)」を入れてください。最後に「Save Settings」をクリックすれば設定が完了です。
⑤ファイルへのアクセス・編集を禁止する
WordPressの設定ファイルには、WordPressの動作に関する重要な設定情報が含まれています。この設定ファイルへの、悪意のある第三者によるアクセスを防止する設定です。
この設定を行う際は、「WP Security」の中の「Filesystem Security」をクリックします。新しく表示されメニューの中から、以下表にあげる2つの設定をチェックしてください。
| PHP File Editingタブ | 「Disable Ability To Edit PHP Files:」にチェックをいれ、「Save Settings」をクリックします。
これによって管理画面から設定ファイルを編集できなくなります。 |
|---|---|
| WP File Accessタブ | 「Prevent Access to WP Default Install Files:」にチェックをいれ、「Save Settings」をクリックします。
これによって設定ファイルへのアクセスを禁止することができます。 |
⑥ファイアウォールを設定する
WordPressをファイアウォールで保護するための設定です。この機能を有効にするためには、「WP Security」の中の「Firewall」をクリックします。新しく表示された画面の中で、「Basic Firewall Rules」タブをクリックし、「Enable Basic Firewall Protection」にチェックを入れ、最後に「Save Settings」をクリックすれば設定が完了です。これで基本的なファイアウォールの機能が有効となります。
WordPressでは「xmlrpc.php」という設定ファイルに攻撃が集中することがありますが、この画面でその攻撃を防ぐことが可能です。xmlrpc.phpは、管理画面以外から記事の投稿などができるようにするための設定ファイルです。仮にこのファイルへの攻撃が成功すると、WordPressが開きにくくなる、ユーザー名・パスワードが盗まれてしまうなどの被害が想定されます。
この設定をするためには、上と同じ「Basic Firewall Rules」タブで「Completely Block Access To XMLRPC」にチェックをいれ、「Save Settings」をクリックします。これで、xmlrpc.phpの機能が停止し、攻撃を防ぐことが可能です。
⑦ブルートフォースアタックを防ぐ
WordPressの管理画面は、標準でURLの最後に「wp-login.php」というファイル名がつくことから、悪意のある第三者に簡単に場所が特定されてしまいます。これによって、上で紹介したブルートフォースアタックを受けやすくなります。
All In One WP Security & Firewallでは、この文字列を変更することによってブルートフォースアタックを防ぐことが可能です。この設定をするためには、「WP Security」の中の「Brute Force」をクリックします。新しく表示された画面の「Rename Login Page」タブにある、「Login Page URL」へ任意の文字列を入力してください。これがwp-adminにかわる管理画面のURLとなります。その後、「Enable Rename Login Page Feature」にチェックをいれ、「Save Settings」をクリックします。
なお変更後のURLを忘れてしまうと管理画面へアクセスできなくなってしまうので、メモにとっておいたりブックマークに保存しておいたりして忘れないようにしましょう。
⑧コメントスパムの対策をする
上で解説したコメントスパムを対策するための設定です。この設定をするためには「WP Security」の中の「SPAM Prevention」をクリックします。表示された画面の「Comment SPAM」タブにおいて、以下にあげる2つの設定をチェックしてください。
| Enable Captcha On Comment Forms | 外部のユーザーがコメントを投稿する際に簡単な足し算をすることが必要になります。
スパムコメントはたいていボットと呼ばれる自動化プログラムによって行われますが、その多くは足し算ができないのでこれによってスパムコメントを防ぐことができます。 設定したい場合はこの項目にチェックを入れ「Save Settings」をクリックします。 |
|---|---|
| Block Spambots From Posting Comments | コメントフォームで投稿ボタンを正常にクリックした投稿のみ受け付けるようになります。これによって、その他の方法でコメントを投稿しようとするボットを防ぐことができます。
設定したい場合はこの項目にチェックを入れ「Save Settings」をクリックします。 |
⑨「右クリック」「テキスト選択」「コピー」を禁止する
WordPressに限りませんが、ホームページに掲載したコンテンツが、そのままほぼまるごと他サイトへ転載されてしまうことがあります。いわゆる「パクリサイト」と呼ばれるサイトのことです。
これはそうしたコンテンツの盗用を防ぐための機能です。管理者以外の全ての訪問者に対し右クリックによるテキストの選択やコピーを禁止することによって、コンテンツが持ち出されづらくします。ただ、そういった意図をもたない一般のユーザーの操作も制限してしまうことになるため、この設定は慎重に行ってください。
この設定をするためには、「WP Security」の中の「Miscellaneous」をクリックします。表示された画面の「Copy Protection」タブにおいて、「Enable Copy Protection」にチェックをいれ、「Save Copy Protection Settings」をクリックします。
All In One WP Security & Firewall以外のプラグイン一覧
ここではAll In One WP Security & Firewall以外に役立つ、WordPressのセキュリティ対策用プラグインを、簡単に紹介します。
各プラグインについては以下コンテンツでも紹介しておりますので、興味があればあわせてご覧ください。
【最低やっておくべき】WordPressのセキュリティ強化対策5つ~初心者向け~
| SiteGuard WP Plugin | 管理画面への不正なログインを予防 |
|---|---|
| Backup Guard | 作成したコンテンツのバックアップ |
| IP Geo Block | 管理画面に対する海外からのアクセスを禁止 |
| Akismet | スパムコメントのフィルタリング |
All In One WP Security & Firewallに関するQ&A
ここでは、All In One WP Security & Firewallの利用にあたってよく寄せられる質問2つの疑問に答えています。
Q.All In One WP Security & Firewallを設定したら管理画面にログインできなくなった
All In One WP Security & Firewallの設定によって、管理画面のURLを初期設定の「wp-login.php」から他の文字列へ変更した可能性があります。(上記「⑦ブルートフォースアタックを防ぐ」の設定)変更後のURLでアクセスしてください。
Q.All In One WP Security & Firewallを有効化すると動作重くなる?
いいえ、重くなりません。重くなっていないか心配な場合は、WordPressの「P3」というプラグインを利用すると、何が原因で重くなっているのかチェックすることができます。
まとめ
WordPressに対する攻撃を防ぐにあたり、All In One WP Security & Firewallは非常に有効なプラグインです。紹介したように設定できる項目も数多くありますが、どれも設定に時間や手間はかかりませんので、ぜひ参考にしてください。
なおWordPressのセキュリティを保護するためには、All In One WP Security & Firewallの利用だけでなく、WordPressの最新化など一般的な作業も必要です。WordPress利用時に行うべき基本的なセキュリティ対策は以下コンテンツにまとめておりますので、興味があればあわせて参照ください。
【最低やっておくべき】WordPressのセキュリティ強化対策5つ~初心者向け~
ブログを始めるとき、最初につまづく WordPress がインストール済!
ホームページの作成ツールとして人気の「WordPress」がインストール済の環境から簡単にスタート!
しかも、初期費用無料、月額440円~の低価格!むずかしい設定も不要で、セキュリティも万全!初心者でも簡単に始められる至れり尽くせりのプランです。
