【ワードプレス】サーバーの乗っ取り防止できてる？｜2段階認証など

ワードプレスは時に不正ログインされ、何等かの不具合を起こされてしまうことがあります。

乗っ取られるとどうなるかというと、webサイトやブログを消されてしまったり、全く違うサイトに変えられたり、サイトから大量のスパムメールを配信されたりすることがあります。

そうなってしまうと、修復に時間がかかってしまい、最悪の場合は育ててきたドメインごと破棄しなければならなくなってしまいます。

そうならないためにも、長期的にワードプレスを運営するためには、サーバーの乗っ取り防止対策は必要不可欠です。

乗っ取り防止すべき2つのログイン画面

ワードプレスでwebサイトを更新する際には「ワードプレスにログイン」をして、更新作業をすることになるのですが、ワードプレスの制御はサーバー側でも可能です。

そのためワードプレスの乗っ取りを防止するためには、この2つのログイン画面を守ることは非常に重要です。

では、具体的にどのように守ったら良いのかをご紹介しましょう。

ワードプレス本体の管理画面ログインを守ること

乗っ取り対策にはログイン画面を守ることが重要です。

具体的にどのようにログイン画面を守るかというと以下が重要になります。

IPアドレスを制限する

自分のIPアドレス（自分のPC）を登録しておくことで、ログインの際に登録したIPアドレスのみがアクセスできるように設定することが可能です。

それによって、登録したPCからしかログインができなくなるので、乗っ取り防止には最適です。

しかし、自分が保有する他のPCからもアクセスできなくなるため、多少の不便さもあります。

データベースに外部からアクセスできないようにする

データベースがハッキングされてしまうと、直接外部からワードプレスを操作することが出来てしまいます。

そうならないためにも、データベースを管理する「wp-config.php」というファイルを外部からのアクセスを不可にする設定をする必要があります。

セキュリティプラグインを導入する

また、「SiteGuard WP Plugin」などのセキュリティプラグインの導入がおすすめです。

SiteGuard WP Pluginとは、本来のワードプレスのログインページのURLを、自動的に変更するプラグインです。

これによって、管理画面のURLが外部にはわからなくなるので、部外者による管理画面へのアクセスが困難になります。

また合わせてログインロック（ログインがあったことをメールで通知する機能）ログインアラート（ログインがあったことをメールで通知）、画像認証などの機能もあるので、非常におすすめのプラグインです。

パスワードは文字数を多くし、なるべく複雑なものにする

ワードプレスのログイン画面に限りませんが、パスワードは長くて複雑なものほど解読が難しいものです。

なので、 下記の項目を意識して設定するのがおすすめです。

もちろん、文字数が多ければ何でも良いわけではありません。

名前や誕生日など、個人情報が分かるとすぐに解読できそうなパスワードにしないように気を付けましょう。

また、複雑なものにするのは良いのですが、万が一分からなくなってしまわないようにしっかり保管しておきましょう。

データでの管理はもちろんですが、メモ書きなど何種類かの方法での保管がおすすめです。

サーバーのログイン情報も守ること

ワードプレスのログイン情報と同様に、サーバーのログイン情報も守る必要があります。

せっかくワードプレスのログイン画面を守ることができても、サーバーにログインされてしまうと乗っ取られてしまうので注意が必要です。

では、サーバーの乗っ取り対策として以下が挙げられます。

OSを最新版にアップデートしておく

ワードプレスを扱うサーバーの多くが「CentOS7」だと思いますが、脆弱性が発見された場合は随時アップデートが必要です。

毎回毎回面倒かもしれませんが、アップデートがあった場合、常に設定するようにしましょう。

ファイアーウォールなどセキュリティツールを設定する

様々な会社のファイアーウォールがありますが、しっかりと調べて設定しておきましょう。

特に、最近人気なのがwebアプリケーションの脆弱性悪用した乗っ取りから保護するファイアーウォールが人気です。

また、IDS（不正侵入検知システム）やIPS（不正侵入防止システム）も有効な手段になります。

ログイン画面をSSL通信に設定する

SSLとはデータを暗号化することです。

サーバーへのログイン画面とワードプレスのログイン画面をSSL対応させることで、第三者が乗っ取ろうとした場合も、ログイン情報が暗号化されているため、解読が難しくなります。

なので、できるだけサーバーとワードプレスのログイン画面はSSL対応をしておきましょう。

MySQL管理画面のログイン情報も守ること

MySQLとはワードプレスのデータベースのことになります。

ワードプレスには本体とMySQLがあり、MySQLには記事はもちろん、タグやカテゴリ、自身のユーザ情報など重要な情報が格納されています。

いくらサーバーやワードプレスのログインパスワードを強固にしても、こちらで不正アクセスされてしまうと、webサイトを勝手に改ざんされてしまったり、乗っ取られる危険性があります。

なので、こちらもログインパスワードの文字数を増やし、複雑化させる必要があります。

さらに、設定ファイルのーアミッションをチェックし、他のユーザからは見えない場所に格納されているかも確認しておきましょう。

サーバーに入られたら詰み｜予防と対策

ワードプレスのログイン画面をしっかり保護してもサーバーに入られてしまうとwebサイトやブログを乗っ取られてしまう危険性があります。

そうならないためにも以下の点に注意しておきましょう。

2段階認証や定期的な手動監視をすること

2段階認証は、Google　Authenticatorプラグインを使用すると可能になります。

これはGoogleが提供しているシステムで「2段階認証システム」とも呼ばれています。

仮想通貨取引所のログイン画面でも使われているもので、スマホアプリと連動している使い捨てのパスワード（ワンタイムパスワード）がリアルタイムで発行されます。

ログインするためには本来のログインIDとパスワード、そしてこの二段階認証で随時発行される6桁の数字が必要になります。

この6桁の数字は30秒間で6桁の数字がランダムで変わります。

通常のログインIDとパスワード、そしてこの二段階認証を設定することで、二段階認証は常に変わるパスワードのため、第三者に使われる可能性は限りなく低くなるので、非常におすすめの方法です。

もちろん、定期的なログインIDとパスワードの変更も大切です。

とはいえ、この2段階認証をすることによって、乗っ取り防止の確率は上がります。

しかし、スマホアプリなのでスマホが壊れてしまうとログイン自体が出来なくなってしまうので、注意も必要です。

二段階認証を設定する際には「シークレットキー」をしっかりメモして保管しておきましょう。

configやjsonやinstaller-backupへのアクセスを許可しないこと

Configやjsonとは、サイトにとって重要な情報を含んでいるワードプレス内部のファイルです。

これらのファイルを探るために、過去多数のサイトに対してXSS攻撃を仕掛けてこられたということが把握されています。

このXSS攻撃によって、 下記の事が目的とされています。

このようにならないためにも、「WAF」や「WP-Cerber」などを利用して、XSS攻撃を察知し対応する必要があります。

WAFとは

WAFとは正式名がWeb Application Firewallです。

頭文字をとってWAF（ワフ）と呼ばれています。

WAFは、webサイト上のアプリケーションに強いファイアーウォールです。

具体的にはインターネットを通して侵入してくる不正アクセスから守るために防火壁です。

WP-Cerberとは

不正アクセス検知、プラグインの脆弱性、PHPの脆弱性などを目視できるようになります。

Cerber Security & Antispamなどのプラグインを入れることで、さまざまな制限・拒否・許可の設定が可能になります。

怪しいアクセスを許さないためにも、アクセスの目視やファイアーウォールの設定は必要不可欠です。

最近では簡単にこれらを設定できるプラグインもあるので有効活用しましょう。