目次
Siteguardはサイトを重くしない
SiteguardはWordPressにインストールするだけで、セキュリティを向上させられる優れたプラグインです。
不正ログインや管理ページへの不正アクセスを防いだり、コメントスパムを書きこめないようにしたりなど、様々なセキュリティ対策をしてくれます。
またSiteguardのみでWordPressが重くなるという報告はありません。
WordPressの動作が重くなっている様な気がする場合は、他のプラグインが原因の可能性が高いです。
無料のプラグインなので費用はいっさいかかりません。
インストールしていない管理者は、すぐにでも設定する事をお勧めします。
サイトの表示速度に影響しないプラグインである
何故Siteguardをインストールしても重くならないと言われているのか、それは基本的に、管理ページなどの主にログインが必要な箇所を保護するプラグインだからです。
Siteguardを経由し、正当なログインを行った後は、インストール前と同じ環境で作業できるため、Siteguardをインストールして表示速度が遅くなることは、理論上も体感的にも無いと言えます。
ログインページのセキュリティだから必須
WordPressサイトを運営するという事は、不特定多数に利用してもらい、アクセスを増やして目的の達成を図るという方が、ほとんどかと思います。
サイトの利用者が増え、知名度が上がるほど、攻撃されるリスクも増えていきます。
管理ページやログインページを保護するSiteguardは、インストールが必須のプラグインのひとつと言い切れるでしょう。
コメント欄やログイン時のひらがな認証がつけられる
暗号やパスワードを解析するブルートフォース攻撃や、リスト化したID・パスワードを利用し、不正ログインをするパスワードリスト攻撃などを防ぐために、ログインページにひらがなや英数字の画像認証を設ける事も出来るようになります。
Siteguardが変換したログインURLにアクセスし、目視で確認・入力しない限り、管理ページにアクセスする事ができなくなるので、さらに強固なセキュリティになります。
コメント機能にも同様に、画像認証を設置する事によって、自動で投稿されるコメントスパムも排除する事が出来るようになります。
WAFはサーバー側で設定する方が速くできる
WAFはファイアーウォールの一種で、Webアプリケーションの虚弱性を標的とした攻撃を防ぐセキュリティ対策です。
一般的なファイアウォールよりも、より通信の中身が監視できるものであるため、サーバやサイトを保護するのに向いています。
金額を考慮してWAFを導入するには、ホスト型かクラウド型の2択なるかと思われます。
クラウド方が一番低価格で導入も簡単に行えるメリットがありますが、運営するサイトが大きくなり、トラフィック量が多くなると、インターネット経由で受けるサービスであることから、レスポンスが低下する恐れがあります。
その点、サーバー側に設置する場合は、クラウド型よりもレスポンス低下の恐れが少なくなるため、相対的に対応が早くなるものと言えます。
ログインロックに気をつけて
ブルートフォース攻撃やパスワードリスト攻撃など、不正ログインを試みるような攻撃を受けづらくするための機能になります。
簡単に説明すると、ログイン失敗を繰り返す接続元を一定時間ロックして、アクセスできないように制限します。
総当たりで不正ログインを行おうとする不正ログインには大変有効です。
〇秒以内に〇回ログインに失敗したIPアドレスを〇秒制限するなどの設定ができるようになっています。
機械的に判断されるため30秒以内に3回間違えたらロックすると設定しているようなケースを見てみます。
この場合、自分でパスワード入力を時間内に3回間違ってしまうと、本当の管理者であろうと自分で設定した時間はログインができなくなってしまうため、その辺りは要注意です!
複数サイトを運営していたりすると、パスワードがゴチャゴチャになりがちで、たまにこのミスを犯してしまう方もいらっしゃるようです。
混乱しないために、テキストファイルでローカルに保存していたり、メモ書きをディスプレイに貼ったりしては本末転倒なので、やはり暗記してしまうことがベストでしょう。
使わないならXMLRPCは無効にしておくべき
WordPressを外部からコントロールする為のプログラムが含まれているので、活用できる方には非常に便利な機能になります。
特に使う必要性を感じていない管理者の方は、無効にすることを強くお勧めします。
なぜ便利な機能を無効にすることを勧めるかというと、この機能を悪用し、様々な攻撃の踏み台にされる事があるからです。
Siteguardを導入していても、使用しないXMLRPCが有効になっているとWordPressの脆弱性が高まってしまい、セキュリティ対策が完璧ではなくなってしまいます。
XMLRPCの脆弱性が悪用され、不正アクセスが成功してしまうと、ユーザIDやパスワードなどを盗み取られる危険性があり、サイトの改ざんなどを可能にしてしまいます。
あなたの管理しているサイトに悪意のある攻撃コードを挿入して、さらなる犠牲者が増えてしまう恐れもあります。
便利な機能ですがそれを使用しない場合には、やはり無効化が最適だと思われます。
XMLRPCはWordから投稿する時に使うもの
WordPressの投稿画面に直打ちして記事の投稿も可能ですが、テキストエディターに打ち込んで、コピペでWordPressに張り付ける方法もあります。
直打ちは、文字数やソースが多くなると動作が重くなり、また投稿画面の中にウィンドウがあるので、1画面に表示できる文字に制限があって、ボリュームが多くなると扱い難くってしまいます。
テキストエディターの方は、ソースも手打ちになるため、作業する工数が増えてしまいます。
その点XMLRPCは設定が必要ですが、Wordに打ち込んだテキストを、投稿というボタンを押すだけで、WordPressに新しい記事を投稿する事ができる、優れものなプログラムになります。
有効に活用する限り、非常に便利なXMLRPCですが、プログラムの仕組み上セキュリティの脆弱性は確実に上がってしまうので、まずは無効に設定し、慎重に検討してから有効にした方が良いかと思われます。
コメントを残す