ドメインを取得して、早速新しいサイトページを開いて見たら何も表示されない。

なんてビックリしたかもしれませんが、安心してください。
サーバーに購入したドメインを入力したら、その情報がネット上に広がり1〜2時間待てば403表示は消えます。
これをドメインの浸透といいます。
しかし安心してドメイン浸透を待っていては、あなたのサイトはハッカーに乗っ取られるかもしれません。
なぜなら初期状態のWordPressは、セキュリティー"レベル1"の紙装甲だから!
ドメイン浸透前もWordPressは使えるので、今すぐに簡単にできて強力なセキュリティー対策をしちゃいましょう!
閲覧者からログインページを隠す
WordPressの初期状態は、ログインページに繋がる『メタ情報』が世界中に公開されています。
これままだと誰でもログインを試みられるので『外観』→『ウェジット』を開き、メタ情報を削除しましょう。
これでサイトに人が訪れても、1クリックでログインページに侵入する事は出来なくなりました。
しかし、まだ安心してはダメです。
次はログインURLの変更をしましょう。
鉄壁の守り"SiteGuard"インストール
WordPressは配信されているプラグインをインストールすることで、様々な機能を追加することができます。
信頼できるセキュリティとして多くの人に利用されているのが、『SiteGuard』プラグインです。
SiteGuardの特徴
- セキュリティに詳しくなくても簡単に操作できる
- 配信元が法人で日本製品、金融機関や官公庁でも実装されている
- ログイン関連のセキュリティが複数設置できる
- 画像認証があり、ロボット攻撃の対策も可能
- WordPressの脆弱で最も狙われやすいXMLRPC攻撃を無効化できる
インストール方法
step
1メニュー欄から『プラグイン』→『新規追加』をクリック
step
2キーワード欄でSiteGuardを検索して『今すぐインストール』をクリック
step
3有効化する
インストール完了後に有効化のボタンを押せばOK!
SiteGuardの有効化〜設定
プラグインを有効化すると、即ログインURLの変更が行われます。
ログインのやり直しが求められたり又は
「ログインページURLが変更されました。」
「新しいログインページURLをブックマークしてください。設定変更はこちら」
と表示がされます。
ログインURLは後で任意のものに変更できます。
ここではブックマークせず、WordPressのメニューバーから『SiteGuard』をクリックして各設定をしていきましょう。
注意ポイント
もしログインアウトして、ログインURLが分からなくなったら「http://あなたのドメイン/wp-admin」でログインページに飛べます。
設定項目
ダッシュボード
緑チェックが有効になっているセキュリティです。
ログイン履歴をチェックして、あなたのサイトへ不正にログインしようとしたアドレスがないか1度確認してみましょう。
ポイント
ログインせずに管理者ページを荒らそうとする攻撃から、WordPressを守る設定です。
ログインが行われていない接続元IPアドレスに対して、管理ページのアクセスを404(Not Found)で弾き返します。
ポイント
初めは5桁の乱数が表示されていますが、自由にオリジナルのURLへ変更が可能です。
設定すると「http://あなたのドメイン/wp-login.php」で、ログインページへ飛ばれる行動を防ぐことができます。
ポイント
機械的なコメント欄へのスパム・ログイン攻撃からサイトを守ります。
画像認証が実装された画面
ポイント
WordPressの通常ログイン設定では、ログイン時にユーザー名・パスワード・画像認証のどれかを間違えて入力すると、3つの内どれが間違っているのか丁寧に教えてくれます。
ハッカーにそんな親切は必要ないのですよね。
どれをミスしても「間違っています」と返す機能なので、絶対に忘れずONにしておきましょう。
ポイント
不正ログインの攻撃を受けた時に、指定回数失敗したら接続元のIPアドレスを一時的にブロックする機能です。
ポイント
あなたのサイト管理画面へログインがあった場合、WordPressに設定したメールアドレスへ即座に通知が届きます。
サイト名:ユーザ名:日付:時刻:IPアドレス:ログインした機種の詳細まで、メールでチェックすることができます。
こんなメールがSiteGuardから届きます。
ポイント
1回目のログインは、必ずエラーが発生します。
悪意ある相手が初回で正しいパスワードとIDを入力しても、エラーと表示されるのでハッタリをきかせる事が出来ます。
ポイント
ピンバック機能を利用した攻撃からサイトを守ることができます。
ピンバック機能とは
別サイトの記事Aを参考に、あなたが記事Bを書いたとします。
他人の記事を参考にブログを書いた場合、参考元としてURLリンクを貼りますよね。
あなたが記事Bに、参考元として記事Aへ飛べるリンクを貼り付けると、記事Aを書いたサイト管理者にWordPressから「リンクが貼られましたよ」と自動通知が行くシステムの事です。
まとめ
ドメインの浸透期間中に、メタ情報の削除・SiteGuardプラグインをインストールして、ハッカーからあなたのWordPressを守りましょう。
WordPressとSiteGuardプラグインを使い、一気に9つもセキュリティを設置できるのでWordPressの脆弱性に対する不安を解消することができます。
ぜひ今のうちにやってみてください!
Twitterで最新情報をGET! Follow @blog_seed