自分の大切な資産であるブログを、悪意のある攻撃から守るためのセキュリティ対策は非常に重要です。ここでは、対策を目的別に4つのカテゴリーに分けて、やるべきことを分かりやすく解説します。
カテゴリー1:【最重要】不正ログインを防ぐための対策
ブログ乗っ取りの多くは、ログイン情報の窃取や推測が原因です。まずは「家の鍵」を頑丈にすることから始めましょう。
- 二段階認証を設定する
- 内容: ID・パスワードに加えて、スマートフォンアプリなどに表示される「ワンタイムパスワード」などを入力しないとログインできないようにする仕組みです。
- なぜ必要?: 万が一パスワードが漏れても、第三者が不正にログインすることを防ぐ最後の砦となります。
- 対策箇所: WordPress、レンタルサーバーの両方で設定しましょう。特にレンタルサーバーは、乗っ取られるとサーバー内の全サイトに影響が及ぶため必須です。
- ログインページのURLを変更する
- 内容: WordPressの初期設定では「ドメイン名/wp-admin」などでログイン画面にアクセスできますが、これを推測されにくいURLに変更します。セキュリティプラグインで簡単に設定できます。
- なぜ必要?: ログインページの場所を隠すことで、自動化されたプログラム(Bot)による無差別なログイン試行(ブルートフォースアタック)を大幅に減らすことができます。
- ログイン試行回数を制限する
- 内容: 何度もログインに失敗したIPアドレスからのアクセスを、一定時間ブロックする機能です。これもセキュリティプラグインで設定可能です。
- なぜ必要?: パスワードを総当たりで試すような攻撃からブログを守ります。
- 推測されにくいパスワードを設定・管理する
- 内容: 他のサービスで使っているパスワードの使い回しをやめ、英大文字・小文字・数字・記号を組み合わせた長く複雑なパスワードを設定します。
- なぜ必要?: 漏洩した他のサービスのパスワードリストを使った攻撃(パスワードリスト攻撃)を防ぐためです。
- ASPの管理: ASPは二段階認証がない場合も多いため、特に長くて複雑なパスワードを設定することが重要です。パスワード管理ツールを使うのも一つの手です。
カテゴリー2:【重要】Webサイトを最新で安全な状態に保つ対策
ソフトウェアの古いバージョンを放置すると、発見された弱点(脆弱性)を突かれて攻撃される原因になります。家の「設計上の弱点」を放置しないようにしましょう。
- WordPress・プラグイン・テーマを常に最新版に更新する
- 内容: これらは定期的にセキュリティ強化や機能改善のためのアップデートが提供されます。自動更新機能を有効にしておくのがおすすめです。
- なぜ必要?: アップデートには、新たに見つかった脆弱性の修正が含まれていることがほとんどです。更新を怠ると、そこを狙って攻撃されるリスクが非常に高まります。
- 信頼できるプラグイン・テーマだけを利用する
- 内容: 公式ディレクトリで評価が高く、定期的に更新されているものを選びましょう。出所の不明なものや、長期間更新が止まっているものは避けるべきです。
- なぜ必要?: プラグインを追加することは、サイトの管理者権限を与えることに近いため、悪意のあるプログラムが仕込まれている危険性や、脆弱性が放置されている可能性があります。
- PHPのバージョンを最新に保つ
- 内容: WordPressが動くためのプログラム言語「PHP」も、定期的に新しいバージョンが公開されます。レンタルサーバーの管理画面から変更できます。
- なぜ必要?: 古いPHPバージョンはセキュリティ上のリスクがあるだけでなく、サイトの表示速度にも悪影響を及ぼします。
カテゴリー3:【推奨】サーバー側で防御力を高める対策
WordPressだけでなく、その土台であるレンタルサーバー側でも防御壁を設けることで、より安全性が高まります。
- WAF (Web Application Firewall) を有効にする
- 内容: Webサイトへの通信を監視し、不正な攻撃や改ざんの試みを検知してブロックする防火壁のようなものです。
- なぜ必要?: WordPressの脆弱性を突いた攻撃などを防ぎます。SECOMやオートロックのようなものと考えると分かりやすいでしょう。カスタマイズ時など、一時的にオフにする必要があっても、作業後は必ずオンに戻しましょう。
- アクセス制限をかける
- 内容: FTP(サーバーにファイルを直接送受信する方法)や、海外からの管理画面へのアクセスを制限します。
- なぜ必要?: FTPのID・パスワードが漏れると、サイトのファイルを直接改ざんされてしまいます。また、不正アクセスの多くは海外から行われるため、国内からのアクセスに限定することでリスクを減らせます。
カテゴリー4:【万が一の備え】被害を最小限にするための対策
どんなに備えても、100%安全とは言い切れません。万が一の事態に備えて、復旧できる準備をしておくことが大切です。
- 定期的にバックアップを取る
- 内容: サイトのデータ(記事、画像、設定ファイルなど)のコピーを保存しておくことです。レンタルサーバーが自動で提供している場合や、プラグインを使って自分で設定する方法があります。
- なぜ必要?: 乗っ取り被害やアップデートの失敗などでサイトが表示されなくなっても、正常な状態のバックアップがあれば、そこからサイトを復元できます。
- 乗っ取られた場合の対処法を知っておく
- まずはレンタルサーバーに相談: 被害に気づいたら、すぐに契約しているレンタルサーバーのサポートに連絡しましょう。
- 専門家への依頼も視野に: ファイルを削除しても、裏口(バックドア)が仕掛けられていると再発する可能性があります。自力での復旧が難しい場合は、スキルマーケットなどで専門家に有償で依頼することも検討しましょう。
【追加アドバイス】合わせて行いたいセキュリティ対策
上記の対策に加えて、以下の点も意識するとブログのセキュリティはさらに向上します。
- サイトのSSL化(https://~)を行う
- 読者のブラウザとサーバー間の通信を暗号化する基本的なセキュリティ対策です。個人情報の送信や、サイトの信頼性向上、SEOの観点からも必須と言えます。
- コメントスパム対策を行う
- スパムコメントはサイトの評価を下げるだけでなく、不審なリンクが貼られることもあります。プラグイン(例: Akismet)を導入して対策しましょう。
- ブログを管理するパソコン自体のセキュリティを強化する
- ウイルス対策ソフトを導入し、OSやソフトウェアを最新の状態に保つことで、パソコン経由でのパスワード流出などを防ぎます。
- 公共のフリーWi-Fi利用時は注意する
- カフェなどでブログを更新する場合、暗号化されていないフリーWi-Fiに接続すると、通信内容を盗み見られる危険性があります。VPNを利用するなどの対策が推奨されます。
セキュリティ対策は少し面倒に感じるかもしれませんが、一度設定してしまえば、あとは定期的なメンテナンスで安全を保てます。大切なブログを守るために、ぜひ実践してみてください。
