Wordpressセキュリティー対策 その1 「WP doctor Malware scanner Pro」を導入
私のアフィリエイトブログにはもともとAkismet Anti-Spam (アンチスパム)が入っていました。
JetpackのダッシュボードにAkismetのサマリーみたいなのがでてくるのですが、
とあるブログに関しては
総当たり攻撃に対する保護機能
5,229
ブロックした悪意あるログイン試行
スパム対策
131
ブロックされたスパムに関するコメント
とブロック数がダントツで多くなっていました。
このサイトのwordpressも、新規で記事を書こうとするとなぜかブログのトップページに移動してしまうし、何か良からぬことが起こっているのではと思いました。
外部からのアクセスに対するセキュリティーを充実させても、完璧ではないだろうな、万が一すでにマルウエアに感染していたらどうしよう、と思いました。
そこで、WordPress内のマルウェアを検出して、できれば削除までできるプラグインを探してみました。
ありました。
「WP doctor Malware scanner Pro」
Malware scanner Proはワードプレスのマルウェアスキャン&セキュリティープラグイン ということで、マルウェア・ウィルス検出と駆除ができるとのことでした。
こんな感じでマルウエア感染ファイルを見つけ出してくれます。
必要であれば、削除ボタンを押せばそのファイルを削除することができます。
評判もよかったので、ダウンロードしてwordpressのプラグインにインストールしてみました。
デフォルトのままスキャンしてみると、いくつか怪しいものが見つかりました。
削除、修正してみると、多少気になっていたwordpressの不具合も解消しました。
私自身、wordpressやセキュリティーをもっと勉強しないとだめですね。
それにしてもWP doctor Malware scanner Proはなかなか優秀なプラグインです。
アフィリエイト関連記事 #1
その2 「Wordfence」 も使ってみました。
スキャン機能が充実しているWordfenceも試してみました。
このWordfenceは
- 自動マルウェアスキャン
- ファイアウォール
- ログインセキュリティ
- エンドポイント保護
などが行えるそうです。
感染ファイルをチェックする場合には、WordfenceメニューからScanと記載された項目をクリックして、START NEW SCANボタンを押すだけです。
WP doctor Malware scanner Proで見つからなかった怪しいファイルがさらに見つかったので、スキャン機能はかなり強力そうです。
さらにWordfenceはファイアーウォール設定やブルートフォースアタックを防止することもできるようなので徐々に勉強していこうと思います。
その3 「SiteGuard WP Plugin」導入
「SiteGuard WP Plugin」
も試してみました。
WordPressの管理画面・ログイン画面は悪意のある第3者から攻撃をうけてしまうことがあります。
「SiteGuard WP Plugin」は無料のwordpressのプラグインで、管理画面・ログイン画面を簡単に保護することができます。攻撃によって管理画面からログインされてしまうことやサイトの改ざん、個人情報の不正取得などの被害を防ぐことができます。
しかもこのプラグインは軽快でWordPressが重くなることはなく、日本語対応のシンプルなプラグインです。
WP SiteGuardの各種設定
SiteGuard WP Pluginは、WordPressにプラグインとして導入するだけで、管理ページとログインページの保護を中心とした以下の攻撃を防ぐことができます。
- 不正ログイン
- 管理ページ(/wp-admin/)への不正アクセス
- コメントスパム
具体的な項目は以下になります。
 管理ページアクセス制限 |
ログインしていない接続元から管理ディレクトリ(/wp-admin/)を守ります。 |
|---|---|
| ログインページ変更 |
ログインページ名を変更します。 |
 画像認証 |
ログインページ、コメント投稿に画像認証を追加します。 |
| ログイン詳細エラーメッセージの無効化 |
ログインエラー時の詳細なエラーメッセージに変えて、単一のメッセージを返します。 |
| ログインロック |
ログイン失敗を繰り返す接続元を一定期間ロックします。 |
| ログインアラート |
ログインがあったことを、メールで通知します。 |
| フェールワンス |
正しい入力を行っても、ログインを一回失敗します。 |
| XMLRPC防御 |
XMLRPCの悪用を防ぎます。 |
| 更新通知 |
WordPress、プラグイン、テーマの更新が必要になった場合に、管理者にメールで通知します。 |
| WAFチューニングサポート |
WAF (SiteGuard Lite)の除外ルールを作成します。 |
| 詳細設定 | IPアドレスの取得方法を設定します。 |
| ログイン履歴 | ログインの履歴が参照できます。 |
WP SiteGuardではwordpressの更新通知管理ができる?
WordPress本体、プラグイン、テーマなどが新しいバージョンに更新しました、というメールが管理者に頻繁に届いてしまうので、この更新通知をなんとか止めたいと思っていました。
これをOFFにすれば煩わしいメールから解放される、のでしょうか。
早速OFFにしてしばらく様子をみてみようと思います。
その4 「WP Content Copy Protection & No Right Click」導入
サイトがコピーされるのを防げないかな、と思っていたところ、
「WP Content Copy Protection & No Right Click」
というプラグインがあることを知りました。
自分のサイト内では右クリックができなくなり、画像やテキストがロックされて、コピーや複製ができなくなります。「Ctrl+C」や「Command+C」といったショートカットや印刷にも対応しているそうで、なかなかのプラグインです。
これも早速導入して試してみようと思います。
Webサイトやブログを運営していると、記事や画像情報なのコンテンツをコピペして転用されることもありますね。部分的ならともかく、ページ丸ごとというのはちょっと許せませんね。
このようなトラブルを回避するためにも、コンテンツをロックしてコピーできないようにしておくことが大事です。
このようなトラブルが起こる前に右クリックができないようにしておいて、記事や画像のコピーやページの印刷ができないようにしておくのがベストです
アフィリエイト関連記事 #2
Wordpressセキュリティー対策のまとめ
今回導入したWordpressセキュリティー対策をまとめてみました。
Wordpressサイトは世界中で使われているだけに、不正アクセスを受けやすい、狙われやすいと言われています。
今回は身をもってセキュリティー対策は必要だと感じました。
多少重くなっても複数のプラグインを導入しておいたほうがよさそうですね。
特に日本語で使い勝手の良いWP doctor Malware scanner Proはおすすめです。
アフィリエイト関連記事
コメント