WordPressのセキュリティ対策おすすめプラグイン

   

Woredpressもこれだけ流行っていると、ハッキングも増えてしまう訳で、その対策は必須だと言えます。

私自身は、このブログを含めていくつかのサイトをhostしていますが、放置していたサイトがハッキングされたりした経験を踏まえて、セキュリティ対策の必要性を痛感しています。

ハッキングと言っても、それなりに王道のパターンがある訳で、これだけ多くのWordpressサイトがあれば、ハッカーは脆弱性のあるサイトを狙います。一方で、サイトのhostする側からみれば、代表的な脆弱性はプラグインで塞いじゃいましょうよというインセンティブが生まれます。

試してみてよかったのでおすすめ:iThemes Security

iThemes Securityダウンロードはこちらから

iThemes Securityダウンロードはこちらから

使っているプラグインはiThemes Securityです。無料。

iThemes Securityのおすすめポイント

  • ファイルの変更検知機能がある
  • 不正ログインを自動的にBANしてくれる
  • 不正URLに対するアクセスを感知して自動的にBANしてくれる
  • ファイルのパーミッションのおかしな部分を自動的に直してくれる

機能的には色々ありますが、ここが僕のおすすめポイントですね。ファイルの変更検知機能、これが欲しかったー!

マルウェアが埋め込まれるのがどこかが分かるよ

こちら、穴が開いてたサイトの変更通知。

filechanged

うわぁ…nav-menu.phpがやられてる…

で、ファイルを開いて調べてみると(diffとるまでもなく、見てるとエンコードされたながーい文字列が挿入されていたりするので簡単にわかると思う)、不正なコードが埋め込まれていましたとさ。最終的にはWoredpressを全置き換えした。

何をやったかはこのへんに書いてあります

WordPressがハッキングされて右往左往した時にやったこと色々を初心者向けに解説

ただね、置き換えても収まらなかったりするんですよ。どこかにバックドアがある。それがわからない…ってなったりする。その時に、どのファイルがやられているのかを知るのは大事なことだと思います。今回で言えば、ファイルの変更された時間なんかも取れるので解決のヒントはその辺にもありますね。

現在のiThemes Securityの設定

以下はデフォルト設定から変えてあるもののみ。

Enable 404 detection

Enable 404 detection

Enable 404 detection

これチェック入れてます。結構色んなURLでアタックが来ます。怪しい物をBANしてくれるのは良い感じです

Default Blacklist

Default Blacklist

Default Blacklist

これはHackRepair.comさんの力を借りましょう。効果の程は分かりませんが、やるにこしたことなさそうなのでチェック

File Change Detection

File Change Detection

File Change Detection

これを使うためにインストールしたと言っても過言じゃありません。

ファイルに変更があると、先ほど示したようなメールが届きます。

System Tweaks

System Tweaks

System Tweaks

これも

st2

 

WordPress Tweaks

wordpress tweaks

wordpress tweaks

ファイルエディタは使ってないのでオフです。管理画面に入られてしまうと色々やられちゃいますという事なのでしょう。今のところそういう事態には遭遇していませんが。

以上

いい感じに運用出来てる気がする昨今でしたとさ。

オススメNginx本

nginx実践入門 (WEB+DB PRESS plus) 単行本(ソフトカバー) – 2016/1/16

nginxを現場で活用するための知識を、実践的なノウハウを交えて解説した書籍です。nginxのインストール方法や基本的な設定方法からはじめ、nginxを利用した「静的コンテンツ配信サーバ」「HTTPSサーバ」「Webアプリケーションサーバ」「大規模コンテンツ配信システム」の構築方法をそれぞれ詳しく紹介しています。後半ではnginxサーバのモニタリングやログの収集、そして軽量スクリプト言語Luaでnginxを拡張する方法について解説しているので、nginxをこれから使う方はもちろん、さらに活用したい方にもお勧めです。

 - Wordpress