セキュリティが甘いとどうなる？

• データベース内(顧客データなど)の全てのデータの悪用、消去
• 記事やサイトの消去
• ドメインの悪用（フィッシング詐欺などの踏み台）
• メールの悪用

通常、企業ホームページでは顧客情報などデータは持たないと思いますが、せっかく SEO 対策でドメインを強化していてももしセキュリティ被害にあった場合、それらの努力が水の泡になってしまいます。

なので、簡単にすぐにできる最低限の対策だけはやって損がないと思いますのでご紹介します。

セキュリティ設定のデメリット

作業が少しめんどくさくなることがあるということです。

セキュリティを設定したことによって、エラーが発生することがあったり、ちょっとめんどくさいことが起きたりします。

以降、方法の部分でこれについても具体的な例を話したいと思います。

ワードプレスの管理画面に入らせない

管理画面は一度侵入できれば、様々なことができてしまいます。

JavaScript や PHP のコードを実行できてしまうので、大抵のことはやられてしまいます。

なので、管理画面に入られないように対策をしましょう。

ログインページを隠す

プラグインを使ってログインページを変更し、隠すことができます。

【WordPress】管理画面のログイン URL を変更する方法（SiteGuard WP Plugin） - ラッコサーバープラス

ログインページを隠すデメリット

「ログインページが分からなくなる可能性がある」

プラグインを入れることで、ログインページにアクセスされづらくなりますが、自分たちも URL を知っていないとログインできなくなります。

そこの情報共有について手間が掛かってしまうかもしれないです。

もし、URL が分からなくなった場合、レンタルサーバーのコントロールパネルなどから調べることになったりします。

IP を制限して会社や社員の IP からしかアクセスできなくする

以下の記事で詳しく説明しました。

→ WordPress サイトのログイン、管理画面に IP 制限をかける方法

IP 制限のデメリット

IP が変更される度、サーバーのコントロールパネルで設定する必要がある

WAF を設定する

ファイアーウォールの設定をします。(Web Application Firewall)

自前でやる場合、主にプラグインを入れたり、.htaccess に制限を書いてコントロールするのが一般的です。

レンタルサーバーの WAF を使う（簡単）

例えば、ConoHa WING では画像のように簡単にクリックで WAF を設定することができます。

利用設定を「ON」にするだけで使用することができます。

セキュリティ攻撃をされそうな URL の入力やテキスト入力を拒否してくれています。

この管理画面を見て分かる通り、意外と攻撃されており、重要性を再認識しています。

万が一、この WAF が原因でワードプレス上の作業でエラーが発生する場合、画像の「除外」をクリックすることでその設定のみを除外することができます。

自分が今のところ除外で設定したのは以下の画像のものだけで、他は問題なく動作しています。

ちなみに除外設定した理由としては、英語の記事を書く際にこの正規表現に引っかかってしまったというものです。

とても便利で、エンジニアでなくても簡単に設定し、使うことができて安心です。

こういった便利なものがついているレンタルサーバーを利用するのも一つの手だと思います。

プラグインを使う

自分は使いませんが、プラグインを使う方法もあります。

自分が使わない理由は、プラグインの信頼性がないからです。

誰が作っているのかが分かり、定期的にコードを第三者が確認して安全性が確認できていないと逆にプラグインを入れることで危険になると考えています。

性善説ではなく、プラグインの制作者が突然悪意のある人に変わるという前提で利用しましょう。

万が一プラグインを使う場合は、

• 使用者やレビューが多いもの
• 自動更新を切り、安全なバージョンを利用
• バージョンの更新を定期的にチェックし、手動で更新

自分だったらこれくらいはやると思います。

もし、安全が確認できているプラグインを知っているのであれば、それを使うのはとても有効だと思います。便利ですからね。