ある日突然、お問い合わせ用のメールアドレス宛に大量のスパムメールが届くようになってしまった…そんな経験はありませんか?
最近、WordPressで作成したお問い合わせフォームが攻撃されるケースが増えているので、備忘録もかねて対策をまとめておきます。
↓ スパムメールのサンプル。
開封してみると、なにやら意味不明の英文や数字が…。
目次
—————-
1.セキュリティシステムをチェックする
2.WordPressのセキュリティを強化する
・ログイン情報を変更する
・セキュリティ系プラグインをインストールする
・WordPressのバージョンを更新する
3.まとめ
—————-
1.セキュリティシステムをチェックする
WAF*を導入している場合は、サーバー管理担当者に、セキュリティシステムのチェックを依頼します。WordPressへの大量のアタックを検知してブロックしている痕跡がログに残っている場合、悪意のある第三者から攻撃を受けている可能性が高いです。
*WAF(Web Application Firewall)=Webサーバへの外部からの攻撃を検知、防御するシステムを指します。
2.WordPressのセキュリティを強化する
対策を優先順にまとめました。
■ログイン情報を変更する
管理画面のユーザーIDとパスワードを新しいものに変更します。
<パスワードの変更手順>
①管理画面にログイン
②「ユーザー」>「あなたのプロフィール」を選択
③画面最下部の「新しいパスワード」欄に、半角英数で新パスワードを入力。
④「プロフィールを更新」ボタンをクリックし、完了。
<ユーザーIDの変更手順>
ユーザーIDは管理画面上で更新することができないので、まず新しいユーザーIDを作成し、その後に変更前のユーザーIDを削除する、というステップを踏みます。
①管理画面にログイン
②左メニューの「ユーザー」>「新規追加」をクリック
③必要事項を入力後、「新規ユーザの追加」ボタンをクリック
※権限グループを「管理者」にするのを忘れずに!
④いったんログアウト後、③で作成した新ユーザーIDで再ログイン
⑤変更前のユーザーIDを削除し、完了
■セキュリティ系プラグインを実装する
WordPressにはセキュリティ系のプラグインが用意されています。ここでは人気の高いプラグイン2点を紹介します。
SiteGuard WP Plugin https://ja.wordpress.org/plugins/siteguard/
WordPressの管理・ログイン画面を保護するための無料プラグインです。
国産なのですべて日本語で書かれていてわかりやすく、画面自体もシンプルです。インストールすると、簡単にログインURLを変更することもできます。
Wordfence https://ja.wordpress.org/plugins/wordfence/
WordPress上で不正なIPを除外できる優秀なプラグインです。
不正アクセスを検知して自動でブロックする機能を備えています。不審なIPをリアルタイムで監視して、遮断することもできます。
■WordPressのバージョンが最新になっているか確認する
WordPressのバージョンアップには、セキュリティホールに対する修正が含まれているので、定期的なアップデートが好ましいです。ただし、サーバーが最新版に対応していなかったり、アップデートの影響でプラグインが動作不良を起こすケースもあるため、あらかじめ要件を確認しておくと安全です。
アップデート前に確認しておく要件は下記の2点です。
①サーバーが最新版に対応しているかどうか
WordPress.orgサイトに最新バージョンに必要なサーバーの要件が掲載されています。各バージョンの動作環境や推奨環境はこちらのサイト様で確認することができます。
②プラグインが最新版に対応しているかどうか
PHP Compatibility Checkerがおすすめです。現在使用しているWordPressのテーマやプラグインがPHPバージョンに対応しているかをスキャンチェックしてくれるプラグインです。
PHPバージョンを選択してスキャン実行ボタンをクリック
スキャン完了画面です。赤枠の「Errors」は問題あり。エラーの数も含めて警告が表示されます。
3.まとめ
いかがでしたか?
外部からの攻撃を100%防ぐことは不可能ですが、不審な動きは放置せず、少しでも早く適切な対策を打つことが有効です。またなにか新しい気付きがありましたらこのコラムで紹介しますね。
(参照サイト)
WordPress.org
https://wordpress.org/about/requirements/
https://ja.wordpress.org/plugins/php-compatibility-checker/
Xakuro System様サイト
https://xakuro.com/blog/wordpress/1299/