WordPressのセキュリティ対策おすすめプラグイン
Woredpressもこれだけ流行っていると、ハッキングも増えてしまう訳で、その対策は必須だと言えます。
私自身は、このブログを含めていくつかのサイトをhostしていますが、放置していたサイトがハッキングされたりした経験を踏まえて、セキュリティ対策の必要性を痛感しています。
ハッキングと言っても、それなりに王道のパターンがある訳で、これだけ多くのWordpressサイトがあれば、ハッカーは脆弱性のあるサイトを狙います。一方で、サイトのhostする側からみれば、代表的な脆弱性はプラグインで塞いじゃいましょうよというインセンティブが生まれます。
試してみてよかったのでおすすめ:iThemes Security
使っているプラグインはiThemes Securityです。無料。
iThemes Securityのおすすめポイント
- ファイルの変更検知機能がある
- 不正ログインを自動的にBANしてくれる
- 不正URLに対するアクセスを感知して自動的にBANしてくれる
- ファイルのパーミッションのおかしな部分を自動的に直してくれる
機能的には色々ありますが、ここが僕のおすすめポイントですね。ファイルの変更検知機能、これが欲しかったー!
マルウェアが埋め込まれるのがどこかが分かるよ
こちら、穴が開いてたサイトの変更通知。
うわぁ…nav-menu.phpがやられてる…
で、ファイルを開いて調べてみると(diffとるまでもなく、見てるとエンコードされたながーい文字列が挿入されていたりするので簡単にわかると思う)、不正なコードが埋め込まれていましたとさ。最終的にはWoredpressを全置き換えした。
何をやったかはこのへんに書いてあります
WordPressがハッキングされて右往左往した時にやったこと色々を初心者向けに解説
ただね、置き換えても収まらなかったりするんですよ。どこかにバックドアがある。それがわからない…ってなったりする。その時に、どのファイルがやられているのかを知るのは大事なことだと思います。今回で言えば、ファイルの変更された時間なんかも取れるので解決のヒントはその辺にもありますね。
現在のiThemes Securityの設定
以下はデフォルト設定から変えてあるもののみ。
Enable 404 detection
これチェック入れてます。結構色んなURLでアタックが来ます。怪しい物をBANしてくれるのは良い感じです
Default Blacklist
これはHackRepair.comさんの力を借りましょう。効果の程は分かりませんが、やるにこしたことなさそうなのでチェック
File Change Detection
これを使うためにインストールしたと言っても過言じゃありません。
ファイルに変更があると、先ほど示したようなメールが届きます。
System Tweaks
これも
WordPress Tweaks
ファイルエディタは使ってないのでオフです。管理画面に入られてしまうと色々やられちゃいますという事なのでしょう。今のところそういう事態には遭遇していませんが。
以上
いい感じに運用出来てる気がする昨今でしたとさ。