全世界のウェブサイト約3分の1は、WordPressによって作成されているそう。
利用者が圧倒的に多い分、ハッカーのターゲットになりやすいのも事実です…。
私のブログのセキュリティって大丈夫なの??
WordPressのログイン履歴を見れば、怪しい動きがないかチェックすることができます。
ログイン履歴を定期的に見て、ハッキング対策をしていきましょう。
今回は、初心者でも気軽にできるログイン履歴に着目したセキュリティ対策について、
わかりやすくまとめていきます。
【ワードプレス】ログイン履歴を確認する方法
【SiteGuard WP Plugin】を入れる
・ログイン履歴をみる
・不正ログイン対策
・管理ページへの不正アクセス対策
・スパムコメント対策
【SiteGuard WP Plugin】(サイトガード)というプラグインを入れると、上記のことが可能になります。
ログイン履歴を見る以外にも豊富な機能があるので、ブログを運営するには入れておきたいプラグインです。
詳しい情報は公式ページをご覧ください。↓
【SiteGuard WP Plugin】https://www.jp-secure.com/siteguard_wp_plugin/
プラグインの入れ方
WordPress管理ページの左側にある「プラグイン」の中の「新規追加」へ進む。
右上にある検索バーに「SiteGuard」と入れます。
(SiteとGuardの間にスペースを入れると出てこない場合があるので注意!)
「今すぐインストール」を押し、インストールが終わったら「有効化」させる。
これで導入完了です。
【SiteGuard WP Plugin】をインストールするだけで、自動的に基本的なセキュリティ対策の設定が行われます。
ログイン履歴の見方
ログイン履歴の見方です。
まず、管理画面の「SiteGuard」を選択し、「ログイン履歴」を押します。
【ログイン履歴でわかること】
・ログインした日時
・ログインに成功したか、失敗したか
・ログイン名
・IPアドレス
・どのタイプのログインか
ここを見て、怪しい動きがないかチェックしましょう。
初心者が不安になりやすいポイント
IPアドレスが違う!?
あれっ、ログインごとにIPアドレスが違う…
大丈夫なの??
A. IPアドレスは変わることがあります。
(※主にビジネス用で使われる「固定IPアドレス」のIPアドレスは変わりません)
変わるタイミングは、インターネット回線が落ちたときなどです。
スマホやパソコンなどのネットワーク上の機器に付けられる、識別番号のようなもの。
今使用している機器のIPアドレスを確認してみたい方は、
このサイトで確認してみてください。
XMLRPCの文字
右側の「タイプ」を見ると、「ログインページ」ではなく「XMLRPC」の文字が…
XMLRPC!?!
<XMLRPCの文字が表示される理由>
①ワードプレスのスマホ版アプリでログインした
(一回のログインにつきログイン履歴が10個ほど表示される場合があります。※筆者経験済み。原因は分かりません。)
②ハッカーに狙われている
「XML-RPC機能を使った攻撃」
WordPressには外部からコントロール(遠隔操作)する「XML-RPC」という仕組みがあります。
詳しい説明をするとややこしくなるので端的にいうと、
「xmlrpc.php」はセキュリティが弱いという特徴があるので、ハッカーに悪用される可能性があります。
具体的には、サイトの改ざんをされて情報漏えい、スパムメールの送信をされたり、サイトにアクセスできなくなるといった目にあう可能性があります。
記憶にない「xmlrpc」のログイン履歴が大量に残っている場合は、パスワードを総当たりに見つけ出すソフトで侵入を試みようとしている人がいる可能性などが高いです。
このような攻撃を防ぐため、「xmlrpc」を無効化することをオススメします。
「xmlrpc」を無効化する方法
管理画面の「SiteGuard」内の「XMLRPC防御」へ進みます。
「XMLRPCを無効化」を選択し、右上にある「ON」を押します。
最後に「変更を保存」ボタンを押すのを忘れずに。
「xmlrpc」を無効化するデメリット
WordPressのスマホアプリにログインすることや、記事更新することができなくなります。
スマホで記事を書くことは無いといういう方は、
「XMLRPC」を無効化することをお勧めします。
まとめ
・ログイン履歴を見るにはプラグイン(SiteGuard WP Plugin)を入れる。
・IPアドレスは変わることもある。
・XMLRPCは無効化したほうが安全。
ブログは資産とも言われます。
大切な自分のサイトを守るために、セキュリティ対策もしっかりと行いましょう。
コメント